この論文は、複数の自律エージェントが記憶を共有し、ツール権限を委譲し合いながら協調する「マルチエージェント人工知能（MAS）」が抱える固有のセキュリティ問題を体系的に明らかにします。MASでは、単一のAIモデルとは異なり、行動が挙動的で出現的（予測しにくく現れる）になりやすく、既存のセキュリティ枠組みでは対応しきれない攻撃面が生まれます。著者らはまずこの問題の全体像を平易に示そうとしています。

研究チームは四段階の方法で調査を進めました。第1段階で、86章・10分野にわたる技術的な知識ベースを構築し、生成AIやベクトルデータベース、ツール呼び出し、ReAct推論サイクル、RAG（リトリーバル拡張生成）などの生産環境での実装要素を詳細に記述しました。第2段階では生成系AI（ジェネレーティブAI）を使った脅威モデリングを行い、約1,700件の候補脅威を洗い出してから専門家のレビューで精査しました。第3段階で各脅威ごとに調査計画を作り、最終的に第4段階で文献調査と継続的な追跡を進める計画です。最終的に、193の主要脅威を9つのリスクカテゴリーに整理しました。

主要な定量結果も示されます。16のAIセキュリティ・ガバナンスフレームワークを、各脅威に対して3点スケールで採点しました。期待される最小平均スコアは2ですが、どのフレームワークも任意のカテゴリで過半数のカバーを達成していません。特に「非決定性（Non-Determinism）」は平均1.231、「データ漏洩（Data Leakage）」は平均1.340と、最もカバーが薄い領域でした。全体ではOWASP Agentic Security Initiativeが総合で最も高く65.3%のカバレッジを示し、設計段階で主導的でした。一方でCDAO Generative AI Responsible AI Toolkitは開発および運用段階のカバレッジで優位でした。非OWASPの中ではATFAA-SHIELDがアーキテクチャ特異性で高評価を得ています。論文はさらに、いくつかの脅威項目がどのフレームワークからも未カバーであることも指摘しています。

この研究が重要な理由は現場での実務判断を助けるからです。MASはクラウド運用の自動化、コード生成や金融ワークフローの運用など実運用に入りつつあります。エージェント間でのツール委譲や永続メモリ共有は、ポリシー層での「リモートコード実行」に相当する攻撃や、共有メモリの毒性（memory poisoning）、プロンプトを使った自己複製型マルウェアなど、新しい攻撃パターンを可能にします。本研究はフレームワーク選択のための初めての実証的な横断比較を提供し、優先的に対処すべき分野を示す助けになります。

重要な留保点も明示されています。今回の結果は第1～3段階と第4段階の初期結果に基づく現時点の評価であり、継続的な調査で変わり得ます。評価は16の既存フレームワークに限定し、脅威評価は三段階スケールで定量化しているため、解釈には注意が必要です。専門家レビューは実施していますが（NVIDIA認定のエージェントAI専門家による確認を含む）、脅威の成熟や実際の悪用の進展を追うためには更なる観察と更新が必要だと著者らは述べています。