Hugging Face が「MosaicLeaks」を発表 ── AIエージェントのWeb検索で社外秘が漏れる、恐怖のモザイク効果
社内文書を読み込ませたリサーチエージェントが、裏でコソコソWeb検索してませんか。MosaicLeaksが指摘するのは、その検索クエリの組み合わせから企業の秘密が復元されてしまうという恐ろしいリスクだ。しかも、タスク性能を高める訓練をすればするほど漏洩が悪化するという結果まで出ていて、これは正直かなりやばい。
▸何が変わったのか
MosaicLeaksは、公開情報と非公開情報が交錯するmulti-hop質問を用いた新しいDeep Researchタスクを提案。テストした全モデルでエージェントが頻繁にプライベート情報を漏洩し、タスク性能のみを最適化する訓練だと漏洩がさらに悪化するという結果に。著者らはこれに対抗し、Privacy-Aware Deep Research(PA-DR)というmosaic-leakage-aware RL訓練手法を提案している。PA-DRの効果は明確で、strict chain success(全hopで正解した連鎖の割合)が48.7%から58.7%に向上しつつ、answer/full-information leakageが34.0%から9.9%へ大幅減少。性能を上げながらプライバシーも守れる、両立の方向性をデータで示している。
◈前モデル / 競合との比較
従来のタスク性能のみを最適化した訓練では、エージェントの外部クエリ経由での情報漏洩が悪化する一方だった。PA-DR訓練を適用することで、strict chain successは48.7%→58.7%に向上しつつ、answer/full-information leakageは34.0%→9.9%に減少。「性能かプライバシーか」のトレードオフを打破できる点が鍵になる。
◈技術背景と意義
ヘルスケア企業のリサーチエージェントを例に考えよう。社内文書にしか存在しない「MediConn社は2025年1月までにインフラの70%をクラウド移行した」という事実があるとする。エージェントはこれを直接出力しないけど、「クラウド移行のマイルストーン」「2024年1月のセキュリティ開示」「どのベンダーが被害に遭ったか」といった複数のWeb検索を発火させる。単体では無害に見える検索ログでも、外部の攻撃者が全部つなぎ合わせれば非公開情報が復元できてしまう。これが「モザイク効果」。しかも攻撃者は社内文書やエージェントの推論プロセスを見る必要がなく、累積のクエリログだけで済むのが恐ろしいところだ。
▸こんな人・用途に
企業内でDeep Researchエージェントの導入を検討しているセキュリティ担当者やCTO。医療・金融など機密性の高いドメインでAIを活用する組織の情報システム部門。プライバシー保護を考慮したエージェント設計に関心がある研究者・エンジニア。
◆入手方法・リンク
本記事はHugging Faceのブログ記事として2026年6月18日に公開。モデルやコードの公開は現時点ではなく、クローズドソース。GitHubリンク等の提供もなし。
SOURCE: Hugging Face (2026-06-18)
