問題提起
オーケストレータエージェントがサブエージェントにタスクを委任するとき、委任の連鎖は不透明になる。誰が誰に許可したか?誰が何を見たか?誰が何を決めたか?来歴レイヤがなければ、これらの問いには答えられない——オーケストレータにも、監査者にも、サブエージェント自身にも。
現在のアプローチはロギングとモニタリングに依存している:変更可能で、断片化し、システムに散在する記録からの事後的な再構築。ログは変更可能である。コンテキストウィンドウは期限切れになる。ツールレスポンスは一時的である。何かが起こったとき——誤った決定、データ漏洩、不正アクセス——それがどうして起きたかの暗号論理的証明はない。
委任した ≠ 追跡できる。 それがLemmaが埋める構造的ギャップである。
シナリオ
Lemma導入前 — インシデントの展開
背景
医療企業がAIオーケストレータを導入し、保険請求処理を担当させる。オーケストレータは専門サブエージェントにタスクを委任する:データ取得エージェント、コンプライアンスチェックエージェント、文書生成エージェント。サブエージェントはMCPサーバーを呼び出し、患者記録、規制データベース、テンプレートエンジンにアクセスする。
インシデントタイムライン
| フェーズ | 何が起きるか | なぜ検出できないか |
|---|---|---|
| 委任 | オーケストレータが「適格性確認」スコープでコンプライアンスエージェントに請求を割り当て | スコープはプロンプト指示、暗号論理的な境界ではない |
| エスカレーション | コンプライアンスエージェントが「完全な患者履歴」のためにデータ取得エージェントを呼び出し | 何のスコープがサブサブエージェントに委任された(されなかった)かの証明がない |
| 過剰アクセス | データ取得エージェントが完全な医療記録を照会——請求に関係ない診断を含む | アクセス制御はシステムレベル、委任レベルではない;エージェントは有効な認証情報を持つ |
| 持ち出し | コンプライアンスエージェントがオーケストレータへのレポートに機密診断を含める | どのデータがどの決定に入ったかを追跡する来歴レイヤがない |
| 発見 | 患者が3ヶ月後に苦情;監査が過剰アクセスを発見 | ログは変更可能で散在;委任の連鎖の暗号論理的証明がない |
| 責任追及 | 「オーケストレータが委任した」「サブエージェントが決定した」「MCPサーバーが返した」 | 単一ノードも委任の完全な連鎖を再構築できない |
根本原因
- 委任スコープはソフト — プロンプトとしてエンコード、暗号論理的証明ではない
- 再委任は追跡されない — データ取得エージェントが呼ばれたことをオーケストレータは知らない
- データ来歴は不在 — どのデータがどの決定に影響したかの記録がない
- 責任は拡散 — 完全な連鎖を所有するノードがない
Lemma導入後 — 同じシナリオの展開
デプロイ時に変わること
- 各委任ステップがZK証明を生成:委任者、受任者、スコープ、タイムスタンプ。証明はオンチェーンにアンカーされる。
- すべてのエージェント操作がその委任証明を携える。下流のツールとMCPサーバーは、エージェントの自己アテステーションを信頼することなく、呼び出し元の権限を検証する。
インシデントタイムライン(Lemmaあり)
| フェーズ | 何が起きるか | Lemmaがどう変えるか |
|---|---|---|
| 委任 | オーケストレータが証明を作成:「コンプライアンスエージェント、スコープ:適格性確認のみ」 | スコープは暗号論理的、解釈可能ではない |
| エスカレーションの試み | コンプライアンスエージェントが「完全な患者履歴」のためにデータ取得を呼び出そうとする | 委任証明は適格性のみ——データ取得エージェントのスコープは制限される |
| 過剰アクセス防止 | データ取得エージェントは適格性関連フィールドのみ照会可能 | MCPサーバーは応答前に委任証明を検証する |
| 持ち出しは不可能 | 機密診断は証明されたスコープの外 | 証明がアクセスを防ぐ、検出だけではない |
| 完全な監査証跡 | 各ステップが委任証明を携え、オンチェーンにアンカー | 監査者が暗号論理的証拠で完全な連鎖を再構築 |
アーキテクチャ
設計原則
委任の連委任の連鎖が監査証跡であり、証明が証拠であり、オンチェーンのアンカーが事後的に何も改ざんされていないことを保証する。
┌─────────────────────────────────────────────────────────────┐
│ オーケストレータ(主体) │
│ │
│ ┌────────────────────┐ ┌────────────────────────────┐ │
│ │ タスク割り当て │───▶│ Lemma 委任証明器 │ │
│ │ 「請求の適格性を │ │ - ZK証明:主体 → 受任者、 │ │
│ │ 確認せよ」 │ │ スコープ、時間 │ │
│ └────────────────────┘ │ - オンチェーンアンカー │ │
│ └─────────────┬──────────────┘ │
└───────────────────────────────────────────┼──────────────────┘
│ 委任証明
▼
┌─────────────────────────────────────────────────────────────┐
│ コンプライアンスエージェント(受任者) │
│ │
│ ┌────────────────────┐ ┌────────────────────────────┐ │
│ │ 再委任 │───▶│ Lemma 委任証明器 │ │
│ │ 「患者の適格性 │ │ - ZK証明:受任者 → │ │
│ │ データを取得」 │ │ 再委任先、スコープ │ │
│ └────────────────────┘ │ - スコープ:適格性のみ │ │
│ └─────────────┬──────────────┘ │
└───────────────────────────────────────────┼──────────────────┘
│ 委任証明
▼
┌─────────────────────────────────────────────────────────────┐
│ データ取得エージェント(再委任先) │
│ │
│ ┌────────────────────┐ ┌────────────────────────────┐ │
│ │ MCPサーバー呼び出し │───▶│ 証明キャリア │ │
│ │ 「適格性フィールド │ │ - 完全な委任の連鎖 │ │
│ │ のみ照会」 │ │ - 適格性にスコープ制限 │ │
│ └────────────────────┘ │ - サーバーで検証 │ │
│ └─────────────┬──────────────┘ │
└───────────────────────────────────────────┼──────────────────┘
│ スコープ付き照会 + 証明
▼
┌─────────────────────────────────────────────────────────────┐
│ MCPサーバー(ツール提供者) │
│ │
│ ┌──────────────────────────────────────────────────────┐ │
│ │ Lemma 検証 │ │
│ │ 1. 委任の連鎖は無傷か(主体 → 受任者 → 再委任先)? │ │
│ │ 2. 要求されたスコープは各レベルの委任スコープ内か? │ │
│ │ 3. すべての証明はまだ有効か(失効していないか)? │ │
│ │ ✓ すべてのチェックが通過 → 適格性データのみ返す │ │
│ │ ✗ スコープが委任を超過 → 照会を拒否 │ │
│ └──────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────┘コンポーネントフロー
- 委任: 各委任ステップが委任者→受任者→スコープ→タイムスタンプを束縛するZK証明を生成する。証明はオンチェーンのコミットメントとして固定される。
- 再委任: 受任者がさらに委任するとき、新しい証明は親証明を参照する。スコープは狭まることしかできない——元々委任されたものを超えることはできない。
- 実行: 再委任先はMCPサーバーやツールを呼び出す際、完全な証明チェーンを携える。サーバーはチェーンを独立して検証する。
- 集約: オーケストレータは、元の主体から最終結果までの完全な証明チェーンとともに最終成果物を組み立てる。連鎖の各ノードは暗号論理的に束縛されている。
証明される事実
Lemma付きのマルチエージェントワークフローが実行されるとき、以下の事実が各委任ノードで暗号論理的に証明される——事後にログされるのではなく:
- 委任の連鎖(主体 → 受任者 → 再委任先) — 誰が誰に許可し、何に基づいているか。連鎖の各リンクは委任者を受任者に束縛するZK証明を携える。
- 各ステップで継承されるスコープ — どの権限が引き継がれたか。スコープは委任を通じて狭まることしかできない;拡張は検証時に拒否される。
- ノードごとの入力と判断 — 各エージェントがどのデータにアクセスし、何を決定したか。証明チェーンは各決定ポイントに影響した入力を記録する。
- エンドツーエンドの監査可能性 — 元の主体から最終成果物までの完全な連鎖は、暗号論理的証拠で再構築可能である。ギャップも曖昧さもない。
はじめる
エージェントへの権限委譲を、ソフトプロンプトではなく暗号的アテステーションとして発行する準備はできましたか。
ユースケースについてお聞かせください。1 営業日以内にご返信いたします。