AIエージェントはSaaSを殺せない
AIエージェントはSaaSを殺せない
Sleepy.md 著
AIエージェントが一般化し、突如として人々はSaaSの終焉を告げる記事を書き始めた。その懸念は理解できる。もしモデルがコードを書き、バグを見つけ、ツールを呼び出し、ワークフローをエンドツーエンドで完了できるなら、なぜ人々は「ソフトウェアシート」の代金を払い続けるのだろうか?
この不安は2026年初頭、公開市場に波及した。AnthropicがClaude向けの新エージェントツールとプラグインを出荷した後、エンタープライズソフトウェアの評価額は大きく見直された。それは「ソフトウェアの時代は終わった」からではなく、投資家が一瞬、UIが消え去り、ワークフローが自律システムに飲み込まれる世界を想像したからだ(Axiosのソフトウェア株価下落に関する報道とAxiosのAnthropicのエンタープライズプラグインに関する報道を参照)。
仮想通貨(クリプト)も、より高いリスクを伴いながら、同じ議論を経験している。
ブロックチェーンにおいて、エージェントは単にタスクを完了するだけでなく、資産を移動させることができる。一度エージェントにトランザクションに署名する能力を与えてしまえば、「SaaSは死んだ」という意見は単なる過激な主張から、いつ起こるかわからないセキュリティインシデントに変わる。現実には、AIエージェントはクリプトSaaSのあり方を変えるだろうが、それを殺すことはない。それらは、真のインフラ、真のセキュリティ、そして真の信頼とは何か、という基準を引き上げることになるだろう。
1) クリプトにおいて「エージェント的」であることはソフトウェアを置き換えるのではなく、ソフトウェアの目的を変える
SaaSに対する悲観論の多くは、直接的な代替を前提としている。
- 旧世界:人間がSaaSのUIでボタンをクリックする
- 新世界:エージェントがクリックする
- 結論:SaaSレイヤーは無用になる
しかし、クリプト製品は単なる「UI」ではない。それらは取り返しのつかないアクションの周りに配置されたガードレールである。カストディの境界、ポリシー制御、監査証跡、そして障害発生時の封じ込め。エージェントは意図を自動化できるが、基盤となるシステムは依然として以下を提供する必要がある。
- 信頼性の高いデータアクセス(インデックス、RPC、価格設定、リスクシグナル)
- 確定的な実行サーフェス(API、スマートコントラクト、署名フロー)
- 必要な場所でのコンプライアンスと監査可能性(機関投資家向けワークフロー、財務運用)
- 安全制御(制限、承認、シミュレーション、ロールバック戦略—たとえ「オンチェーンではロールバックが不可能」であっても、防止策は必要である)
言い換えれば、エージェントはSaaSを消滅させるのではなく、SaaSの価値を「ワークフローUI」から「検証可能なインフラ」へとシフトさせるのである。
これは特に2025~2026年のクリプトトレンドにおいて顕著である。オンチェーンアクティビティはますますコンポーザブルに、クロスドメイン(L2 +ブリッジ +インテント)に、そしてますます機関投資家向け(ステーブルコインレール、トークン化された実物資産、財務自動化)になってきている。これらは「プロンプト一つ」で解決できる問題ではなく、システム全体の問題である。
2) 揺るぎない壁:秘密鍵(そしてなぜエージェントがそれをより重要にするのか)
AIエージェントは「次に何をすべきかを判断する」ことに長けている。秘密鍵は、「それを実行する許可があることを証明する」ことに関わる。
この点が、クリプトとWeb2を鋭く区別する。Web2では、エージェントはしばしば取り消し可能な権限で動作できる。トークンをローテーションしたり、アカウントをロックしたり、請求を無効にしたりできる。オンチェーンでは、署名されたトランザクションは最終的なものである。もしプロンプトインジェクション、ツールポイズニング、サプライチェーン攻撃、または単なる意図のずれによってエージェントが侵害された場合、その影響範囲は即時的である。
したがって、問題はこうなる。
署名者は誰か?
もしあなたの答えが「エージェント」なら、あなたは製品を設計しているのではなく、確率的なシステムにカストディをアウトソースしているのだ。
業界の方向性は、むしろレイヤー化された権限付与へと収束している。
- スマートアカウント/アカウント抽象化:コードでポリシーを表現するため(支出限度額、セッションキー、ホワイトリスト)。良い参考資料としては、EIP-4337(アカウント抽象化)がある。
- インテントベース実行:エージェントがアクションを提案するが、実行はポリシーによって制約される。
- 高リスク操作のための人間参加型承認
- ハードウェアベース署名:秘密鍵とエージェントランタイムとの強力な分離のため。
これはまさに、クリプトセキュリティが譲れない部分である。エージェントはドラフトを作成し、計画し、最適化できるが、最終的な署名は保護されなければならない。
3) 「SaaSは死ぬ」は本当は「SaaS UIは死ぬ」—そしてクリプトはその変化を歓迎すべき
クリプトにおいて、UIはしばしば最も弱いリンクとなる。
- ユーザーは、calldataを解析できないため、悪意のあるトランザクションを承認してしまう。
- 誤ったチェーンで署名してしまう。
- 侵害される可能性のあるフロントエンドを信頼してしまう。
- アドレスを無造作にコピー&ペーストしてしまう。
- 署名する前に結果をシミュレーションしない。
AIエージェントは、生のトランザクション意図を理解可能な要約に翻訳し、異常な承認を検出し、結果を自動シミュレーションすることで、UXを劇的に改善できる。
しかし、それはSaaSをなくすのではなく、SaaSの価値を新しいプリミティブへとシフトさせる。
エージェントが依存する新しいクリプトSaaSプリミティブ
- トランザクションシミュレーションサービス(実行前分析、最悪ケースの結果、MEV/スリッページリスク)
- ポリシーエンジン(許可/拒否ルール、閾値、ホワイトリスト、タイムロック)
- 構造化されたウォレット権限(セッションキー、スコープ付き許容範囲、取り消しフロー)
- 監視+アラート(オンチェーン「SIEMライク」パイプライン、異常検知)
- 証明と監査レイヤー(誰が、どのポリシーの下で、どのようなコンテキストで承認したか)
エージェントはこれらのサービスを常に呼び出すことになる。むしろ、エージェントワークフローはSaaSの使用を増加させる。なぜなら、それらはより多くのアクション、より多くのアクティビティ、そしてより多くのガードレールへの需要を生み出すからだ。
4) エージェント攻撃は仮説ではない—プロンプトインジェクションは「トランザクションインジェクション」になる
エージェントと連携するクリプトアプリを構築する場合、あなたは古典的なAIの脅威が直接的に金銭的損失に結びつく世界にいることになる。
2つの実用的な原則が役立つ。
原則A:モデルを信頼できないものとして扱う
エージェントは敵対的な入力によって操作される可能性があると仮定する。あなたのシステムは以下を強制する必要がある。
- ツール呼び出しの明示的なホワイトリスト(どのコントラクト、どのメソッド、どのチェーン)
- 最大支出限度額
- 厳格な出力スキーマ(「自由形式」の実行はしない)
- 署名前の必須シミュレーションとチェック
一般的なセキュリティの背景としては、Webセキュリティコミュニティの考え方が有用である。 OWASP Top 10を参照されたい。
原則B:あらゆるリスクの高いアクションに、強化された署名境界を要求する
あなたが望む署名境界は以下のようなものであるべきだ。
- エージェントランタイムから分離されている
- マルウェアに耐性がある
- 目的地、金額、ネットワークを明確に確認する
- 人間による検証のために設計されている
ここに、自己カストディの実践—特にハードウェアウォレット—が、エージェント時代において、より重要になるのであり、その逆ではない理由がある。
5) 2026年の「クリプトSaaS」企業にとっての意味
ダッシュボード、分析、財務運用、ポートフォリオ自動化、コンプライアンスツールなど、SaaSのようなクリプト製品を運営している場合、機会は「エージェントと競合する」ことではなく、「エージェントネーティブなインフラ」になることだ。
単純な位置づけの変更がしばしば有効である。
- 「人間向けダッシュボードを提供します。」から
- 「エージェントと人間向けに、信頼性の高い、ポリシーで制約された実行とリスクレイヤーを提供します。」へ
エージェントネーティブになるためのチェックリスト(管理を失うことなく)
- 確定的なAPIを公開する:UI自動化よりも構造化されたエンドポイントを優先する。
- 機械可読なリスク出力を提供する:単なるチャートではなく、明示的なシグナルを返す(例:高いスリッページリスク、安全でない承認スコープ)。
- まずポリシー制御を実装する:制限、ロールベース承認、チェーンホワイトリスト。
- 監査可能性を設計する:紛争にも耐えうるログ(「なぜエージェントはそのような行動をとったのか?」)。
- スマートアカウントとスコープ付き権限をサポートする:自動化がデフォルトで安全になるように。
- 計画と署名を分離する:エージェントに提案を任せ、実行には強化された署名を要求する。
これはDevOpsの進化と同じ話だ。CI/CDがソフトウェアチームを殺すことはなく、むしろ彼らをより規律あるものへと強制した。エージェントはクリプトSaaSを殺すのではなく、それをより安全に、よりコンポーザブルに、そしてより説明責任が持てるものへと強制することになる。
6) OneKeyの役割(AIが「思考」しているとき)
AIがより多くの計画と自動化を行うようになると、攻撃対象領域は拡大する。「脳」(エージェント)は以下にさらされることになる。
- ブラウザ、プラグイン、信頼できないWebコンテンツ
- ツールAPIやサードパーティサービス
- 「役立つ指示」を装ったプロンプトインジェクションの試み
- 自動化パイプラインにおける侵害された依存関係
だからこそ、署名デバイスは分離されるべきなのだ。
OneKeyのようなハードウェアウォレットは、最終的で強化された承認レイヤーとして機能できる。エージェントは署名されていないトランザクションを準備できるが、秘密鍵はオフラインのまま、人間がデバイス上で検証してから署名する。実際には、これは自動化の利点を維持しながら、自己カストディを確保し、「エージェント=カストディアン」のリスクを最小限に抑えるための、最もクリーンな方法の1つである。
オンチェーン自動化を実験しているなら、エージェントがトランザクションインテントを生成し、あなたのスタックがシミュレーション+ポリシーチェックを実行し、OneKeyが最終署名を実行するというワークフローを採用することを検討してほしい。
結論:SaaSは死んでいない—成長を強制されているのだ
「AIエージェントはSaaSを殺す」はキャッチーなスローガンだが、クリプトは欠陥を露呈させる。
- エージェントは実行量を増加させるため、インフラ需要が上昇する。
- キーと署名は、自動化がいくら望んでも消し去れない、厳格なセキュリティ境界を創り出す。
- 勝利する製品は、ワークフローを検証可能で、ポリシーによって制御されたプリミティブへと転換するものである。
2026年、問題はクリプトSaaSが生き残るかどうかではない。それは、あなたのスタックが、ソフトウェアが単に人間だけでなく、 réelな資金が関わる自律的なオペレーターにサービスを提供する世界に対応できるかどうかだ。
