AARMセキュリティグループのメンバーであるブライアン・ホール氏は、開発者がAIエージェントの最終的な認可判断を大規模言語モデル（LLM）に委ねるべきではないと指摘している。現在の業界動向では、ツール呼び出しを実行する前に別のモデルがそれを監視する「LLMジャッジ」を採用するケースが多いが、ホール氏はこの手法に根本的な欠陥があると警鐘を鳴らす。

モデルは依然としてプロンプトインジェクションやソーシャルエンジニアリングに対して脆弱なままである。攻撃者がエージェントを欺くことができれば、類似の確率的な推論メカニズムに依存する判定用モデルも同様に欺かれる可能性が高い。このため、モデル同士の監視体制はセキュリティ上のリスクを排除できていない。

さらに、LLMが持つ非決定論的な性質もミッションクリティカルな環境では大きな懸念材料となる。モデルは入力に対して多様な出力を生成するサンプリングを用いるため、同一の操作であってもセキュリティ判断が揺らぐ可能性がある。対照的に、伝統的なルールベースのアクセス制御は厳格な拒否・許可ポリシーを適用し、予測可能かつ監査可能なログを提供できる。

ホール氏はLLMをセキュリティアーキテクチャから完全に排除すべきとは説いていない。LLMは異常検知や機密情報のフラグ立てなど、助言的な役割において極めて有用である。最終的な権限判断は決定論的なシステムに委ね、門番としての機能は不変で透明な設計にするべきだとしている。同氏はこの思想を実装したオープンソースプロジェクト「Faramesh」を開発し、許可・拒否の判断をモデルの推論パス外で行う仕組みを提案している。

AARMセキュリティグループのメンバーであるブライアン・ホール氏は、開発者がAIエージェントの最終的な認可判断を大規模言語モデル（LLM）に委ねるべきではないと指摘している。現在の業界動向では、ツール呼び出しを実行する前に別のモデルがそれを監視する「LLMジャッジ」を採用するケースが多いが、ホール氏はこの手法に根本的な欠陥があると警鐘を鳴らす。

モデルは依然としてプロンプトインジェクションやソーシャルエンジニアリングに対して脆弱なままである。攻撃者がエージェントを欺くことができれば、類似の確率的な推論メカニズムに依存する判定用モデルも同様に欺かれる可能性が高い。このため、モデル同士の監視体制はセキュリティ上のリスクを排除できていない。

さらに、LLMが持つ非決定論的な性質もミッションクリティカルな環境では大きな懸念材料となる。モデルは入力に対して多様な出力を生成するサンプリングを用いるため、同一の操作であってもセキュリティ判断が揺らぐ可能性がある。対照的に、伝統的なルールベースのアクセス制御は厳格な拒否・許可ポリシーを適用し、予測可能かつ監査可能なログを提供できる。

ホール氏はLLMをセキュリティアーキテクチャから完全に排除すべきとは説いていない。LLMは異常検知や機密情報のフラグ立てなど、助言的な役割において極めて有用である。最終的な権限判断は決定論的なシステムに委ね、門番としての機能は不変で透明な設計にするべきだとしている。同氏はこの思想を実装したオープンソースプロジェクト「Faramesh」を開発し、許可・拒否の判断をモデルの推論パス外で行う仕組みを提案している。