Perplexity Computerの権限はどこまで?AIエージェント時代の新常識と危険な落とし穴

Perplexity

「AIに任せたら、勝手にファイルを消された」「知らないうちにAIがアカウントにアクセスしていた」——そんな恐ろしい話が、もはやSFではなくなっています。2026年2月に登場したPerplexity Computerは、AIがあなたの代わりに仕事をこなす「デジタル労働者」として大きな注目を集めています。でも、ちょっと待ってください。そのAIエージェント、一体どこまでの権限を持っているのか、あなたはきちんと把握していますか?

権限設計を甘く見ると、便利さの裏でとんでもないリスクを抱え込むことになります。DeNAがAIエージェントを「社員として育てる」発想で取り組み、AmazonがPerplexityを裁判所に訴えた今、AIの権限管理はもはやエンジニアだけの話ではありません。個人から企業まで、AIを使う全員が知っておくべき「権限の境界線」について、最新情報をもとに徹底解説します。

ここがポイント!
  • Perplexity Computerは複数のAIモデルを束ねる「デジタル上司」で、クラウド環境でファイル操作・ブラウジング・API連携まで自律実行できる。
  • AIエージェントの権限設計が甘いと、意図しないデータ削除・不正アクセス・セキュリティ事故につながる現実のリスクがある。
  • PerplexityとAmazonの法廷闘争が示す通り、「ユーザーの許可」と「サービス側の許可」は別物であり、AIエージェント時代の新たな法的グレーゾーンが生まれている。
  1. Perplexity Computerとは何か?まず基本から押さえよう
  2. AIエージェントの権限はどこまで許されているのか?
    1. クラウド版Computerの権限設計
    2. Personal Computerの権限はさらに踏み込んでいる
  3. 権限設計が甘いと何が起きるか?OpenClawの教訓
  4. AmazonとPerplexityの法廷闘争が示す「権限の境界線」問題
  5. 企業がAIエージェントを安全に使うための権限設計とは?
  6. Perplexity AIの検索エンジンとしての特性を活かした権限確認プロンプト集
    1. AIエージェント導入前のリスク調査プロンプト
    2. 競合ツールの権限設計を比較調査するプロンプト
    3. プロンプトインジェクション攻撃への対策を調べるプロンプト
  7. 現実でよく体験するのに誰も教えてくれなかった問題と解決策
    1. 「AIに何でもやらせたら、後から何をやったかわからなくなった」問題
    2. 「月200ドル払ったのに、いつの間にか機能が削られていた」問題
    3. 「AIエージェントに連携ツールのAPIキーを渡すのが怖い」問題
  8. Perplexity ComputerとModel Councilという新機能が変えること
  9. AIエージェントの権限問題を巡るビジネスと法律の現在地
  10. ぶっちゃけこうした方がいい!
  11. Perplexity Computerの権限に関するよくある疑問に答える
    1. Perplexity Computerはローカルのファイルを勝手に削除したりしないのか?
    2. 無料プランとエンタープライズプランで権限やセキュリティの扱いはどう違うのか?
    3. 「ユーザーが許可している」のにAIエージェントが法的に問題になるのはなぜか?
  12. まとめ

Perplexity Computerとは何か?まず基本から押さえよう

AI検索エンジンのイメージ

AI検索エンジンのイメージ

2026年2月25日にリリースされたPerplexity Computerは、一言で言えば「AIが他のAIを指揮する統合エージェントシステム」です。従来のチャット型AIが「質問に答える」ものだったとすれば、Perplexity Computerは「仕事を完遂する」ためのツールです。

仕組みはこうです。あなたが「競合5社の価格調査をして比較スプレッドシートを作って」と指示すると、Perplexity Computerはその目標を分解し、複数のサブエージェントに振り分けます。ウェブリサーチ担当、ドキュメント作成担当、データ処理担当——それぞれが並行して動き、最終的に一つの成果物として届けてくれる。それが数時間ではなく、場合によっては数ヶ月にわたって自律的に動き続けることもあります。

現時点でのコアエンジンにはClaude Opus 4.6が使われており、リサーチにはGemini、画像生成にはNano Banana、動画にはVeo 3.1、軽量タスクにはGrok、長文処理にはChatGPT 5.2というように、タスクの特性に応じて最適なモデルを動的に選択します。つまりあなたは、世界最高峰のAIモデルを一つのインターフェースからまとめて使えるわけです。

料金はPerplexity Maxプランの月額200ドル(年払いなら実質167ドル)が必要で、無料試用はありません。2026年3月現在、企業向けの「Computer for Enterprise」も展開が始まっており、Snowflake、Salesforce、Slack、GitHub、Notionなどのビジネスツールとの連携も可能になっています。

AIエージェントの権限はどこまで許されているのか?

ここが最も重要なポイントです。Perplexity Computerは「どこまでやっていいか」について、どんなルールを設けているのでしょうか?

クラウド版Computerの権限設計

クラウドベースのPerplexity Computerは、タスクごとに独立した隔離環境で動作します。実際のファイルシステム、実際のブラウザ、実際のAPIツールへのアクセスを持ちながらも、ローカルマシンには直接触れません。重要なのは、APIキーやログインセッションの権限はそのタスクの実行中だけに限定されており、グローバルな永続的権限は持たない設計になっています。

高リスクのアクション——金融取引の実行、外部へのメール送信、外部システムの変更——については、人間の承認(ヒューマン・イン・ザ・ループ)が必要です。Perplexityは公式に「これらのアクションをユーザーの許可なく自律実行することはない」と明言しています。

ただし、これはあくまでも「現在の公式方針」です。Perplexityは具体的なサブタスクの最大数や依存関係の深さについて、詳細なしきい値を公表していません。複雑なワークフローではステップが連鎖するため、途中のエラーが最終出力まで汚染されるリスクがあります。だからこそ、最初はシンプルなタスクから始め、徐々に複雑度を上げていく使い方が推奨されています。

Personal Computerの権限はさらに踏み込んでいる

2026年3月11日のAsk 2026カンファレンスで発表されたPersonal Computerは、話が一段と複雑になります。これはMac miniのような専用デバイスに常駐し、ローカルのファイルやアプリに24時間365日アクセスし続けるシステムです。

デスクトップ上の写真フォルダを解析してウェブサイトを作ったり、ファイルをリネームしたりリサイズしたり——あなたが指定していない変更も、タスク達成のために「適切と判断」すれば実行されます。Perplexity CEOのAravind Srinivasは「センシティブなアクションは承認が必要で、全セッションの監査ログも残る。緊急時のキルスイッチもある」と説明していますが、その「センシティブ」の定義は今のところ曖昧なままです。

権限設計が甘いと何が起きるか?OpenClawの教訓

Perplexity Computerが誕生した背景を理解するには、その前身的存在であるOpenClaw(旧ClawdBot、旧Moltbot)の話を避けて通れません。

OpenClawはローカルマシン上でバックグラウンドプロセスとして動くAIエージェントで、適切なプラグインと権限を与えれば、メールの整理、ウェブサイト構築、ファイルの変更や削除まで何でもやってしまう代物でした。USER.MD、MEMORY.MD、SOUL.MD、HEARTBEAT.MDといった設定ファイルでAIに目標を持たせ、長期間にわたって自律的に動かすことができました。

結果は「圧倒的に便利」か「取り返しのつかない事故」のどちらかでした。ユーザーのメールを無断で削除したという実際の事例が記録されており、これはフィクションではなく現実に起きたことです。OpenAIはこのOpenClawの開発者を雇い入れており、マルチエージェント型のオーケストレーションが各AIメジャーの戦略の中心になっていることを示しています。

Perplexity Computerはこの教訓を踏まえ、クラウドで管理された隔離環境、キュレーションされた統合機能、そして中央集権的なガバナンスという形でOpenClawの弱点を克服しようとしています。しかし完全な解決策かどうかは、まだ実績が積み上がっていないのが正直なところです。

AmazonとPerplexityの法廷闘争が示す「権限の境界線」問題

2026年3月、AIエージェントの権限問題は法的な次元に突入しました。サンフランシスコの連邦裁判所が、PerplexityのCometブラウザによるAmazonでのAI購入代行を禁止する仮処分を認めたのです。

事の発端は2025年11月にAmazonがPerplexityを提訴したことです。Amazonは「CometがAmazonのルール上禁止されている自動データ収集を行い、ユーザーのログイン情報を利用してパスワード保護されたアカウントにアクセスしている」と主張しました。

ここで面白いのは、Perplexity側の反論です。「ユーザーが私たちのAIエージェントに代わりに購入させる許可を与えている」と主張したのです。これは確かに正しい。ユーザーはCometに権限を渡しています。しかし裁判官は、「ユーザーの許可」と「Amazonによる許可」は別物だと判断しました。

「ユーザーが許可している」ことと「サービス側が許可している」ことは、全く異なる概念です。この法的グレーゾーンは、AIエージェントが広く普及するにつれて、ますます多くのサービスで問題になるでしょう。今回の判決は「エージェント経済」全体に影響する先例になりうるものです。Perplexityは上訴する意向を示しており、この争いは続いています。

企業がAIエージェントを安全に使うための権限設計とは?

DeNAがAIエージェント「LemonクんJR」をSlackで動かしながら「毎朝けんかしている」と言いつつも諦めないのは、適切な環境設計があるからです。南場会長が語る「エンバイロメントエンジニアリング」の本質は、AIを賢くすること以上に、AIが働く「環境」を設計することにあります。

PerplexityとAmazonの件、AWSでKiroが環境を誤って操作した事例(権限設定の誤りが原因とされる)——これらはすべて、権限設計が甘いと引き起こされるリスクの具体例です。

では、企業や個人が実際にどう対処すればいいのか。Perplexityの公式ドキュメントや実際の導入事例から見えてくる重要なポイントは以下の通りです。

まずAPIキーはスコープを絞ることが基本中の基本です。CRMのAPIに連携するなら、マスターキーではなく読み取り専用のOAuthトークンを使う。これだけで万が一の時のダメージを劇的に減らせます。次にセッションをまたいで権限を引き継がせないこと。Perplexity Computerはタスクごとに権限を付与する設計になっていますが、それを前のセッションから安全に引き継がれていると思い込んでいると落とし穴にはまります。

そして最も大切なのは「どこまで見せるか」「どこまでやらせるか」の境界線を明示的に決めることです。AIが「便利そうだからやっておきました」という行動は、ビジネスの文脈では大きな問題になりえます。CrowdStrikeとPerplexityの提携(2026年3月11日発表)が示すように、エンタープライズ向けにはブラウザレベルのセキュリティポリシー、アクションログ、リアルタイムデータ保護をセットで組み込む方向に業界全体が動いています。

Perplexity AIの検索エンジンとしての特性を活かした権限確認プロンプト集

AI検索エンジンのイメージ

AI検索エンジンのイメージ

ここからは少し実用的な話をします。Perplexity AIはChatGPTとは根本的に異なる設計思想を持っています。ChatGPTが「推論エンジン」なら、Perplexity AIは「リアルタイム検索+AI合成エンジン」です。この違いを理解すると、AIエージェントの権限問題をリサーチするときにも、まったく違う使い方ができます。

多くの人がやりがちな失敗は「ChatGPTに話しかけるのと同じ感覚でPerplexityに質問すること」です。漠然と「Perplexity Computerの権限について教えて」と聞いても、検索コンポーネントが散漫な結果を返してしまい、焦点のぼけた回答が出てきます。Perplexity AIを本当の意味で使いこなすためには、「何を知りたいのか」「どの範囲の情報が必要か」「どういう形式で出力してほしいか」をセットで伝えることが重要です。

以下に、今回の記事テーマ「AIエージェントの権限設計」に特化した実践的なプロンプトを紹介します。これらはChatGPT向けではなく、Perplexityの検索+AI合成という特性を最大限に活かしたものです。

AIエージェント導入前のリスク調査プロンプト

AIエージェントを自社に導入する前に、最新のセキュリティリスクを一覧化したい場面はよくあります。そんなときにはこういった聞き方が効果的です。

「2026年に報告されたAIエージェントによるセキュリティインシデントのうち、権限設定ミスや過剰なアクセス権が原因とされるものを時系列でまとめてください。対象はEnterpriseレベルの導入事例に限定し、各ケースの原因・影響・対策を表形式で整理してください。」

このプロンプトがうまく機能するのは、範囲(2026年、Enterpriseレベル)・フォーカス(権限設定ミス)・出力形式(表形式)の三つが明確になっているからです。漠然と「AIエージェントのリスクを教えて」と聞くのとでは、情報の密度がまったく違います。

競合ツールの権限設計を比較調査するプロンプト

Perplexity Computer、OpenClaw、Claude Cowork、GitHub Copilot Workspaceを検討している場合、各ツールの権限モデルの違いを整理したいことがあります。

「Perplexity Computer、OpenClaw、Claude Cowork、GitHub Copilot Workspaceのそれぞれについて、(1)ローカルファイルへのアクセス可否、(2)外部APIへのアクセス権限の付与方法、(3)ヒューマン・イン・ザ・ループの有無、(4)監査ログの取得可否、を比較した最新情報を提供してください。情報源には各社公式ブログやセキュリティ研究者のレポートを優先してください。」

このように複数の比較軸を明示することで、Perplexityの検索コンポーネントが各項目に関連する最新ソースを的確に引っ張ってきます。結果として、自分でそれぞれ検索して比べる手間が一気に省けます。

プロンプトインジェクション攻撃への対策を調べるプロンプト

AIエージェントに関するセキュリティの中でも、現場で特に見落とされがちなのがプロンプトインジェクション攻撃です。これはAIが閲覧するウェブページや取得したドキュメントの中に、悪意ある指示が埋め込まれているケースで、エージェントがその指示に従って意図しない行動を取るリスクがあります。Perplexityは自社のCometブラウザについて多層的な防御(リアルタイム分類器、ツールレベルのガードレール、意図強化メカニズム)を実装していますが、これはPerplexity製品だけの話ではありません。

「AIエージェントに対するプロンプトインジェクション攻撃の2026年の最新事例と、エンタープライズ環境での実装可能な防御策を説明してください。特にCometやPerplexity Computerのような外部コンテンツを取得・実行するエージェントに対して有効な対策を、技術的な実装レベルで教えてください。」

このプロンプトは「最新事例(=検索が必要)」と「技術的な実装(=深い知識が必要)」を組み合わせることで、Perplexityの強みを最大限に引き出せます。

現実でよく体験するのに誰も教えてくれなかった問題と解決策

ここからは少し「体験談的」な話をします。AIエージェントや権限設計について調べているとき、理論は理解できても「で、実際どうすればいいの?」という場面がいくつもあります。そういった現実の問題に、できるだけ具体的に答えていきます。

「AIに何でもやらせたら、後から何をやったかわからなくなった」問題

これは本当によくある話です。Perplexity Computerに「競合調査レポートを作って」と指示して、数時間後に完成品が届いたとします。でも、どこのサイトを参照したのか、どんなAPIを叩いたのか、途中でどんな判断をしたのかが「よくわからない」状態になることがあります。

解決策はシンプルで、タスクを開始する前に「作業ログを段階的に出力しながら進めること」を明示的に指示に含めることです。「各ステップの実行後に何をしたかの要約を出力しながら進めてください」という一文を加えるだけで、後から追跡できる透明性が格段に上がります。Perplexity Computer for EnterpriseではAudit Logが自動生成されますが、個人向けのMaxプランではこの明示的な指示が実質的なログの役割を果たします。

また、2026年2月のChangelog更新でEnterpriseプランにはExpanded Audit Logsが追加されており、AIが生成した回答の内容そのもの(モデル名、使用したモード、情報源)まで記録できるようになっています。ビジネス利用ならEnterpriseへの移行を検討する価値があります。

「月200ドル払ったのに、いつの間にか機能が削られていた」問題

これは2026年初頭にPerplexityコミュニティで実際に多数報告された問題です。Proプランの週あたり検索回数が600回から200回に削減され、Deep Researchの月間利用回数が50回から20回に減らされたにもかかわらず、ユーザーへの事前通知がなかった事例が相次ぎました。年間契約(一部は通信キャリアやデバイスメーカー経由の特別価格)で購入したユーザーが、クレジットカード情報の未登録を理由にアカウントをダウングレードされるという深刻なケースも報告されています。

率直に言って、AIツールのプランは「契約時の内容が永続する」と思い込まないことが鉄則です。特にスタートアップが提供するAIサービスは、ビジネスモデルの変化とともに機能・料金・制限が予告なく変更されるリスクがあります。月払いを基本とし、重要なワークフローを単一ツールに依存させない設計を最初から意識することが、長期的には安全です。利用制限に関しては、公式のChangelogページを定期的に確認する習慣が自衛策として最も実効性があります。

「AIエージェントに連携ツールのAPIキーを渡すのが怖い」問題

これは正直な感覚として非常にまっとうです。Perplexity ComputerをSlackやGitHub、Salesforceと連携させる際、どの権限を渡せばいいのか迷う人は多いはずです。

実践として推奨されているのは「最小権限の原則(Principle of Least Privilege)」の徹底です。たとえばGitHubと連携する場合、Organization全体の管理者権限ではなく、特定のリポジトリへの読み取り専用トークンを発行する。Salesforceと連携する場合は、カスタムの読み取り専用プロファイルを作成して渡す。これだけで、万が一エージェントが誤作動したときのダメージを最小化できます。

Perplexity公式のセキュリティドキュメントでも、Just-In-Time(JIT)アクセス制御——必要なときだけ一時的なアクセス権を付与し、用が済んだら自動的に失効させる——の概念が言及されています。このアプローチをAPIキー管理にも応用することが、AIエージェント時代のベストプラクティスになりつつあります。

Perplexity ComputerとModel Councilという新機能が変えること

2026年3月の最新アップデートで、Model Councilという機能がMaxサブスクライバー向けに追加されました。これは、あなたの質問に対してGPT-5.4、Claude Opus 4.6、Gemini 3.1 Proの三つのモデルが同時並行で回答し、三者の合意点・相違点・それぞれのユニークな視点をまとめて提示してくれる機能です。

権限設計やセキュリティ判断のような「答えが一つではない」問題においては、これは特に強力なツールになります。一つのモデルが見落とした視点を別のモデルが補う。あるモデルが「問題ない」と言うのに別のモデルが「リスクがある」と指摘する——その差分こそが、意思決定の精度を上げる本当の情報です。

従来は「三つのタブを開いて、それぞれに同じ質問をコピペする」という手間をかけていた作業が、一つのインターフェースで完結するようになりました。さらに同日のアップデートで、Custom Skills(カスタムスキル)機能も追加されており、毎週同じような調査を繰り返す場合はそのワークフローを自動化できるようになっています。たとえば「毎週月曜日に先週のAIセキュリティインシデントをまとめてレポートする」という繰り返しタスクをSkillとして登録すれば、その後は自動で動き続けます。

AIエージェントの権限問題を巡るビジネスと法律の現在地

PerplexityとAmazonの裁判は、単なる二社間の争いではありません。この判決が確定した場合、AIエージェントが外部サービスを代理操作する行為そのものの法的位置づけが大きく変わります。

現状では「ユーザーが許可している」という論理でエージェントによる代理行動を正当化するロジックが、少なくとも米国連邦裁判所レベルでは否定されました。つまり、ユーザーとエージェントの間の許可関係と、エージェントとサービス提供者の間の許可関係は、法的に切り離して考えなければならないということです。

この判決は「エージェント経済」全体の設計思想に影響を与えます。PayPalが2025年に発表した「Agentic Payments」の構想のように、AIエージェントが正規の認証された代理人として経済活動を行うための業界標準プロトコルの整備が急務になっています。どのAPIが「AIエージェントからのアクセスを許可している」のかを明示するための標準化作業は、今まさに進行中です。

企業の立場から見ると、今後のAIエージェント導入では「使うサービスの利用規約にボット・エージェントのアクセスに関する条項があるか」を必ず事前確認することが新たなコンプライアンス要件になるでしょう。これはリーガルチームとエンジニアが連携しなければならない問題です。

ぶっちゃけこうした方がいい!

ここまで読んでくれた人には、少し本音で話したいと思います。

Perplexity Computerの権限問題を調べていると、ついつい「どのツールが最も安全か」という比較論に引き込まれます。でも個人的に思うのは、「安全なツール」を探すより「安全な使い方」を設計する方が、ぶっちゃけ圧倒的に楽で効率的だということです。

ツールは変わります。今日のPerplexity Computerのベストプラクティスは、半年後には古くなっている可能性が高い。機能追加もあれば、価格変更もあれば、セキュリティアップデートもある。そのたびに「このツールは安全か」を一から調べ直していたら、それだけで仕事の半分を使い果たします。

だから、個人的に一番理にかなっていると思うのは「ツールに依存しない権限設計の原則を一度だけしっかり理解して、それをどのツールにも適用する」というアプローチです。最小権限の原則、タスクスコープの明示、監査ログの確保、キルスイッチの把握——これら四つさえ身についていれば、新しいツールが出てくるたびに「このツールでの最小権限の設定はどうやるんだっけ?」と調べるだけで済む。根本から作り直す必要がなくなります。

AIエージェント時代に本当に怖いのは、特定のツールのバグではなく、「AIを便利だと思い込んで、権限の境界線を考えることを止めてしまう人間側の慣れ」だと思っています。PerplexityがCometにプロンプトインジェクション対策を何層も重ねているのも、結局は「AIが何をやっているかを人間が追跡できる状態を維持する」ための仕組みです。

便利さと安全性は、設計次第で両立します。AIに何かをさせるとき、「止めたいとき、どうやって止めるか」を先に決めてから始める——これが、AIエージェント時代を生き抜くための、ぶっちゃけ一番シンプルで一番効く習慣です。

Perplexity Computerの権限に関するよくある疑問に答える

Perplexity Computerはローカルのファイルを勝手に削除したりしないのか?

クラウド版のPerplexity Computerはローカルマシンに直接アクセスしません。すべてのタスクは隔離されたクラウド環境で実行されます。一方、Personal Computer(Mac miniなどに常駐するローカル版)は、ファイルの変更も実行できますが、センシティブなアクションはユーザーの承認が必要とされています。ただし「センシティブ」の定義はPerplexityが決めるものであり、ユーザー側が事前に確認・設定しておくことが重要です。実際の使用前に、必ず最新のプライバシーポリシーと権限ドキュメントを確認することを強くお勧めします。

無料プランとエンタープライズプランで権限やセキュリティの扱いはどう違うのか?

大きく異なります。無料・Proプランではデータが分析目的で利用される可能性があり、自分でオプトアウトを設定しない限り、クエリ情報が活用されることがあります。一方、Enterprise ProプランおよびSonar APIではゼロデータリテンション(ZDR)ポリシーが適用され、エンタープライズデータはモデルのトレーニングに使われないことが明言されています。Computer for Enterpriseにはシングルサインオン(SSO)対応、コンプライアンス機能、CrowdStrikeとの連携によるブラウザレベルのセキュリティが追加されており、ビジネス用途では必ずエンタープライズプランを検討してください。

「ユーザーが許可している」のにAIエージェントが法的に問題になるのはなぜか?

PerplexityとAmazonの裁判が示す通り、サービス利用規約上の「許可」はプラットフォームごとに異なります。あなたがPerplexityにAmazonでの購入代行を許可しても、AmazonはPerplexityのボットによるアクセスを禁止しています。AIエージェントは複数のサービスをまたいで動くため、各サービスの利用規約とAIエージェントの行動範囲の整合性を確認することが、ユーザー側の責任になっています。これは今後も多くのサービスで問題になりうる重要なポイントです。

まとめ

Perplexity Computerは2026年2月に登場したばかりで、AIエージェントの権限問題は今まさに形成されつつある段階です。「どこまでやらせるか」という問いに対して、業界がまだ明確な答えを持っていないことは、AmazonとPerplexityの法廷闘争が何より雄弁に物語っています。

DeNAが「毎朝けんかしながら」AIを育てているように、AIエージェントとの付き合い方は試行錯誤の連続です。しかし一つ確実に言えることは、権限設計を後回しにした組織と個人が、最初に痛い目を見るということです。

便利さと安全性は対立しません。むしろ、安全性の設計が整っているほどAIは本来の力を発揮できます。今すぐできることは「何を見せるか」「何をやらせるか」「どうやって止めるか」の三つを明示的に決めること。そこから始めれば、Perplexity Computerはあなたの強力な武器になります。AIに仕事をさせるのではなく、AIと一緒に仕事をする——その主導権は、まだあなたの手の中にあります。

コメント

タイトルとURLをコピーしました