7月17日、Elton Jonesが「1Password now lets Claude log in to sites without seeing your passwords」と題した記事を公開した。この記事では、1PasswordとClaudeが統合し、AIがパスワードを一切参照せずにユーザーの代わりにサイトへログインできる新機能について詳しく紹介されている。
AIにパスワードを渡さずにログインさせる、というアーキテクチャ
AIエージェントがブラウザを操作してタスクをこなす時代に入ると、避けて通れない問題がある。「そのAIに認証情報を見せていいのか」という点だ。
1PasswordとAnthropicのClaudeが統合した今回の新機能は、この問題に対してシンプルな答えを出している。設計のポイントは主語の分離にある。Claudeは認証情報を受け取らず、1Passwordがパスワードをフォームへ直接入力する。つまり、ログイン処理はパスワードマネージャーが担い、Claudeはその結果だけを受け取る構造だ。
仕組みはこうだ。Claudeがログインを伴うタスクをユーザーから受け取ると、1Passwordがユーザーに対して「どの認証情報が、どの目的でリクエストされているか」を通知する。ユーザーが承認すると、1Passwordがパスワードを直接入力する。Claudeが受け取るのはタスク完了の結果だけで、認証情報そのものには触れない。
「Agentic Mode」:AIがブラウザを乗っ取った場合の防衛機構
セキュリティ上、さらに興味深いのが1Passwordが導入した「Agentic Mode」だ。この概念が生まれた背景には、Anthropicが2024年10月に発表したComputer Useがある。AIがブラウザやデスクトップを自律操作できるようになったことで、パスワードマネージャーの拡張機能が悪意ある操作にさらされるリスクが現実的な課題として浮上した。1Passwordはこの流れを受け、AIエージェントが拡張機能にアクセスしようとした際の専用動作モードを設計した。
また、1PasswordはMCP(Model Context Protocol)への対応も念頭に置いており、AIエージェントとツール間の標準的な通信仕様に沿ったかたちで認証フローを実装している。MCPはAnthropicが主導して策定したオープンプロトコルで、AIエージェントが外部ツールやデータソースと安全にやり取りするための仕様だ。
ブラウザベースのAIエージェントが1Password拡張機能にアクセスしようとした場合の動作について、1Passwordの公式ブログはこう説明している。
「互換性のあるAIエージェントが操作を引き継ぐと、1Password拡張機能は自動的にロックダウンする。UIは非表示になり、エージェントは現在のタスクに対して明示的に承認されたログインとワンタイムコードのみを使用できる。ボルト(パスワード保管庫)の残りの部分は一切アクセス不可となる。」
AIエージェントが悪意ある操作やプロンプトインジェクション攻撃を受けた場合でも、承認済みのクレデンシャル以外には触れられない設計になっている。なお、プロンプトインジェクション攻撃とは、悪意ある第三者がAIへの入力(プロンプト)に不正な命令を埋め込み、意図しない動作を引き起こす攻撃手法を指す。Webページ上の隠しテキストや外部コンテンツ経由での悪用が典型的なパターンだ。
利用条件と対応環境
この機能を使うには以下の条件が必要だ。
- 対応OS: Macのみ(現時点)
- 1Passwordのプラン: ビジネス、ファミリー、または個人プランのいずれか
- 必要なもの: 1Passwordデスクトップアプリ、1Passwordブラウザ拡張機能、Claudeデスクトップアプリ、Chrome向けClaude拡張機能
Macのみの対応はローンチ時点での制約であり、Windows対応については言及がない。また、支払いカード情報やID詳細については対応予定とされているが、現時点ではパスワードログインのみが対象となっている。実際に試す前に、1Passwordの公式サポートページで最新の動作要件を確認しておくとよいだろう。
想定されるユースケース
記事では1Passwordが例示するユースケースと、実際にClaudeに生成させたプロンプト例が7つ紹介されている。
- Audibleのウィッシュリストを確認し、今月のクレジットをレビュー評価が最も高いタイトルに使用する
- 航空会社のアカウントにログインし、マイレージでシートアップグレードが可能か確認する
- 電力会社のサイトにアクセスし、今月の請求額が増加しているか確認する
- 複数のアカウントがあるECサイト間で価格を比較し、最安値の店舗から注文する
- 特定のオンラインショップの配送先住所を更新する
- Stripeのダッシュボードから売上サマリーを取得し、異常を検出する
- ビジネス用銀行口座で今週の不審な取引を確認する
StripeダッシュボードへのアクセスやAudibleのクレジット消費といった、実際のアカウント操作を伴うタスクをAIに委譲できる点が特徴だ。これらはいずれも「ログインしてデータを取得・操作する」という一連の流れをAIが担うもので、従来は手動で行う必要があった定型業務の自動化が現実的な選択肢になりつつある。
AIエージェント×認証のセキュリティ設計として
AIエージェントがWebを自律的に操作するユースケースは、AnthropicのComputer Use発表以降、急速に現実味を帯びてきた。その中で認証情報の扱いは業界全体が解決を求めている課題だ。1Passwordが採用した「AIには認証情報を渡さず、パスワードマネージャーが直接入力する」というアプローチは、AIエージェント向けのセキュリティ設計として参考になる事例だ。承認フローをユーザーの手元に残しつつ、操作の自動化を実現するこの構造は、今後のエージェント対応ツールが参照すべき一つの雛形となり得る。
詳細は1Password now lets Claude log in to sites without seeing your passwordsを参照していただきたい。