画面キャプチャから実行ループへ：中国のAIエージェント端末が、日常的オートメーションの「権限」と「信頼」を塗り替える

1. 転換点：エージェントとは「答える存在」ではなく「実行する存在」になった

Honorの最新の「ロボット電話」提案は、単にアシスタントが画面を読み取れるという話ではありません。複数のアプリにまたがってタスクを実行し、そのうえで実行ループによって完了まで持ち込む、ということです。2025年10月、HonorはYOYO Agentを中心に、同端末が「3,000超のシナリオ」で自動実行できるとする機能群を公開しました。(Source)

このような数字でも意味があるのは、単発のデモ映えではなく、ツール起動のためのエンジニアリング投資、アプリを跨ぐルーティング、そして権限付与の挙動が、繰り返し検証可能な形で組み込まれていることを示唆するからです。

同時に、エンジニアリングの方向性が規制当局やセキュリティチームにも判読可能になってきました。画面をキャプチャし、ツールを呼び出し、さらに他のアプリ内で行動できる端末は、リスクの性質を「コンテンツ生成」から「状態の変化」へと移します。だからこそ、コンプライアンスと信頼・セキュリティの層は、一般的なプライバシーポリシーというより、実行ループのセキュリティに近づいています。エージェントに何が許されるのか。ユーザーはどこで確認しなければならないのか。機微なデータはどう扱われるのか。そしてシステムは何が起きたかをどう記録するのか。これらが焦点になります。

ここにあるのが、まさに中国のAIエージェント端末がいま抱える編集的な緊張関係です。ユーザーは「質問するための別のインターフェース」を求めているのではありません。重要な手順を黙って飛ばさず、要求を端から端まで完了できる電話を求めています。そして競合は、コントロールされた報道向けデモで動くかどうかではなく、現実の権限制約下でもそのループが信頼できるかどうかで評価されつつあります。

2. 技術の転換： 「エージェント的チャット」から「端から端までのタスクリープ」へ

紙の上では、エージェント端末のアーキテクチャは単純に見えます。アシスタントがユーザーの要求を解釈し、見えているものを特定し、ツールを選び、目標が達成されるまで複数アプリへルーティングする。ところが実務では、ループは継ぎ目で壊れます。権限、UIの状態、アプリを跨ぐ文脈がうまく揃わないと、実行の連鎖が途切れるのです。

そのため最新の主張では、チャットの受け答えだけでなく、「実行モデル」や「アプリ横断の動作」を強調する傾向が強まっています。WIREDによるHonor UI Agentの報道は、それを、グラフィカルなユーザーインターフェースを理解し、そのうえで多段階のプロセスを通じて要求を実行する能力を持つ「GUIベースのモバイルAIエージェント」として説明しています。(Source)

技術的に重要なのは、「GUIベースの実行」が単一の機能ではないという点です。測定可能な“詰まりどころ”を持つパイプラインです。実行ループを信頼可能にするには、少なくとも次の4つの状態遷移が正しく、しかも復元可能でなければなりません。（1）知覚の整合：画面に何が表示されているかに対するエージェントの解釈が、UIの実際の状態と一致していること。（2）ツールの適格性：OSが、現在の権限付与に基づいてそのツール呼び出しを許可すること。（3）アクションのコミット：システムが実行する行為（タップ、送信、削除など）は、エージェントがその行為を正しいUI要素に結び付けた後でのみ行われること。（4）事後の検証：ループが結果を確認すること（たとえば確認ページが表示されたか）を行ってから次の手順へ進むこと。WIREDの説明は、このような段階的ルーティングを示唆しますが、製品としてどう成否が分かれるかは、各“詰まりどころ”が失敗する様相に左右されます。エージェントが安全にリトライするのか、確認のために止まるのか、それともズレた前提のまま進み続けるのか。ここが決定的になります。

同じ報道は、画面理解をより大きなモデルのスタックや個人の知識ベースにつなげられること、また一部のデータ取り扱いの主張が端末ローカリティとユーザー嗜好の学習に基づいて組み立てられていることも示しています。(Source)

日常ユーザーにとっての実装上の翻訳はこうです。端末は「タスク記述のためのメッセージング層」ではなく、「タスク完了のためのオペレーティング層」のように振る舞い始める、ということです。これは、ユーザーが何を信頼しなければならないかを変えます。

アプリ開発者の視点では、ループが製品要件を締め固める場所です。エージェント的自動化は一般に、（a）エージェントが何を見られるか、（b）どんな行為を取れるか、（c）それらの行為が実際に起きる前に必要な権限が何か、の間に決定的な対応関係を要します。これが端末OSを、よりきめ細かく監査可能な権限フローへ押し進めます。たとえばHonorのMagicOSセキュリティ文書では、権限管理の仕組みや、ユーザー側で権限を付与するかどうかを制御できることが論じられています。さらに通知やプライバシーへのアクセス報告といった保護機構も併記されています。(Source)

3. オンデバイスかクラウドか：なぜ「エッジ実行」がいまコンプライアンスの設計選択になるのか

エージェント端末の競争はしばしば、オンデバイス対クラウドのトレードオフとして語られます。しかし商品化の段階では、それはコンプライアンスの設計選択でもあります。実行ループはUIの状態と低遅延でやり取りする必要があり、そのため推論を端末側により多く寄せる流れが生まれます。同時に、画面コンテンツやユーザーデータをクラウドへ送ることは、コンプライアンス上の負担を増やし、機微情報への攻撃面を広げます。

Honorの公開資料では、権限管理やプライバシーアクセス記録など、プライバシー保護を含む仕組みが説明されています。セキュリティ技術ホワイトペーパーでは、差分プライバシーのような概念にも言及があります。(Source) さらに公開のプライバシーQAでは、月次のプライバシー報告に加え、7日間のプライバシーアクセス記録とリスクレポートを前面に出す仕組みも述べられています。エージェント端末がユーザーによる監査可能性を持つものとして位置付けられているわけです。(Source)

ただし、実行ループ端末にとってより露わな問いは、「モデルがどこで動くのか」ではありません。証拠がどこで生成されるのかです。コンプライアンスの姿勢は、うまくいかない場面でループが生み出す監査可能性の強度にしか左右されません。たとえばツール呼び出しが失敗したら（権限拒否）、ユーザーに適切な理由が示されるのか。エージェントが画面コンテンツを要求した場合、その要求は後に行為の正当化に使われるのと同じトレースとして記録されているのか。データが端末内で処理されるなら、何が送信され、何が秘匿され、そして秘匿の扱いが報告されるプライバシーアクセス履歴とどう結び付いているのか。言い換えれば、エッジ実行はデフォルトのデータ露出を変える一方で、コンプライアンスはツール呼び出しやデータアクセスが、ユーザーに見える記録と説明可能に結び付いたまま維持されるかにかかっています。

一方で、モバイルエージェントの研究全体では、制約の多い断片化したアプリ環境での正確な対話が難しいことが強調されています。2025年のarXiv論文「AppCopilot」は、モバイルエージェントの実用性を、一般化、画面上の相互作用の精度、長期（ロングホライゾン）の実行、そして資源制約下のデバイスでの効率という4つの課題に整理しています。(Source) まさに、オンデバイス型アーキテクチャが軽減しようとするのはこうした失敗モードです。クラウドだけの実行では、時間を跨いだUI状態の整合を安定して保証しにくいためです。しかも重要なのは、端末内での効率は単にコストの問題ではないことです。端末内での効率は、エージェントがどれくらい頻繁にUI状態を再確認しなければならないかを決めます。そしてそれは、ドリフト（ズレ）から回復するために、機微な画面露出がどれくらい必要になるかにも直結します。

ベンダー側の含意は明確です。**「エッジ」とは速さだけではありません。**実行ループを、権限システムを動かすのと同じ信頼境界の中で、監査可能かつ強制可能にすることが目的です。クラウド実行が支配的になる場合、ツール権限のエンドツーエンド保証は難しくなります。というのも、ツール呼び出しのたびにそれはクロスシステムの出来事になり、そしてクロスシステムの出来事こそが、ログ、タイミング、ユーザー同意がしばしば曖昧になりやすいからです。

4. ツール権限と実行ループのセキュリティ：ユーザーと開発者に何が変わるのか

「ツール権限」という言葉は抽象的に聞こえます。けれど、クリックし、文字を入力し、設定を開き、リストを読み、行為を確定できるエージェントを想像すれば、問いは具体化します。エージェントはそれらの権限を安全に要求し、使えるのか。さらに、ユーザーに対して「何をしようとしているのか」を証明できるのか。

Honorのエコシステムでは、AIボタンとYOYO Agentの説明が、多くのシナリオにまたがる自動実行を強調し、その挙動をエコシステム全体のアシスタントに結び付けた報道もあります。(Source) しかしセキュリティの説明は、機微アクセスが必要になったときにエージェントが何をするのかを答えなければなりません。端末OSの用語では、権限モデルが“番人”です。Honorのセキュリティ技術ホワイトペーパーは、MagicOSのプライバシー保護アプローチの一部として、権限管理を位置付けています。さらに、アプリが権限を要求する仕組みや、保護されたAPIおよびリソースへのアクセスがどう制限されるかを論じています。(Source) エージェントは短時間で多数のツール呼び出しを連鎖させ得ます。したがって、権限要求が騒がしく、または不明瞭であれば、ユーザーは無視するか、そもそも介入をやめてしまいます。

それゆえ実行ループのセキュリティは、いま「説明可能なポリシー」というより「強制可能な信頼」へ寄っていく必要があります。ユーザーは、タスクが金銭・身元・個人記録に変化を起こし得るポイントで確認を求められるべきです。開発者は、どのツールを、どんな条件のもとで、どの範囲を（ユーザーが許可した範囲で）呼び出せるのかが予測可能な権限契約を必要とします。

強制の捉え方として有益なのは、2つのリスクを切り分けることです。第一に「過剰な権限付与」です。エージェントが必要以上のデータへアクセスできてしまう状態です。第二に「権限のタイミング」です。正しい付与が整う前に、エージェントがツール呼び出しを試みてしまう可能性があります。OSとエコシステムは、何をアプリが露出できるかを締めること、状態を変える行為が起きる地点では明示的なユーザー判断を要求することによって、両方を抑えられます。

モバイルOSは長らく権限プロンプトを使ってきましたが、エージェント的自動化では、権限の正確さがタスク完了の信頼性を左右する“ゲート”になるのです。言い換えれば、エージェントができることが増えるほど、ユーザーは「権限の強制と復旧」の質によって信頼性を判断することになります。

5. コンプライアンスは「ラベル付け」から「商品化された統制」へ移行する

AI規制を別トピックとして扱いたくなるのは自然です。しかしエージェント端末は、まさに統治が商品要件に変わる場所です。構造的な理由があります。OSの中に組み込まれ、ユーザーの代わりに行動するAIアシスタントは、チャットアプリよりも、機能的に「システムソフトウェア」に近いからです。だからこそ、コンプライアンスとセキュリティの義務は、端末の挙動へ対応付ける必要があります。

中国の生成AIおよび深層合成の規制枠組みには、規制文言がそのまま端末のアシスタントを想定していなくても、商品化に実務的な関係がある要件が含まれています。たとえば、中国の「インターネットベース情報サービスの深層合成に関する管理弁法」は2022年11月25日に公布され、2023年1月10日に施行されました。情報セキュリティ管理やユーザ保護システムに関する義務が課されます。(Source) 同様に、TC260の「生成AIサービスに関する基本的セキュリティ要件」は、生成AIサービス提供者に求められる安全・セキュリティ要件と結び付けられています。Cambridge Forum on AI Law and Governanceの議論では、TC260の基本的セキュリティ枠組みが、中国における生成AIガバナンスの実装の中にどう位置付くかが述べられています。(Source)

では、なぜこれがエージェント端末にとって特に重要なのでしょうか。実行ループは、ポリシーを一連のシステム行為へ変換するからです。規制志向のコンプライアンスで最も難しいのは、「アシスタントが安全な文章を出せるか」ではなく、機微入力や権限を、時間を跨いで統制された追跡可能な形で扱ったことをサービスが示せるかです。監査証跡、保持の境界、そしてユーザーに向けた開示が、マーケティングの言葉ではなく測定可能な統制になります。

具体化してみましょう。失敗した、あるいは悪用された自動化が起きたあと、監査担当者やインシデント対応者が確認する3つの問いがあります。（1）どんな入力が参照されたのか？（画面コンテンツ、連絡先、ファイル、通知データ）そして、それらの参照が特定の要求インスタンスに結び付けられるのか。（2）どんな判断がいつ行われたのか？（ツール選択、確認のゲート、UI不整合後のリトライ）ユーザー同意が状態変更の前に行われたことが、タイムスタンプで分かるのか。（3）どんな出力が生み出され、結果はどうだったのか？（送信されたメッセージ、変更された設定、購入が試みられたかどうか）こちらもまた、権限契約と、ユーザーに見える確認の瞬間へとリンクできるのか。これらはテスト可能で検証可能な製品挙動です。しかも、それはすでにベンダーが公開しているプライバシー報告や権限管理の発想と強く整合します。

だからこそHonorのセキュリティ姿勢は、プライバシー保護、権限管理、そしてプライバシーアクセス報告に焦点を当てています。(Source) そしてそれが、セキュリティチームと規制当局の双方の精査に耐えうるエンジニアリングの物語が、ベンダーにますます求められている理由でもあります。監査証跡、明確な権限境界、そして予測可能なユーザー制御です。

6. 実世界の4つの事例：ループが現実と衝突した場所

エージェント端末メーカーにとって最重要なのは、「完璧な条件下でタスクを実行できるか」ではなく、現実がズレたときにアプリ横断でツールを正しく呼び分け、回復できるかどうかです。以下の事例は、結果が実行ループ、権限、そして強制の選択にどう結び付くかを示します。

Case 1：Honor YOYO Agent、「3,000超のシナリオ」、2025年10月

HonorのMagic8シリーズのローンチ報道は、YOYO Agentの自動実行能力として「3,000超のシナリオ」を取り上げ、端末をタスク実行の入口として位置付けています。(Source) 製品チームにとっての帰結は、スコープの明確な拡大です。エンジニアリングはより広いアクション面に対応する必要が生じ、結果として信頼できるツール権限と実行ループのセキュリティの重要性が増します。

Case 2：MWCにおけるHonor UI Agent報道、2025年のマルチステップ画面ベース実行

WIREDの報道は、Honor UI Agentを、画面理解に根ざし、ユーザー要求を実行するために多段階のプロセスを追っていくGUIベースのモバイルAIエージェントとして説明しています。(Source) 結果として起きる変化は、UIデモからプロダクト品質のルーティング要件への移行です。エージェントが画面を読み取り解釈してから実行するなら、ツール呼び出しのための強制フックと、ユーザー確認の仕組みが要ります。

Case 3：alipay/mobile-agentのデータセットと「AitW」、2024年から継続（コードベース＋ベンチマーク枠組み）

alipayのモバイルエージェント研究の公開リポジトリであるalipay/mobile-agentは、そのアプローチを「Android in the Wild（AitW）」データセットを中心に構成しています。これは、人が収集したデモによって、自然言語の指示、UI画面、そしてアクションを通じたモバイル端末制御を支援することを意図しています。(Source) ここでの帰結は方法論的です。実行ループの信頼性は、実際のUIの変動を捉える訓練データと評価データに依存します。つまり、デモの外でもツール権限と画面解釈が正しく保たれるかが、直接的に左右されるということです。

Case 4：AppCopilotの研究、2025年、実行の精度と長期失敗モード

AppCopilotの2025年の論文は、実用的なモバイルエージェントが解くべき課題として、画面上の相互作用の精度、長期（ロングホライゾン）能力、そして制約のある端末での効率を明示的に中心に据えています。(Source) 帰結は、エージェント端末ベンダーにとってのエンジニアリング含意です。信頼性は多目的な性質であり、「ときどき動く」だけでは不十分です。消費者の信頼のためには、エージェントは安全に失敗し、正しい実行ループへ回復しなければなりません。

これらの事例は、市場に出ているすべての端末が同じセキュリティ水準を満たす証明ではありません。しかし、実行ループのエンジニアリングと評価の取り組みが、どこで収束しつつあるのかは示しています。画面ベースの制御は測定可能である必要がある。権限は強制可能である必要がある。そして失敗時の振る舞いは、一定の範囲に収められていなければならないのです。

7. ユーザーが実際に体験するもの：UX契約としての信頼

エージェント端末が“商品化された信頼システム”であるなら、ユーザー体験は契約です。今日、この契約は3つの反復する瞬間を通じて形成されます。（1）エージェントがコンテンツを読み取るとき（画面、写真、受信箱）。（2）権限を要求または使用するとき（ツールアクセス）。そして（3）取り返しのつかない行為の前に確認を求めるときです。

Honorの公開プライバシーQAでは、リスクのあるアプリ、悪意のあるURL、Wi-Fi検出結果、スマートな権限管理機能などを通知する月次のプライバシーレポートが説明されており、7日間のプライバシーアクセス記録やリスクレポートも含まれます。(Source) これが重要なのは、エージェント端末が日常の行為を一連の流れへ変えるからです。アクション後の可視性が不明確であれば、ユーザーはエージェントが意図どおりに振る舞ったかを評価できません。

一方で信頼・セキュリティ側では、端末OSのドキュメントやセキュリティ勧告が、ベンダーが権限やアプリの挙動を攻撃面として扱っていることを示しています。たとえば一部のHonor製品におけるファイル書き込みの脆弱性についてのHonorのセキュリティ勧告（MagicOS 8.0.0.135が挙げられている）も、「エージェント的アクセス」が実行環境内の脆弱性の価値を高め得るという注意喚起です。(Source) それが直接エージェント端末の話でなくても、含意は製品レベルです。実行ループが安全であるためには、プラットフォームのハードニングが最新である必要があります。

ではユーザーにとって何が変わるのでしょうか。ユーザーは、ワークフローエンジンのように振る舞うアシスタント・エコシステムへ権限を許可することを求められます。ここで生じる実務的なUXの問いは次のようなものです。権限プロンプトは適切なタイミングで届くのか。必要な権限が欠けているとき、エージェントは止まるのか。行為の内容を平易な言葉で説明できるのか。権限境界と監査証跡を透明に示してこれらのUXの問いに答えるベンダーは、派手なデモではなく、自動化の信頼性で勝つことになります。

8. 新しい製品現実を形づくる5つのデータポイント

エージェント端末は自動化をスケールで販売しています。そしてスケールには、エンジニアリングとコンプライアンスに影響する数字があります。出典に見られる5つの具体的なデータポイントを挙げます。

1）YOYO Agentの自動実行における「3,000超のシナリオ」：2025年10月のHonorのMagic8ローンチ報道で記述されています。(Source)
2）Android in the Wild（AitW）：alipay/mobile-agentのリポジトリ評価アプローチの一部として参照されており、モバイル制御タスクにおける人が集めたデモを重視しています。(Source)
3）AppCopilotの定量化されたベンチマーク枠組み：行為実行の成功指標を含みます。同論文では、AitW風の評価におけるSOPベースのエージェント手法で、全体のアクション成功率が66.92%であると報告されています。(Source)
4）深層合成の施行日：中国の「インターネットベース情報サービスの深層合成に関する管理弁法」は2023年1月10日に施行されました。(Source)
5）MagicOSセキュリティ文書：技術的なプライバシー保護アプローチとして7日間のプライバシーアクセス記録などを参照し、またHonorが公開QAで述べるプライバシー報告の挙動とも連動しています。(Source)

これらの数字が示すのは、転換点です。エージェント端末の製品化は、モデル能力だけの話ではありません。実行トレースの質、権限統治、安全システムといった、評価し説明できる仕組みが問われます。

9. 競争は今、「エージェントデモ」ではなく「実行の信頼性」を報いる

エージェント端末の競争は、1つの得点表へと収束しつつあります。エージェントは現実の場面で要求を完了できるのか。つまり、複数アプリのルーティングは、タイミング、権限プロンプト、UIレイアウトのばらつきに対して頑健でなければなりません。そしてセキュリティのアプローチも、製品の自動化目標と両立していなければならないのです。

Honorの公開するセキュリティ技術ホワイトペーパーは、MagicOSが、保護されたリソースに対する構造化されたプライバシー保護、権限管理、アプリアクセス制限を提供すると位置付けています。さらに、プライバシーアクセス履歴の報告といった仕組みも挙げられています。(Source) Honorの公開プライバシーQAは、その統制にユーザー向けの包みを与えるように、7日間のアクセス記録や月次報告を説明しています。(Source) これらを合わせると、戦略はこう読めます。エージェント端末は“デフォルトで監査可能”でなければならない。透明性のない自動化の信頼性は、リスクとして見られるからです。

同時に研究論文は、モバイルエージェントの成功が、制約のある環境での正確なUI相互作用と長期計画に依存することを示しています。AppCopilotは、精度、長期の実行、そして効率を、スケーラブルな影響を出すために解くべき難題として枠組み化しています。(Source) 編集的な含意は明確です。端末ベンダーやエコシステム構築者は、能力の主張だけでなく、信頼性を測定する方向へ、ますます研究の側と同じ道を歩むことになります。

10. 結論：信頼水準の要件が形成され、2027年にかけてより厳しくなる

エージェント端末は「実行セキュリティ」段階へ入っています。日常のユーザーが最初に感じるのはこの製品転換です。ツール権限は自動化の信頼性の一部になります。確認はユーザーの制御の一部になります。そしてプライバシーアクセス記録は、信頼のために必要な最低限の監査証跡になります。

政策提言（具体的で実行可能な提案）： 端末ベンダーおよびAIエージェント・エコシステム運営者は、OSレベルの「実行ループの権限契約」を実装すべきです。具体的には、（a）行為タイプごとのスコープされたツール権限、（b）取り返しのつかない行為に対するユーザー確認ゲート、（c）7日間の可視性を備えた標準化されたユーザーアクセス可能な実行トレース（現行の報告パターンに合わせる）を、UX上の基準コントロールとして要求します。Honor自身のドキュメントは、7日間のアクセス記録を伴う権限管理とプライバシー報告という既存の方向性を示しています。これは標準化に向けた実務上の参照点になります。(Source) 規制当局や監査担当者にとっては、この提言がガバナンスから製品現実への橋渡しになります。コンプライアンスは、コンテンツポリシーだけでなく、具体的な実行挙動に照らしてテスト可能になるのです。

見通し（タイムライン）： 今後18か月、すなわち2027年9月までの間に、エージェント端末の機能ロードマップは、シナリオカタログの拡充よりも、強制の仕組みと権限の正確さを優先するようになるはずです。理由は単純です。ベンダーは「アシスタントのシナリオ」を増やすことはできますが、権限の強制、失敗時の取り扱い、監査証跡が追いつかなければ信頼をスケールできません。この見通しは、製品主張（広いシナリオ範囲）と、ベンダー文書およびより広い深層合成／生成AIのガバナンスのタイムラインに見えるセキュリティ要件の組み合わせに整合します。(Source) (Source)

開発者やアプリ制作者にとっての戦略的な学びは、エージェント的自動化の“準備できているか”を、アプリセキュリティとUXの一部として扱うことです。アプリの権限モデルが不明瞭である、あるいはUI状態が脆いなら、エージェント端末のエコシステムは確実にルーティングできないか、追加の確認ステップを必要とすることになります。エージェント端末の時代には、「何が生成されるか」の質と同じくらい、「何が許可されるか」の質が重要になっていくのです。