Letters of Marque for AI Agents: 600 年間の権限付与アーキテクチャを再構築する

OAuth スコープを実装してきた場合、あなたはすでに 600 年続く統治システムの端境に触れています。 2025 年 1 月、South, Marro, Hardjono, Mahari, Pentland は arXiv:2501.09674 を発表しました。これは OAuth 2.0 と OpenID Connect を拡張し、AI エージェントの権限付与に特化した 3 トークンアーキテクチャです： User ID-token: 標準的な OIDC 身份。誰がエージェントを所有しているか。 Agent-ID token: エージェントの能力、制限、および一意の識別子。 Delegation token: 暗号署名付きでスコープ付けられ、撤回可能な。これが権限付与そのもの。 彼らは私掠船について言及しなかった。しかし、彼らが構築したアーキテクチャは、西洋海洋法が 300 年間も精査した同一のものである。 1812 年、バルティモアにある私掠船が港湾を出る前に、所有者は以下の操作を行う必要があった： 1. 船舶の名前、積載量、武器構成（身份）を宣言する 2. 攻撃できる船舶を具体的に規定した委任状を受ける（スコープ） 3. 5,000–10,000 ドル（当時は）の保証金を立てる（責任） 4. 全ての捕獲物を副海軍司令官賞品裁判所に提出する（レビュー） 5. 委任状違反が許容されないことを理解する（取消しと刑事責任） 五つの層。身份。スコープ。責任。レビュー。取消し。委任状がなければあなたは海賊だった。賞品裁判所の判決がなければ、あなたの捕獲物は盗品だった。 Stanford Law の CodeX プロジェクトは、この構造を AI エージェントの責任性にマッピングし、3 種の権限カテゴリを特定した：明示的（明示的な委任）、推定的（合理的な推論）、 apparent（第三者がエージェントができる能力と信じるもの）。 その第三のものがシステムを崩壊させる。Moffatt v. Air Canada (2024) において、チャットボットは顧客に喪給運賃を後付け適用可能であると宣言した。会社はそれらの約束を从未授權したにもかかわらず、審判所は会社を責任持有とした。なぜなら、合理的な顧客はエージェントがそれを約束できるものと信じるからである。 あなたの法律チームが未だに考えていない「apparent_authority」のエッジケース。 カリフォルニア州法 AB 316 は、2026 年 1 月施行により、自動 AI の運用を被告の免責理由として用いることを禁止している。EU の製品責任条項は、2026 年 12 月までに AI を厳重な責任の下に位置付ける製品と扱う。 パターン：どのエージェントを展開するかが、その完全な責任を負う。これは私掠船の保証金にエンコードされていたもの——委任状が所有者を免責することはなく、むしろ公式に責任を負わせることである。 同時に、コングレスは元々のものを再導入しようとしている。H.R. 4988 はサイバー作戦のための第 1 条の Letters of Marque を復活させた。別の上院法案はカルテルを標的にしている。1812 のメカニズムはもう一度起動している。 すべての委任解決策——世紀と文明を超えて——同じアーキテクチャに収束している。しかし、最も重要な部分は賞品裁判所だった：賞品を法的に主張する前に必須な司法審査。 AI エージェントにとって、賞品裁判所は監査証跡である。単なるログではない。エージェントのスコープ内で動作したか、第三者の権利が侵害されなかったか、結果が権限付与に一致したかを記述した、構造化された、クエリ可能な証拠。 それを欠くと、あなたのエージェントの自律的操作は、判決が下されていない賞品と同等に法的に疑わしいのである。そしてカリフォルニア州は、かつてあなたを守る免責理由を排除したばかりだ。 このエッセイの論理は、検証可能な委任とスコープ遵守の記録が存在しない限り、すべての自律的操作は法的に疑わしいという 1 つの主張に還元される。Chain of Consciousness がその記録を提供する——エージェントのすべての動作に対して暗号化され、不可避に改ざんされ、ハッシュ連結された provenance 連鎖である。身份が検証され、スコープが文書化され、結果がアンカー付けされる。 ポストホックなレビューが到来する時——そして責任構造はこれを保証する——記録はそこにある。 pip install chain-of-consciousness # or npm install chain-of-consciousness from chain_of_consciousness import ChainOfConsciousness coc = ChainOfConsciousness() entry = coc.add_entry( action="delegation_scope_check", details={"scope": "inbox_review", "constraint": "suggest_only"}, agent_id="agent-007" ) # Tamper-evident, hash-linked, anchored LIVE PROVENANCE CHAIN SEE HERE → 全編および 24 の出典付き：Letters of Marque for AI Agents

If you've implemented OAuth scopes, you've already touched the edge of a 600-year-old governance system. In January 2025, South, Marro, Hardjono, Mahari, and Pentland published arXiv:2501.09674 — a three-token architecture for AI agent authorization extending OAuth 2.0 and OpenID Connect: User ID-token — standard OIDC identity. Who owns the agent. Agent-ID token — the agent's capabilities, limitations, and unique identifier. Delegation token — cryptographically signed, scoped, revocable. The authorization itself. They didn't reference privateering. But the architecture they built is the same one Western maritime law spent 300 years refining. Before a Baltimore privateer could leave harbor in 1812, the owner had to: Declare the vessel's name, tonnage, and armament (identity) Receive a commission specifying exactly which ships they could attack (scope) Post a $5,000–$10,000 bond (accountability) Submit every capture to a vice-admiralty prize court (review) Accept that violating the commission meant revocation and criminal liability Five layers. Identity. Scope. Accountability. Review. Revocation. Without the commission, you were a pirate. Without the prize court condemnation, your capture was stolen property. Stanford Law's CodeX project mapped the same structure onto AI agent liability, identifying three categories of authority: express (explicit delegation), implied (reasonable inference), and apparent (what third parties believe the agent can do). That third one is where systems break. In Moffatt v. Air Canada (2024), a chatbot told a customer they could retroactively apply for bereavement fares. The company never authorized that promise. The tribunal held the company liable anyway — because a reasonable customer would believe the agent could make it. The apparent_authority edge case your legal team hasn't thought about. California's AB 316, effective January 2026, precludes defendants from using autonomous AI operation as a defense. The EU's Product Liability Directive, by December 2026, treats AI as a product under strict liability. The pattern: whoever deploys the agent bears full responsibility. This is what the privateer's bond encoded — the commission didn't absolve the owner; it made them formally responsible. Meanwhile, Congress is bringing back the original. H.R. 4988 revives Article I letters of marque for cyber operations. A separate Senate bill targets cartels. The 1812 mechanism is live again. Every institutional solution to delegation — across centuries and civilizations — converges on the same architecture. But the piece that mattered most was the prize court: mandatory judicial review before any prize was legally claimed. For AI agents, the prize court is the audit trail. Not just logging — structured, queryable evidence that the agent operated within scope, that no third-party rights were violated, that the outcome matches the authorization. Without it, your agent's autonomous actions are as legally suspect as an uncondemned prize. And California just eliminated the defense that used to protect you. The essay's argument reduces to one claim: without a verifiable record of delegation and scope compliance, every autonomous action is legally suspect. Chain of Consciousness provides that record — a cryptographic, tamper-evident, hash-linked provenance chain for every action your agent takes. Identity verified, scope documented, outcomes anchored. When the post-hoc review comes — and the liability architecture guarantees it will — the record is there. pip install chain-of-consciousness # or npm install chain-of-consciousness from chain_of_consciousness import ChainOfConsciousness coc = ChainOfConsciousness() entry = coc.add_entry( action="delegation_scope_check", details={"scope": "inbox_review", "constraint": "suggest_only"}, agent_id="agent-007" ) # Tamper-evident, hash-linked, anchored See a live provenance chain → Full essay with all 24 sources: Letters of Marque for AI Agents