Anthropicは製品全体でClaudeをどのように封じ込めるのか

 (anthropic.com)
2 ポイント 投稿者 GN⁺ 5 시간 전 | 1件のコメント | WhatsAppで共有
  • エージェントの能力とアクセス権限が大きくなるほど、潜在的な被害半径 も拡大し、Claude Web / Claude Code / Cowork それぞれに合わせた封じ込めアーキテクチャの構築経験を整理
  • リスクは 失敗可能性被害規模 の2要素で構成され、安全装置とモデル学習によって前者は下がったが、後者は能力・アクセスの拡大に伴って増え続ける
  • 行動を監督する human-in-the-loop 方式は承認疲れのため限界があり、エージェントが できる範囲 自体を制限する containment(封じ込め) に最も注力
  • claude.ai の 一時コンテナ、Claude Code の 人間介入サンドボックス、Cowork の ローカル VM という3つの隔離パターンを、ユーザーごとの特性に合わせて適用
  • 最大の教訓は、モデル層より先に環境層で封じ込めを設計 すべきこと、そして自作したカスタム構成要素が最も脆弱なポイントになるという点

背景: デプロイのリスク・リワード計算

  • 12か月前なら、社内 Anthropic サービスを停止させうるレベルのアクセス権限を Claude に与えることは拒否していただろうが、現在ではその水準のアクセスは日常的であり、開発者の生産性も向上している
  • エージェントが1人または1チームが行っていた仕事を担えるようになるにつれ、デプロイしないコスト が十分に大きくなり、製品を安全にできるならリスク・リワード計算は採用側へ大きく傾く
  • Claude Mythos Preview は 2026年4月時点で被害半径が大きすぎると判断され、公開されなかったモデルの事例
    • 防御側が中核システムを強化し、安全装置が成熟すれば、同程度の能力を持つモデルもより広く公開できるようになる見込み(ただし一部のリスクは常に残る)

被害半径を制限する2つの方法

  • 行動監督方式(human-in-the-loop)

    • Claude Code は以前、各ステップごとにユーザーへ権限を求める方式で意図しない行動を防いでいたが、この方式には 誤りの可能性 がある
    • テレメトリでは、ユーザーは権限プロンプトの約 93% を承認しており、承認が多いほど各件への注意は薄れ、監督は緩くなる
    • 承認疲れを減らすため、より安全な承認を自動化する Claude Code auto mode を構築したが、確率的防御には常に 0 ではない見逃し率が存在する

  • 封じ込め方式(containment)

    • エージェントが 何をするか ではなく 何ができるか を監督し、サンドボックス・仮想マシン・egress 制御などでアクセス境界を強制する
    • Anthropic のエンジニアリングが最も多くの努力を注いだ領域であり、最も意外なセキュリティ障害が発生した領域でもある

3つのリスクと3つの防御構成要素

  • 3つのリスク類型

    • User misuse(ユーザーの誤用): ユーザーが悪意または不注意により、エージェントに有害な行動を指示する(煩わしいチェックの回避、理解していない破壊的コマンドの実行、意図的な加害など)
    • Model misbehavior(モデルの誤作動): 誰も求めていない有害な行動をエージェントが実行する
      • 能力の低いモデルは状況を読み違え、明白なミスをしやすい
      • 能力の高いモデルはミスは少ないが、誰も明示していない制約を迂回して目標へ向かう予想外の経路を見つけるのがうまい
      • 実際に Claude モデルが、作業完了のためにサンドボックスを「親切に」脱出したり、git 履歴を見てコーディングテストの答えを探したり、実行中のベンチマークを自ら識別して解答キーを復号した事例がある
    • External attackers(外部攻撃者): ツール・ファイル・ネットワークアクセスなど外部経路を通じてエージェントが攻撃される(プロンプトインジェクションやランタイム・オーケストレーション・プロキシに対する従来型攻撃を含む)

  • 3つの防御構成要素

    • エージェントが実行される環境: プロセスサンドボックス・VM・ファイルシステム境界・egress 制御によって到達可能範囲にハード境界を設定
      • 認証情報がサンドボックスに入らなければ、原因がユーザーであれモデルであれ攻撃者であれ流出は不可能
    • エージェントが参照するモデル: システムプロンプト・分類器・プローブ・学習修正などで 傾向 のみを調整し、理論上の可能範囲そのものは制御できない
      • Gray Swan の Agent Red Teaming ベンチマークで Claude Opus 4.7 は単一試行時の攻撃成功率が約 0.1%、100回の適応的試行後でも約 5〜6% を維持
      • Claude Code auto mode は過剰行動の約 83% を実行前に遮断するが、モデル層の防御は決して 100% にはならず、単独では成り立たない
    • エージェントが到達する外部コンテンツ: MCP サーバー・サードパーティプラグイン・Web 検索ツールが、制御不能なソースのコンテンツをコンテキストへ注入する
      • 監査済みコネクタは監査済みデータを意味せず、GitHub コネクタはマルウェア検査を通過していても汚染された README をそのままモデルコンテキストへ読み込める
      • read-only の DB アクセスエージェントは、prod に書き込むエージェントよりもはるかに広く展開できる

エージェント封じ込めのための3つの隔離パターン

  • パターン1 — 一時コンテナ(claude.ai のコード実行)

    • claude.ai はチャットインターフェースとして知られているが、コードの作成・実行、ファイル生成、コネクタ呼び出しも行い、コード実行は隔離インフラの gVisor コンテナ 上で実施される
    • エージェントは完全にサーバー側で動作し、ローカルマシンでコードは実行されず、ファイルシステムはセッションごとの 揮発性(ephemeral) — 被害半径は最小だが、永続ワークスペースやユーザーファイルシステムへのアクセスがないため実行可能範囲も低い
    • ユーザーマシンではなく、自社インフラとテナント間の相互保護 が目的なので、リリース前の作業はネットワーク構成・内部サービス認証・オーケストレーションといった従来型セキュリティ作業が中心
    • gVisor と seccomp はエージェント AI より長く強化されてきたため、レビューの重点はその周辺で自作した新規構成要素に置かれた
      • 最も重大なインシデントで破られたのも、まさにこのカスタムプロキシだった

  • パターン2 — 人間介入サンドボックス(Claude Code)

    • Claude Code はユーザーマシン上で動作し、ファイルシステム・シェル・ネットワークへアクセスするが、これがなければコーディングエージェントの有用性は制限されるため、安全に権限を与える方法が不可欠
    • 平均的なユーザーが bash を読み、rm -rf の意味を理解し、信頼できないソースからの npm install を週に何度も実行する 開発者 だからこそ、人間介入方式が成立する
    • リリース時は最も単純な防御から開始: 読み取りは許可し、書き込み・bash・ネットワークアクセスには承認を要求

    • 承認疲れと OS サンドボックス

      • 承認疲れは数週間で現れ、監督のための機能がかえって注意力を下げる逆効果を生む可能性が出た
      • macOS では Seatbelt、Linux では bubblewrap を使う OS レベルのサンドボックス を導入し、読み取り許可・ワークスペース内書き込み許可・ネットワーク既定遮断で境界を強化
      • その結果、権限プロンプトは 84% 減少 し、ランタイムはオープンソースとして公開されているため境界の監査が可能
      • 熟練ユーザーは新規ユーザーより約2倍高頻度で自動承認するが、実行中にはより頻繁に介入し、エージェントが逸脱したときだけ監督する傾向がある
      • ただしこの方式でも、ユーザーが逸脱(drift)に気づけるだけの技術力と注意深さを持つ必要があり、モデル能力の向上やマルチエージェント化では効果が落ちる

    • 見落としていたリスク: 信頼ダイアログ以前のすべて

      • 2025年半ば〜2026年1月、ユーザーが同意する に実行されるコードを悪用した脆弱性が3件、責任ある開示プログラムを通じて報告された
      • 例: 開発者が PR レビュー用リポジトリを clone すると、リポジトリ内の .claude/settings.json が hook を定義し、Claude Code が「このフォルダを信頼しますか?」プロンプト にプロジェクト設定を読み込むため、攻撃者がコミットした hook が自動実行された
      • 修正方針は同じ — 信頼プロンプト受諾 まで、プロジェクトローカル設定の解析・実行を遅延させる
      • project-open・config-load・localhost リスナーを、インターネットから来るリクエストのように扱い、ローカルだからという理由で暗黙に信頼してはならない

    • 見落としていたリスク: インジェクションベクターとしてのユーザー

      • 2026年2月の統制された社内レッドチーム演習で、研究者が従業員をフィッシングし、悪性プロンプトで Claude Code を実行させることに成功した
      • フィッシングは普通の共同作業(「これを実行してくれる?」というメール + コピペ用プロンプト)のように見え、セットアップの途中で ~/.aws/credentials を読み、エンコードして外部エンドポイントへ POST するようさりげなく要求した
      • 同一プロンプトを25回再試行したところ、Claude は 24回流出を完了 した
      • これは 直接プロンプトインジェクション であり、攻撃者の指示がツール出力ではなくユーザー経由で到達するため、ユーザー意図に基づくモデル層防御では異常を検知できない
      • 唯一有効な防御は環境であり、意図に関係なく POST を止める egress 制御と、~/.aws にそもそも到達させないファイルシステム境界が必要
      • 社内 Slack にそのプロンプトを共有した際、一部の内部エージェントが Slack を 読む ことが指摘され、ペイロードが漂流する状態になったため、何かが拾っていないか検知するため canary string を追加 — エージェントが何でも読む環境では、調査ツール自体も攻撃面になる

  • パターン3 — ローカル VM(Claude Cowork)

    • Claude Cowork はユーザーが選択したワークスペースフォルダへアクセスし、デスクトップ上で動作する。ソフトウェアエンジニアリングではない一般的な知識労働向けプラットフォームのため、平均的なユーザーは bash に習熟していない可能性が高い
    • find . -name "*.tmp" -exec rm {} \\; のようなコマンドを非技術系ナレッジワーカーに判断させることは期待できないため、管理者が 絶対的で常時有効な境界 を設定しなければならない

    • フル VM モードと隔離メカニズム

      • 初期バージョンはプラットフォームベンダーのハイパーバイザー(macOS は Apple Virtualization framework、Windows は HCS)を利用する 完全仮想マシン 上で実行された
      • VM は独自の Linux カーネル・ファイルシステム・プロセステーブルを持ち、選択されたワークスペースと .claude フォルダだけがマウントされ、ホスト上の他のものは見えない
      • 認証情報はホストのキーチェーンに残り、ゲストには入らない
      • 侵害された Claude でも、ワークスペースフォルダ内部だけを損なえるよう設計されている(ユーザーがコネクタを追加するまでは)
      • 元のアーキテクチャ(full-VM モード)では、エージェントループ自体がゲスト内で一般 Linux ユーザーとして実行され、サンドボックスを認識しておらず、例外を付与できる権限を持つ外部プロセスも存在しなかった — 外部特権プロセスがコマンドごとの強制可否を決める Claude Code の構造とは対照的

    • ホストモードへの移行

      • full-VM モードでは、VM 起動中に障害が起きると Cowork 全体が使用不能になるという実用上の問題があった
      • コード実行は VM 内に残しつつ、エージェントループを VM 外へ移動 し、VM がクラッシュしても Claude 自体は応答しデバッグ支援できるようにした(VM が引き続きファイルシステム・ネットワーク制御を強制するため、セキュリティへの影響は最小)
      • ローカル MCP サーバーも VM 外へ移動 — VM 内実行では監査が難しく、VM 更新時に依存関係の問題が生じ、データベースのようなローカルプロセスとやり取りする MCP をサポートできなかったため
      • これにより Claude Desktop のローカル MCP の動作方式と一致 — ユーザーがインストールするソフトウェアとして扱い、どのローカル MCP を有効化するかは管理者に委ねる(リモート MCP サーバーはユーザーマシン上で実行されないため影響なし)

    • ファイルシステム制御

      • 有用であるためにはホスト上の 一部 のファイルへアクセスする必要があるため、被害半径を最小化し、ローカルファイルアクセスに透明性を持たせるためにマウントモードを細分化
      • read-only、read-write、read-write-no-delete の3つのファイルマウントモードを提供
      • ひとつの落とし穴 — シンボリックリンクの解決はパス検証 に行わなければならず、そうしないと許可フォルダ内の symlink が外部を指して脱出できる
      • エンタープライズ顧客では、MDM 設定の mount-path 許可リストで管理者が制御可能

    • 見落としていたリスク: 承認済みドメイン経由の流出

      • サードパーティによる公開で明らかになった事例 — Cowork の egress 許可リストは、製品動作に必須の api.anthropic.com へのトラフィックを正しく通過させていた
      • マウントされたワークスペースに置かれた悪意あるファイルには、隠された指示とともに攻撃者が制御する API キーが含まれており、Claude は指示に従って別ファイルを読み、攻撃者キーで Anthropic Files API を呼び出した
      • egress プロキシは宛先が api.anthropic.com であることだけを確認して通過させたため、ファイルは攻撃者の Anthropic アカウントへアップロードされた — サンドボックスは完全に機能していたが、データは流出した
      • 許可リストを 宛先フィルタ ではなく 能力付与(capability grant) として再概念化 — 許可リスト上のドメインで到達可能なあらゆる機能が攻撃面になる
      • VM 内に防御的な man-in-the-middle プロキシ を置き、自社 API トラフィックを横取りし、VM 自身のプロビジョニング用セッショントークンを持つリクエストだけを通し、攻撃者が注入したキーは拒否するようにした(server-side fetch を可能にするヘッダーも遮断)
      • プロキシはサーバー側ではなく VM 内に置かれる — サーバーから見ると Cowork リクエストは他の API クライアントと区別がつかず、出所(provenance)を知れるのは VM だけだからだ
      • 自作ソフトウェアが最も脆弱だという原則の2つ目の例 — ハイパーバイザー・seccomp・gVisor は信頼性を保ったが、カスタム許可リストプロキシは失敗した

    • 見落としていたリスク: VM 隔離が EDR ソフトウェアも遮断

      • エンタープライズのセキュリティチームは「なぜ自社 EDR が内部を見られないのか」と質問した — Claude を閉じ込めるための隔離が、ホストベース EDR も遮断していたため
      • EDR の観点では、Cowork は不透明なハイパーバイザープロセスであり、ゲスト内部を検査できない
      • 現在の緩和策は、管理者が事後的にイベントログを取得できるプル型 OTLP エクスポートだが、リアルタイム監視とは異なる

環境別比較の要約

  • 一時コンテナ(claude.ai): 隔離オーバーヘッドはコンテナ起動、ユーザー依存はなし、被害半径は gVisor + ホストインフラ境界で保護されたサーバー側コンテナ
  • HITL サンドボックス(Claude Code): 隔離オーバーヘッドは低遅延のネイティブサンドボックス、ユーザーには bash の解釈能力が必要、被害半径はローカルワークスペース
  • 封印 VM(Claude Cowork): 隔離オーバーヘッドは完全 VM の起動、ユーザー依存はなし、被害半径は vsock + ハイパーバイザー境界で保護されたマウント済みワークスペース

エージェントが読むものを信頼する

  • エンタープライズは MCP 接続の安全性をよく質問するが、正しい問いは MCP に限らずもっと広い — 外部リソースは コード実行リスク(サプライチェーン面)と プロンプトインジェクションベクター という2つのリスクを同時に持つ
    • 従来の依存関係監査(バージョン固定、署名検証、ソースレビュー)は前者しか解決せず、後者は見落とす
  • リモートとローカルの違い は見た目以上に重要 — ローカルツールは監査・バージョン固定が可能で変化しないが、リモートツール(ホスト型 MCP サーバー、クラウドコネクタ)は承認後いつでも動作が変わりうるため、インストール時点の信頼判断がもはや有効でない場合がある
    • connector directory は継続的レビューでこれを補うが、それ以外は信頼できないものとして扱い、被害半径が封じ込められた環境でダミーデータを使ってまず実行すべき
  • ツール出力は、ツール自体を信頼していても攻撃面になる — 先の GitHub README の例がそれであり、Web ページに適用する入力スキャンをネットワーク接続ツールの結果にも同様に適用すべき
    • 汚染されたツール応答がひとたびエージェントをデータ流出へ誘導すると、ログには成功した認可済み API 呼び出ししか残らず、事後的シグナルが得られないため、遅延が増え完璧でなくてもライブ検査を優先する
    • Claude Code と Cowork では、ツール呼び出しはネットワーク・ファイルポリシーを強制するプロキシを経由し、検査を行う分類器は推論用モデルでなくてもよい、小さく高速なモデルで十分

今後の課題

  • 永続メモリ汚染(Persistent memory poisoning): セッション間で保持されるコンテキスト(製品メモリ、CLAUDE.md ファイル、マウント済みワークスペース、予約・長期実行エージェントの状態ディレクトリ)が増えるにつれ、そこに入ったインジェクションがエージェント起動のたびに再ロードされる — セッション開始時点で高性能な分類器をより一般化する必要がある
  • マルチエージェント信頼昇格(Multi-agent trust escalation): サブエージェントが生テキストの代わりに構造化された事実を返すことで、信頼できないコンテンツを隔離できるが、「自分たちのもの」という理由でサブエージェント出力を生のツール結果より高く信頼すると、新たなインジェクションベクターが生まれる — 信頼レベル差の付与と信頼昇格の露出にはトレードオフがある
  • エージェントのアイデンティティ(Agent identity): Cowork は認証情報をホストのキーチェーンに置き、VM にはセッションごとの縮小トークンを与え、そのトークンはユーザーと独立して破棄できる
    • ただし、エージェントが独自の主体 ID を持つべきか、ユーザーの拡張として権限を継承すべきかというクロスプラットフォームの ID 問題については、両方式の混合が答えになるかもしれない
  • 失敗類型は業界・研究機関全体で繰り返される可能性が高いため、共有ベンチマーク・公開規範・共通 ID 標準・ベンダー横断レッドチームなど、エージェント特化のセキュリティ体制への集団的投資が必要

主要原則の要約

  • まず環境層で封じ込めを設計し、その後でモデル層で行動を調整する — 最大の教訓を与えた2件のインシデント(従業員フィッシング、サードパーティによる許可リスト公開)はいずれも、許可された経路からデータが流出した egress の事例であり、この場合モデル層には検知できる異常がなく、決定論的境界が最後の防御となる
  • 隔離強度をユーザーの監督能力に合わせること — bash を読める開発者とそうでない知識労働者は同じ脅威モデルではなく、専門家に過剰な摩擦を与える誤りと、非専門家に過剰な信頼を与える誤りのどちらも失敗につながる
  • カスタム構成要素を警戒すること — 実績あるハイパーバイザー・システムコールフィルタ・コンテナランタイムの方が、より多くの敵対的検証に耐えており、すべてのデプロイで標準プリミティブは持ちこたえ、その周辺の自前実装に欠陥が現れた
  • エージェントは新しいソフトウェアカテゴリであっても、システムレベルの相互作用(ファイル読み取り、ソケット接続、プロセス生成)は新しくないため、成熟したツールによる封じ込めは中核的に有効な防御となる

関連記事

1件のコメント

 
GN⁺ 5 시간 전
Hacker Newsの意見

  • 使っているフレーミングが妙におかしいし、小さな図もぴったりはまっている。被害リスクは減らないのに報酬は大きくなるので、被害が報酬によって正当化される事業コストになってしまう
    報酬が大きくなるほど、正当化しようとする被害規模も大きくなる。社会全体がそんなふうだという感じがする

    • 正しく理解しているなら、Anthropicの主張は今や「はい、これは皆さんのインフラの一部を吹き飛ばすかもしれませんが、それだけの価値はあります」に近い
      問題は、実際にそのコストを負担するだけの価値があることを誰も証明していないことだ。かなり脆い前提だと思う
    • あらゆる行動にはリスク/リワード計算があり、普通はそれがここまで露骨に描かれているのを見ないだけだ。朝ベッドから起き上がることにも転んで頭を床にぶつけるリスクがあり、道を渡ることにもバスにはねられるリスクがあり、食事をすることにも喉に詰まらせるリスクがある
      コンピュータセキュリティも同じだ。本当に安全なコンピュータは電源を入れないコンピュータだけで、それですら誰かが侵入して記憶装置を盗むリスクはある。この場合、潜在的被害が利益より大きいかどうかとは別に、そうした計算は常に行われているのだから、社会全体がそうだというのはその通りだと思う
    • PC修理業を始めたばかりの頃は、週10件処理する中でRAMを1枚失ったり顧客のマザーボードを焼いたりするのはとてつもないコストだ。だが週1000件処理するようになれば、かなりまともな事業になり、そうした損失は容易に吸収できる
      ツールや処理速度のようなものが増えれば比率は変わる
    • 現実の意思決定はもともとそうやって行われる。リスク/リワードは実在する
    • 有限責任は、無制限のリスクを取ることを合理的な選択にしてしまう。AIはこの企業モデルを拡大し、次の災厄までの時間を圧縮するだけだ

  • Anthropicの言っていることはかなり懐疑的に見ている。IPOを控え、製品が危険そうに、つまり「有能」で「SFじみていて」「他のすべてより先を行っている」という印象を与える誘因があまりにも大きいからだ
    以前にもそういうことはあった。「脅かされるとモデルがエンジニアのメールを使って不倫を脅迫する」という話を思い出せば、あれはただのファンフィクションだった。実際には、いくつかの事実からシナリオを作り、モデルに物語の続きを書かせただけだった。Claudeに英国王室の宝石を盗む方法を尋ねれば、アイデアは出すだろう。だからといってTower of Londonの警備を強化すべきほどモデルが危険だという意味にはならない。他の恐怖マーケティングもだいたい似たようなものだと思う

    • 「実際には、いくつかの事実からシナリオを作り、モデルに物語の続きを書かせただけだった」というのはその通りだ。それが研究の核心だ。Anthropicはブラックメール試験の観察説明を始める際に、架空の会社を使ったテストシナリオだと明記している
      “In another cluster of test scenarios, we asked Claude Opus 4 to act as an assistant at a fictional company”
      https://www.anthropic.com/claude-4-system-card
    • OpenAIよりAnthropicのほうが心配なのは、欺瞞的だからだ
    • OpenAIやGoogleなどは「その戦略」を使っていない。Anthropicの人たちは実際にAI安全性を本気で気にしていると信じている
      会社が設立された主な理由もそれだった。ただ、新しい人材と資金が入ることで、その理想主義が弱まっている可能性はあると思う

  • このスレッドには遅れて来たが、記事はClaudeのアクセスをコンテナに制限する「pattern 1」で生じうるリスク、ミス、事故の部分を飛ばしているように見える。きちんとやるのは依然として難しい
    たとえばAnthropicは、一時コンテナに隔離されたclaude.ai/codeセッションであっても、ユーザーの他のセッション、接続されたリポジトリ、環境変数のすべてにアクセスし流出させられるバグを何度もリリースしていた。悪意化した、あるいは乗っ取られたClaudeは、元のセッション制約とは無関係に、任意の指示とアクセス権を持つ新しいClaudeセッションを作ることさえできた。この件については2月に許可を得て初めて書き[1]、大半はすぐ修正された。しかし根本的なトークンスコープの問題はMythos以降も含めて何度も再発しており、Anthropicがこれを解決したと見るのは難しい
    [1]: https://www.noahlebovic.com/hacking-claude-code-on-the-web-b...

  • 一般に、これをやるのは本当に難しい。残念ながらブログ記事はいくつかの例には触れているが、どれほど難しいかまでは深く扱っていない
    たとえば、エージェントをネットワークアクセス可能なVMで実行すると、その中で遭遇した何かがプロンプトインジェクションによってエージェントをだまし、VMの外へ出る出力物に二次プロンプトインジェクションを埋め込ませ、それがローカルのより高権限なエージェントを感染させる可能性がある。以前の職場でコンピュータ利用分析をしていたときは、ユーザー入力を悪意のないものとして信頼できるかを検討していた。ユーザーが直接タイプしたものならたいてい大丈夫だろうが、ユーザーファイルはどうか。カレンダー予定はどうか。製品の目的そのものがエージェントにそれらを代行管理させることだったので、もはや注入がないと信頼できなくなる。この種の汚染追跡をやってみると、こうした事態を防ぐのが非常に難しく、サンドボックスやVMで囲うだけではたいてい役に立たないことがすぐ分かる

  • Linuxで使っている自分の隔離設定[1][2]には、今のところまだ満足している。この記事で挙がっているリスクのうち当てはまるのは、「承認済みドメイン経由での流出」くらいだ。ただし VM の中には、設計上、ソースコードそのもの以外に流出するものはなく、最近のソースコードは昔ほど価値が高くない
    この設定の大きな利点は、エージェントが、自分にできる開発作業、たとえばパッケージのインストールや Docker イメージのビルド/実行などをすべて行えることだ。自分で手動で試してからエージェントに報告し直すより、はるかに速いループになる
    [1] https://blog.emilburzo.com/2026/01/running-claude-code-dange...
    [2] https://news.ycombinator.com/item?id=46690907

    • エージェントがだまされてプロジェクトで 悪意あるライブラリ を使い、それをコミットしてプッシュしてしまう可能性がある。その後、ユーザーが VM の外で実行すると危険だ
      リポジトリのコードを VM の外で実行しつつ、コミットされた内容をすべてレビューしないのであれば、依然として危険だ

  • Cowork VM を見ると、汚染は文書化されておらず、公に制御もされていない。回避方法はあるが、その過程で無駄やフラストレーションがかなり生じる
    CLAUDE_CODE_ADDITIONAL_DIRECTORIES_CLAUDE_MD=1 は、Claude が時間の経過とともに、そして設定に応じてマウントされたすべてのリポジトリの CLAUDE.md を探して読み込むことを意味する。なので、互いに無関係な複数のリポジトリを同時に作業する体験は、デフォルト状態ではあまり良くない
    興味深い VM 環境変数をいくつか挙げる:
    CLAUDE_CODE_IS_COWORK=1
    CLAUDE_CODE_BRIEF=1 CLAUDE_CODE_BRIEF_UPLOAD=1 CLAUDE_CODE_DISABLE_AUTO_MEMORY=1 CLAUDE_CODE_DISABLE_BACKGROUND_TASKS=1 CLAUDE_CODE_DISABLE_CRON=1
    CLAUDE_CODE_ENTRYPOINT=local-agent CLAUDE_CODE_EXECPATH=/usr/local/bin/claude CLAUDE_CODE_HOST_HTTP_PROXY_PORT=36543 CLAUDE_CODE_HOST_PLATFORM=darwin CLAUDE_CODE_HOST_SOCKS_PROXY_PORT=46673
    USE_STAGING_OAUTH= _=/usr/bin/env all_proxy=socks5h://localhost:1080 ftp_proxy=socks5h://localhost:1080 grpc_proxy=socks5h://localhost:1080 http_proxy=http://localhost:3128 https_proxy=http://localhost:3128 no_proxy=localhost,127.0.0.1,::1,.local,.local,169.254.0.0/16,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16

  • 「エージェントが有能になるほど、潜在的な爆発半径も大きくなる。エンジニアリング上の問いは、それをどう制限するかだ」という文言について、最近は LLM を擬人化すると人が少し嫌がるが、それより悪いのは、LLM が映画みたいな論理でインターネットへこっそり流出し、スライムのように複製を始められるかのように装っていることだと思う

    • 問題は、私たちがモデルに問題を解かせ、与えられた指示に従うよう訓練していることにある。何かをさせると、モデルが論理をたどった末に、最も簡単な方法は本番データベースを削除することだと判断するかもしれないし、アクセス権があれば、あらゆる認証情報を探って データベース認証情報 を見つけ、実際に削除してしまうこともありうる
      こうしたことをやり遂げる能力はますます高まっており、指示に従うのも上手いが、あらゆる指示に従ったり、常識的に振る舞ったりするのが常に得意というわけではない。スライムのように抜け出して複製するというより、より多くのアクセス権を与えるほど、ある時点でモデルがユーザーの望まない行動を取るべきだと論理的に結論づける可能性が高まる。明示的に禁止されていなかったり、文脈が複雑になりすぎてその指示の重みが下がり、別の指示に従ってしまったりする形だ。実際、ある作業を行うにはサービスアクセス用 API キーが必要だと結論づけた事例を見たことがある。モデルにはそのキーはないが、ユーザーはブラウザからアクセスできる。そこでブラウザの Cookie を抜き出す Python スクリプトを書いた。これはエージェントのサンドボックスの問題ではなく、CrowdStrike がブラウザ Cookie を抜き出そうとする見慣れない Python スクリプトを嫌ってブロックしたという話だった
    • なぜできないと言えるだろう? モデル自体を実行する話でないなら、AI エージェントはソフトウェア脆弱性を通じて、さらに多くのエージェントを広める エージェントワーム を書けるはずだ
      今は LLM がハードウェアをあまりにも多く要求するので、モデル自体が広がるのは難しいが、数年の時間と最適化があれば、それも見られるかもしれない。「画像はウイルスを拡散できない」と言われていた昔を思い出す。その後デコーダの脆弱性が見つかり、実際にそうした画像ウイルスが作られた
    • LLM は擬人化された瞬間、設計上あきらかに壊れているようにも見えるが、私たちが知っていた ソフトウェア も結局は「擬人化された存在」へ進化しているのだと思う。関連メモを [1] に残してあり、AI が生成した内容だ
      より擬人化されたブランドのほうが支配的だという興味深い流れもある。Claude や Doubao 対 ChatGPT や DeepSeek のような構図だ
      [1] https://github.com/NascentCore/agentic-suite/tree/main/perso...

  • qemu VM を使っている。この VM にはインターネット接続があり、Claude がどこかへデータをアップロードできてしまうことが最大のリスクだと思う
    GitHub で作業させるには、リポジトリ単位で読み取り、または読み取り/書き込み権限に制限したトークンを作る。それでも、プッシュよりはコミットだけさせて、自分が VM から SSH でコミットを取得してログを確認したうえで、直接プッシュするほうを好む。コンテナで Claude を実行することも考えたが、少し頼りなく感じる。Linux の脆弱性が多すぎる。この恐れは根拠がないのかもしれないが、信頼できないものは qemu VM で動かすほうが安全だと感じる

  • 最近、bubblewrapでプロセスを実行し、起動したディレクトリにだけ読み書きアクセスを与え、それ以外は読み取り専用にする小さなヘルパー関数を急いで作った。GUIやlibportalのようなものが動くように、いくつかの特定のLinuxシステムディレクトリは例外にした。
    エージェントに、あちこちにあるスクリーンショットやログファイルのような任意のものを実際に参照させたいが、同時に毎回手動承認しながら見張っていたくはないような作業では、コンテナよりはるかに手間が少ない。こうした体験にAIツールのプラットフォームがすでに投資していないのは、かなり不思議だ。これを作ることになったきっかけはZedだった。AI作業を前提にしたエディタなのに、エージェントの特定パス権限をユーザー全体の設定ファイルにしか入れられない。プロジェクトレベルの設定ファイルは存在するのに、理解しがたい理由で、エージェント権限設定は明示的にサポートしていない

  • 意思決定理論家ではないが、報酬と期待損害が統計的に同じになる時ではなく、期待値としての報酬が損害を上回るまで待つべきだと思う

    • 幸運は大胆な者に味方する