エージェント分離セキュリティ分析:サンドボックスなしからFirecracker VMまで

Redditの投稿では、さまざまなAIコーディングエージェントがワークロードの分離をどのように扱っているかを分析し、アプローチ間の重要なセキュリティの違いを浮き彫りにしています。
現在の分離方法
この分析では5つのプラットフォームをカバーしています:
- Cursor: サンドボックスなしでシェルで直接コマンドを実行
- Claude Code: 詳細は指定されていません
- Devin: 詳細は指定されていません
- OpenAI: 詳細は指定されていません
- E2B: ハードウェア分離型のFirecrackerマイクロVMを使用
セキュリティ比較
ソースでは具体的なセキュリティデータを提供しています:
- コンテナランタイムは2019年以降毎年エスケープCVEが報告されています
- Firecrackerは7年間でゲストからホストへのエスケープがゼロ件です
- AWSは「コンテナをセキュリティ境界とは見なしていない」と述べています
実際のインシデント
この投稿ではいくつかのセキュリティインシデントをカバーしています:
- Devinが1つの悪意あるGitHubイシューを介して乗っ取られた件
- Slack AIのデータ流出インシデント
- Clinejectionサプライチェーン攻撃
主要な概念
この分析では以下を特定しています:
- 従来の分離が前提とする5つの仮定(エージェントが破るもの)
- シリーズで探求される分離の6つの次元
AIコーディングエージェントを使用する開発者にとって、これはエージェントがどのようにコードを実行するかを理解し、異なる分離アプローチのセキュリティへの影響を認識することの重要性を強調しています。
📖 完全なソースを読む: r/LocalLLaMA
👀 See Also

Claudeのソースコードマップ漏洩により、縮小化されたJavaScriptがすでにnpmで公開されていたことが明らかになりました
@anthropic-ai/claude-code npmパッケージのバージョン2.1.88に誤って含まれたソースマップファイルにより内部開発者コメントが明らかになったが、実際の13MBのcli.jsファイル(148,000以上のプレーンテキスト文字列を含む)はリリース当初からnpmで公開されていた。

Claudeのセキュリティレビューコマンドは、本番システムには制限があります
開発者は、MIMEタイプやファイルサイズ制限などの基本的な検証にはClaudeのセキュリティレビューコマンドが役立つが、高度な脅威に対する本番環境の強化には不十分であることを発見しました。解決策としては、ファイル処理を制限された権限を持つ分離ワーカーに分離する、2週間のアーキテクチャー見直しが必要でした。

セキュアにTailscaleなどを使用してVPSでOpenClawをセルフホストする
Tailscale、fail2ban、UFWなどを使用してVPS上でOpenClawを安全にセットアップし、公開アクセスを回避して防御を強化する方法。

TEEエンブレーブを使用した暗号化LLM推論のためのOpenClawの設定
開発者が、OpenClawをOneraのAMD SEV-SNP信頼実行環境で使用し、エンドツーエンド暗号化されたLLM推論を実現するための設定方法を共有しています。設定例と技術的なトレードオフを含みます。