ローカルAIのVS Code拡張機能は、保存時の安全でないコード生成をブロックします。
ある開発者が、VS Code拡張機能を作成しました。この拡張機能は、llama3.1:8b-instruct-q4をローカルで実行し、AIによって生成された安全でないコードを含む保存を物理的にブロックします。このツールは、Claudeが教科書的なCWE-117(ログインジェクション)の脆弱性を持つFlaskルートを生成した後に構築されました。
仕組み
この拡張機能は、VS Codeでの保存操作をインターセプトし、llama3.1:8b-instruct-q4モデルをローカルで実行して、コードのソースからシンクへの実行フローをマッピングし、AIが危険なものを生成した場合にハードブロックをスローします。システム全体はオフラインで動作し、クラウド依存やAPIキーは必要ありません。
ソースからの具体的な詳細
- 使用モデル: llama3.1:8b-instruct-q4
- プラットフォーム: VS Code拡張機能
- トリガー: 保存操作をインターセプト
- 分析方法: ソースからシンクへの実行フローをマッピング
- アクション: 危険なコードに対してハードブロックをスロー
- 捕捉された脆弱性の例: Claudeによって生成されたFlaskルートにおけるCWE-117ログインジェクション
- インフラストラクチャ: 完全にオフライン、クラウドなし、APIキーなし
このアプローチは、ClaudeやGitHub CopilotのようなAIコーディングアシスタントがコードを迅速に生成する一方で、セキュリティ脆弱性を導入する可能性があるという一般的な問題に対処しています。ローカル実行により、プライバシーが確保され、外部サービスへの依存が排除されます。
📖 Read the full source: r/LocalLLaMA
👀 See Also
Argus: Claude Codeのリアルタイム可観測性を実現するオープンソースVS Code拡張機能
ArgusはVS Code内でClaude Codeのエージェントステップをリアルタイムに可視化し、タイムライン、依存関係グラフ、コスト/ループ検出を表示して、トークンを浪費する動作をデバッグします。
Claudeコード用のカスタム音声抽出プロセス(テンプレート付き)
開発者が、Claude Code向けのカスタムボイススキルを作成するための3段階抽出プロセスを共有し、LLM特有の表現の禁止リスト、アンチパフォーマンスルール、フォーマット固有のボイスモードを含む510行のSKILL.mdファイルを作成しました。このオープンソーステンプレートは、10以上の書き込みサンプルを使用してあらゆる言語で動作します。
Conduid:Claudeで構築されたMCPサーバーのための信頼基盤レイヤー
Conduidは、GitHub、npm、PyPI、主要ディレクトリにまたがる25,000以上のMCPサーバーをインデックス化し、GitHubの活動状況、セキュリティ体制、ドキュメントの質、メンテナンスの兆候に基づいて各サーバーに0〜100のスコアを付けています。コードベース全体は、単独の創業者によってClaudeを使用して書かれました。
オープンソース・エージェントOS:WASMサンドボックスとHands機能を備えたAIエージェント向けRustベースOS
MITライセンスの下、13万7千行のRustコードで書かれたAIエージェント向けオープンソースOSがリリースされました。このシステムはWASMサンドボックス内でエージェントを実行し、16層のセキュリティを備え、予定された自律的なエージェント操作のための「Hands」機能を導入しています。