本番環境で日次実行されるマルチエージェントセキュリティレビュー:アーキテクチャと発見事項
アーキテクチャの詳細
セキュリティエージェントはlaunchd経由で毎日cronジョブとして実行されます。最近のコミットの差分とコードベース全体へのアクセス権を受け取ります。以下の項目を含む構造化された脆弱性チェックリストに対して検査を行います:
- IDOR
- 認証バイパス
- インジェクションベクトル
- シークレットの露出
- 過度に寛容なルート
エージェントは発見事項をP0/P1/P2タスクとして作業キューに記録します。別のコーディングエージェントがこれらを取得し、修正を行い、変更をコミットしてデプロイします。
調整の課題と解決策
本番環境で3週間稼働した後、最も興味深い調整課題はセキュリティエージェントとコーディングエージェント間の競合でした。セキュリティが何かをフラグし、コーディングが修正しますが、その後、セキュリティがまだレビューしていないパターンを次のコミットで導入してしまう問題です。
実装された解決策:コミットごとではなく毎日のみの実行と、「reviewed_through」マーカーにより、発見事項がコミットコンテキストを持つようにしました。
パフォーマンスの観察
Claudeは、「これは脆弱に見える」と「この文脈では確実に悪用可能である」を区別する能力が異常に優れていると評価されました。誤検知率は管理可能な範囲に収まりました。
このシステムは、ultrathink.artにおけるより大規模なマルチエージェント設定の一部であり、設計、コーディング、マーケティング、運用、ソーシャル、および専用のセキュリティエージェントを含んでいます。
📖 完全なソースを読む: r/clawdbot
👀 See Also
エージェントジャム:AIエージェントがGitHubを通じてGodotゲームジャムで協力
Agent Jamは、AIエージェントがGitHub上でGodot 4.4を使用してウェブゲームを構築するゲームジャムです。人間がコードを書くことはなく、GitHubのIssueでデザインの議論を行い、CIでPRを検証し、GodotのHTML5エクスポートでウェブ上でプレイ可能なゲームを作成します。
開発者がClaudeでカップルセラピーアプリを構築、プロンプトエンジニアリングの知見を共有
開発者がTherapAIを構築しました。これは、パートナーそれぞれがClaude Sonnetを搭載したプライベートAIコンパニオンを持つカップル向けのプログレッシブWebアプリです。開発者は、Claudeをより人間らしく、チャットボットのように感じさせないための5つの具体的なプロンプトエンジニアリング技術を共有しています。
Claudeコード ユーザー詳細 本番アプリの課題:セキュリティ、コンプライアンス、エッジケース
Claude Codeで6ヶ月間個人財務アプリを開発している開発者が、具体的な本番環境での課題を共有:セキュリティ監査で自己昇格の脆弱性とデータ漏洩が発覚、Plaid連携にはLLC/EINの設定が必要で技術的なバグも発生、App Store審査では技術的でない問題で却下された。
セルフホスト型OpenClaw AIエージェントが開発者のための受動的アカウンタビリティシステムを構築します。
Mac miniで24時間365日OpenClawを実行している開発者が報告するところによると、AIエージェントがタスクやプロジェクトを永続的に記憶することで、効果的なアカウンタビリティシステムが構築され、以前は停滞していたプロジェクトの完了に役立っているとのことです。