Avai – あなたの初めてのAIアンチウイルス

Avai は、ホスト上で実際に何が実行されているかを把握するためのオープンソースツールです。Docker コンテナとして簡単にデプロイでき、ホストテレメトリーと LLM（大規模言語モデル）ベースの脅威分類を組み合わせています。

Avai は、macOS では 26 種類（Linux では 21 種類）のホスト情報をスナップショットとして収集します。対象はプロセス、USB デバイス、永続化機構、ファイル整合性、ブラウザ拡張、ネットワーク接続など多岐にわたります。各発見事項は、VirusTotal、MalwareBazaar、URLhaus、CISA KEV、Shodan、AbuseIPDB など最大 17 の脅威インテリジェンスソースと照合され、Claude クラスの LLM によって「悪意あり」「疑わしい」「不明」「良性」のいずれかに分類されます。判定には MITRE ATT&CK に準拠したカテゴリ、信頼度、および一行の修復アドバイスが付属します。

Avai の設計思想はシンプルさとプライバシーです。エージェントの契約、SIEM、クラウドコントロールプレーンは一切不要で、すべてのデータはローカルの SQLite データベースに保存されます。ダッシュボードは Flask + HTMX で構築され、ポート 8765 で読み取り専用として動作します。ユーザーは自身の API キー（Anthropic など）を提供するだけで利用を開始できます。

インストールと使用法は柔軟です。デフォルトではダッシュボードモードで起動しますが、より多くのホスト情報を取得するためのモニターモードも用意されています。モニターモードでは root 権限が必要ですが、Docker のバインドマウントや systemd サービスとしての実行もサポートしています。

Avai は、LLM モデルの選択、一度に判定するアイテム数の制御、特定の脅威インテリジェンスソースの有効化/無効化など、多くの設定オプションを提供します。コスト管理にも優れており、新しく検出されたアーティファクトのみが LLM に送られ、脅威インテルはキャッシュされるため、静かなホストでは最初のサイクル以降ほとんど API 呼び出しが発生しません。

さらに、Avai は分離デプロイが可能で、サーバー上でモニターを実行し、データベースファイルを同期して任意の場所でダッシュボードを表示できます。コマンドラインから SQLite データベースを直接クエリして、現在の脅威発見を確認することもできます。LLM モデルは Claude、GPT、Gemini、ローカルで実行する Ollama モデルなど、複数の選択肢をサポートしています。

ホストのセキュリティ状態を詳細に把握したい開発者やシステム管理者にとって、Avai は軽量で透明性が高く、強力なソリューションです。完全にオープンソースであり、ソースコードは GitHub で公開され、詳細なドキュメントや例も提供されています。