Heron：AIエージェントのためのWireshark – パッシブeBPF可観測性

Heronは、Netisエンジニアリングチームが開発した、AIエージェント向けのパッシブネットワークアナライザーです。「AIエージェントのためのWireshark」とも呼ばれ、eBPFフックを利用してネットワークトラフィックからエージェントの実際の動作を再構築します。SDKやプロキシを全く必要とせず、TLS暗号化されたLLM呼び出しをキャプチャし、どのエージェントプロセスがその呼び出しを行ったかを特定できます。

v0.7.0では、アーキテクチャをOpenTelemetry標準に完全準拠させました。エージェントターンはトレース、LLM呼び出しはスパンとしてマッピングされ、既存の可観測性エコシステムにシームレスに統合できます。また、新たにeBPFキャプチャ発見機能を追加し、SSL_read/SSL_writeをフックすることでTLS暗号化トラフィックを平文でキャプチャし、プロセス帰属情報（どのエージェントプロセスがどの呼び出しを発行したか）を提供します。プロキシやTLSターミネータは不要です。

開発中、チームはClaude Codeの本番キャプチャにおいて、Opusターンの約73%が実際には隠されたセキュリティ監視サイドカーであることを発見しました。Heronは現在、これらの「ハウスキーピングノイズ」を自動的にフィルタリングし、本当のエージェント作業だけを表示します。

さらに、「ワンクリックSFT軌跡エクスポート」機能により、本番エージェントトラフィックをワークフローを再実行することなく、教師ありファインチューニング（SFT）用のトレーニングデータに直接変換できます。

Heronは完全にRustで構築されており、Reactコンソールを内蔵した単一バイナリとして配布されます。ライセンスはApache-2.0です。チームは設計原則として、Heron自体が遅くなったり失敗したりしてもエージェントのトラフィックをブロックしないことを強調しています。リソース圧力下では観測データを失う可能性はありますが、エージェント自体には影響を与えません。

パフォーマンスへの影響については、チームはまずパッシブ/シャドウデプロイメントで開始し、保持期間とボディサイズの上限を調整し、CPU、メモリ、ディスクI/Oを監視してからカバレッジを拡大することを推奨しています。プロセス識別については、eBPF層でPID追跡とプロセスツリーの関連付けを組み合わせ、同一ホスト上の複数のエージェントプロセスが同じLLMエンドポイントを呼び出す場合でも識別可能です。