AI News HubLIVE
サイト内リライト2 分で読了

IronCurtain – 自律型AIエージェントのための安全な*ランタイム

IronCurtainは、人間が読める憲法によってセキュリティポリシーを定義し、AIエージェントが安全な境界内で自律的に動作できるようにするオープンソースの研究プロジェクトです。ランタイムでポリシーエンジンがルールを強制し、プロンプトインジェクションや権限乱用を防ぎます。

ソースHacker News AI著者: n0on3

IronCurtainは、自律型AIエージェントのための安全なランタイムを提供するオープンソースの研究プロトタイプです。その中核となる考え方は、人間が読める「憲法」を使ってセキュリティポリシーを定義し、それを決定論的なルールにコンパイルしてランタイムで強制することにより、エージェントが明確な境界内で自律的に動作できるようにすることです。

現在のAIエージェントフレームワークの主な問題は「環境権限(ambient authority)」です。エージェントはユーザーと同じ権限を持ち、プロンプトインジェクションやマルチターンのずれにより、ファイルの削除、データの流出、悪意のあるコードのプッシュなどが発生する可能性があります。一般的な対策としては、エージェントを狭いサンドボックスに制限するか(実用性が低下)、すべてのアクションにユーザーの承認を求めるか(自律性が低下)のいずれかですが、どちらも満足のいくものではありません。IronCurtainは、自然言語でセキュリティ意図を記述し、システムがそれを実行するという別のアプローチを採用しています。

IronCurtainの設計は、いくつかの重要なアイデアに基づいています。まず、エージェントは信頼できないものと仮定し、セキュリティはモデルの「良さ」に依存しません。次に、「英語入力、実行出力」—ユーザーが意図を記述し、システムがそれを決定論的なルールにコンパイルし、ランタイムではLLMを関与させずに強制します。第三に、セマンティックインターセプション:すべてのインタラクションはMCPサーバーを介して行われ、ツールコールは毎回ポリシーエンジンを通過し、許可、拒否、またはユーザーの承認にエスカレーションされます。最後に、多層防御:エージェントコードはV8アイソレートで実行され、ホストへの直接アクセスはありません。唯一の出口は意味のあるMCPツールコールであり、すべてポリシーと照合されます。

アーキテクチャ面では、IronCurtainは2つのセッションモードをサポートします。ビルトインエージェント(コードモード)では、IronCurtain自身のLLMエージェントがTypeScriptスニペットを作成し、V8サンドボックス内で実行します。ツールコールはサンドボックスを出て構造化MCPリクエストとしてポリシーエンジンを通過します。Dockerエージェントモードでは、外部エージェント(Claude Codeなど)がネットワークアクセスなしのDockerコンテナ内で実行され、IronCurtainがTLS終端MITMプロキシ、ポリシーエンジン、バリデーティングレジストリプロキシを介して外部効果を仲介します。

クイックスタートとしては、IronCurtainはNode.js 22/24/26を必要とし、最強の隔離のためにDockerのインストールを推奨します。インストール後、ironcurtain setupで初回設定を行い、ironcurtain muxコマンドで端末マルチプレクサモードを起動すると、完全なエージェントTUIとポリシー強制が利用できます。ユーザーはironcurtain customize-policyで憲法をカスタマイズし、ironcurtain compile-policyでポリシーをコンパイルできます。

さらに、IronCurtainはマルチエージェントワークフローをサポートしており、例えば脆弱性発見ワークフローや設計・コード作成ワークフローがあります。各エージェントは独立したDockerコンテナ内で実行され、役割固有のポリシー境界を持ちます。ワークフローはWeb UIまたはCLIから操作できます。

結論として、IronCurtainはAIエージェントを実際に有用なものにするために安全を確保する方法を探求する研究プロジェクトであり、憲法駆動のポリシーアプローチはエージェントセキュリティに対して斬新で実用的な方向性を提供しています。