Knox – AIエージェントのツール呼び出しを実行前にガバナンス

Knoxは、AIコーディングエージェント向けのセキュリティポリシーエンジンで、Qoris社によって開発されたオープンソースプロジェクトです。単一のソースツリーから5つの配布形態（スタンドアロンCLI、Node.jsライブラリ、Claude Codeプラグイン、Cursorプラグイン、OpenAI Codexプラグイン）を構築し、共通のルールセットを共有します。ユーザーは用途に応じて最適なインターフェースを選択できます。

コア機能と能力マトリックス

Knoxの中心機能は、エージェントのツール呼び出しをリアルタイムでインターセプトすることです。各ツール呼び出しの前にフックメカニズムを介してポリシーをチェックします。配布形態によってサポート機能は異なります。CLIとライブラリは検査機能（knox checkによるプログラム的判定やknox testによる人間可読なテスト）のみを提供し、エージェントの実行を阻止することはできません。一方、プラグインバージョン（Claude Code、Cursor、Codex）はリアルタイムブロック、自動監査ログ、プロンプトインジェクションスキャン、ポリシー改ざん防止を実現します。中でもClaude Codeプラグインは最も包括的な機能をサポートし、サブエージェントコンテキスト注入やcronジョブプロンプトスキャンを含みます。

インストールと使用法

インストール方法は各プラットフォームで異なります。CLIはnpm install -g @qoris/knoxでグローバルインストールし、knox statusで確認します。Claude Codeプラグインは公式プラグインマーケットからインストールします。CursorおよびCodexプラグインは、まずCLIをインストールし、その後knox install --target cursorまたはknox install --target codexを実行してフックファイルを手動で書き込みます。Codexでは、バグ#16430のためプラグインマネージャーのトグルでKnoxを完全に解除できません。完全に削除するにはknox uninstall --target codexを実行する必要があります。

プリセットルールとカスタム設定

Knoxには標準（standard）、厳格（strict）、無効（disabled）の3つのプリセットが組み込まれています。標準モードはセキュリティと開発効率のバランスを取り、厳格モードはより積極的なブロック戦略を採用します。ユーザーはプロジェクトルートの.knox.json設定ファイルでカスタムブロックリストを追加したり、プリセットを上書きしたり、特定のチェックカテゴリを調整したりできます。例えば、cat .envや外部ネットワークリクエストをブロックするルールを追加できます。

既知の制限と誠実なトレードオフ

開発者はKnoxの限界を明確に指摘しています。これは機械的なパターンフィルターに過ぎず、意味意図分析、データフロー追跡、実行時動作検出はできません。新しいマルウェアや難読化されたインラインコード（例：python -c "exec(chr(...))"）、一般的な外部呼び出し（例：curl attacker.com）はバイパスされる可能性があります。また、bash -iのような対話型シェルの起動は合法的な開発行為である一方、悪意のあるパラメータで悪用される可能性もあります。Knoxの設計思想は、モデルの防御の第二線として機能することです。モデルが意図を判断し、Knoxはモデルが自律モードや外部MCP入力、危殆化したCLAUDE.mdなどで見逃しがちな危険なコマンドを捕捉し、監査証跡を提供します。

エンタープライズ版：Qoris Runtime Knox

オープンソース版に加え、Qorisはエンタープライズ版Qoris Runtime Knoxも提供しています。これはQorisのワーカーコンテナに組み込まれ、営業、運用、コンプライアンス、サポートのワークフローで24時間365日稼働するAIワーカーを管理します。共有メモリガバナンス、承認ワークフロー、監査パイプライン、数百の同時ワーカーセッションにわたって永続化するポリシーをサポートします。

コミュニティと貢献

KnoxはGitHubでオープンソースとして公開されており、AGPL-3.0ライセンス（ただしFOSS例外条項によりClaude Codeプラグインなどの派生作品は独立ライセンス可能）のもとで提供されています。現在4つのスター、35回のコミットがあり、完全なテストスイートとチェンジログが含まれています。