Show HN: OWASP Agent Memory Guard – AIエージェントメモリポイズニングを阻止

AIエージェントの普及に伴い、そのセキュリティは重要な課題となっています。特に、メモリポイズニング攻撃は新たな脅威です。攻撃者は、エージェントがセッションを跨いで永続化するメモリ（RAGインデックス、会話履歴、ベクターストアなど）に悪意のあるコンテンツを埋め込み、エージェントの指示を上書きしたり、ユーザーデータを流出させたり、将来のツール呼び出しを乗っ取ったりします。従来のプロンプトインジェクション防御はユーザー入力に焦点を当てていましたが、メモリポイズニングはメモリ自体を標的とするため、異なる対策が必要です。

OWASP Agent Memory Guard は、この問題を解決するためのオープンソースプロジェクトです。ランタイム防御層として、エージェントとメモリストアの間に位置し、すべての読み取りおよび書き込み操作を検査します。主な機能には、整合性チェック（SHA-256ベースライン）、脅威検出（プロンプトインジェクション、秘密/PII漏洩、保護キー変更、サイズ異常、急速変化攻撃など）、ポリシー実行（YAML定義ルールによる許可、編集、隔離、ブロック）、およびフォレンジック（構造化セキュリティイベントとポイントインタイムスナップショットによるロールバック）が含まれます。

ベンチマークでは、55の実世界攻撃ペイロードに対して92.5%の検出率、100%の精度、0%の偽陽性率、中央値59マイクロ秒のレイテンシを達成しました。攻撃カテゴリ別では、プロンプトインジェクションと保護キー改ざんが100%、機密データ漏洩が83%、サイズ異常が80%の検出率です。

インストールは簡単で、pip install agent-memory-guard を実行後、数行のPythonコードでMemoryGuardインスタンスを作成し、厳格なポリシーを設定するだけです。例えば、Policy.strict()を使用して悪意のある書き込みを自動ブロックし、スナップショットとロールバックもサポートします。LangChain用のGuardedChatMessageHistoryや、OpenAI Agents SDK、AutoGen、mem0向けの統合ガイドも提供されています。

アーキテクチャでは、書き込み操作は検出器パイプラインを通過し、ポリシーエンジンがアクションを決定します。さらに、メモリライフサイクルガバナンスとして、ソースクラス証明（external_tool、user_input、agent_authored、system）と自己強化クールダウン（SelfReinforcementDetector）を実装し、エージェントの自己汚染を防ぎます。retire_if機能による条件ベースのエントリ退役とロールバック、OpenTelemetryによる可観測性も備えています。

ロードマップでは、2026年第2四半期にLlamaIndex/CrewAIアダプターとRedis/PostgreSQLバックエンド、第3四半期にMLベースの異常検出とリアルタイムダッシュボード、第4四半期にv1.0.0とマルチエージェントセキュリティを予定しています。OWASPインキュベータープロジェクトとして、GitHubで3,900以上のダウンロードを記録し、コミュニティの注目を集めています。