Show HN: Runeward — ポリシーゲートでAIエージェントをサンドボックス化
Runewardは、宣言的なプロファイルを用いてAIエージェントに管理された実行セル(DockerまたはKubernetes上)を提供するオープンソースツールです。デフォルト拒否のエグレス、改ざん防止監査台帳、人間参加型ポリシーゲート、コスト/ループガードレールを備え、REST、MCP、CLI、Webダッシュボードから操作可能です。通常のサンドボックスに加え、ポリシー適用、監査証跡、コスト制御などのガバナンス層を追加します。
Runewardは、AIエージェントの安全な運用に焦点を当てたオープンソースプロジェクトです。シェルコマンドの実行、ファイル編集、パッケージインストール、ネットワークアクセスを行うエージェントに対して、管理された実行環境を提供します。単純なコンテナサンドボックスとは異なり、Runewardは隔離に加えてポリシー層を追加し、すべてのアクションがポリシー、承認ゲート、ガードレール、バックエンド実行、監査ログという統一された経路を通過するようにします。
プロジェクトは宣言型プロファイル(Profiles)を介してセキュリティ契約を定義します。明示的に許可されていない操作はデフォルトで拒否され、爆発半径を明確にします。すべてのトラフィック(REST API、MCPプロトコル、CLI、Webダッシュボードのいずれからでも)は同じガバナンスパイプラインを通過します。監査台帳は追記専用で、ハッシュチェーンとed25519署名を使用し、独立して検証可能な形で証拠の改ざんを防ぎます。
Runewardは人間参加型(HITL)承認をサポートし、高リスク操作に対して「承認が必要」というポリシーを設定できます。また、経過時間、実行回数、送信リクエスト数、トークン/消費予算のハード上限を提供し、再試行ループを検出します。マルチユーザコントロールプレーンはトークン認証とロールベースアクセス制御(RBAC)をサポートし、ユーザーごとに独立したダッシュボードビューを提供します。
バックエンドは、ローカル開発用のDocker/Podmanと、本番環境向けのKubernetes(厳格なL3エグレス、CRD、アドミッションウェブフック、PSA + NetworkPolicyによるマルチテナンシー)をサポートします。また、LangChain、CrewAI、OpenAI Agents SDKなどの主要フレームワーク向けのアダプタも提供されています。
典型的なエージェントサンドボックスと比較して、Runewardはデフォルト拒否のネットワークエグレス、アクションごとのポリシーと承認、改ざん防止の監査証跡、コスト/ループガードレール、マルチエージェントクラスター、コントロールプレーン認証、エージェントネイティブインターフェースにおいて優位性を持ちます。プロジェクトはApache 2.0ライセンスで公開され、ワンラインインストールスクリプトとクイックスタートガイドを提供しています。要するに、Runewardはモデルトレーニングに頼らず外部でルールを強制することで、AIエージェントにより安全で制御可能な実行環境を実現します。