Luisa Crawford
2026/1/30 16:35
NVIDIAのAIレッドチームは、AIコーディングエージェント向けの必須セキュリティコントロールを公開し、プロンプトインジェクション攻撃とサンドボックスエスケープの脆弱性に対処しています。
NVIDIAのAIレッドチームは1月30日、開発者ワークフローにおける盲点の拡大をターゲットにした包括的なセキュリティフレームワークを発表しました。それは、完全なユーザー権限で実行されるAIコーディングエージェントです。このガイダンスは、ネットワークセキュリティサンドボックス市場が3680億ドルに向けて急拡大し、CVE-2025-4609のような最近の脆弱性がサンドボックスエスケープが依然として現実的な脅威であることを全員に思い出させる中で登場しました。
中核的な問題は何でしょうか?Cursor、Claude、GitHub CopilotのようなAIコーディングアシスタントは、開発者が持つアクセス権限でコマンドを実行します。リポジトリを汚染したり、.cursorrulesファイルに悪意のある命令を忍び込ませたり、MCPサーバーのレスポンスを侵害したりする攻撃者は、エージェントのアクションを完全に乗っ取ることができます。
3つの譲れないコントロール
NVIDIAのフレームワークは、レッドチームが必須と考える3つのコントロールを特定しています。これらは提案ではなく、要件です:
ネットワーク出力のロックダウン。明示的に承認された宛先以外のすべての送信接続をブロックします。これにより、データの流出とリバースシェルが防止されます。チームは、HTTPプロキシの適用、指定されたDNSリゾルバー、個々の開発者が上書きできない企業レベルの拒否リストを推奨しています。
ワークスペース専用のファイル書き込み。エージェントは、アクティブなプロジェクトディレクトリの外には何も触れるべきではありません。~/.zshrcや~/.gitconfigへの書き込みは、永続化メカニズムとサンドボックスエスケープへの扉を開きます。NVIDIAは、アプリケーション層の約束ではなく、OS レベルの適用をここで求めています。
設定ファイルの保護。これは興味深いものです。ワークスペース内のファイルでさえ、それらがエージェント設定ファイルである場合は保護が必要です。フック、MCPサーバー定義、スキルスクリプトは、しばしばサンドボックスコンテキストの外で実行されます。ガイダンスは明確です:これらのファイルのエージェントによる変更は一切禁止。手動でのユーザー編集のみです。
アプリケーションレベルのコントロールが失敗する理由
レッドチームは、アプリ層の制限よりもOSレベルの適用を支持する説得力のある理由を示しています。エージェントがサブプロセスを生成すると、親アプリケーションは可視性を失います。攻撃者は定期的に承認されたツールを連鎖させてブロックされたものに到達します。より安全なラッパーを通じて制限されたコマンドを呼び出すのです。
macOS Seatbelt、Windows AppContainer、Linux Bubblewrapは、アプリケーション層の下で制限を適用し、許可リストが見逃す間接的な実行パスをキャッチできます。
より厳格な推奨事項
必須の3つを超えて、NVIDIAはリスク許容度の低い組織向けのコントロールを概説しています:
完全な仮想化—VM、Kataコンテナ、またはユニカーネル—は、サンドボックスカーネルをホストから分離します。Dockerのような共有カーネルソリューションは、カーネルの脆弱性を悪用可能なままにします。オーバーヘッドは現実的ですが、LLM推論のレイテンシによってしばしば矮小化されます。
継承ではなくシークレットインジェクション。開発者のマシンには、APIキー、SSH認証情報、AWSトークンが搭載されています。空の認証情報セットでサンドボックスを開始し、現在のタスクに必要なものだけを注入することで、影響範囲が制限されます。
ライフサイクル管理は、アーティファクトの蓄積を防ぎます。長時間実行されるサンドボックスは、依存関係、キャッシュされた認証情報、攻撃者が転用できる独自コードを収集します。エフェメラル環境またはスケジュールされた破棄がこれに対処します。
開発チームにとっての意味
タイミングは重要です。AIコーディングエージェントは、多くのチームにとって目新しさから必要性へと移行しましたが、セキュリティの実践は追いついていません。すべてのアクションの手動承認は習慣化を生み出します。開発者は読まずにリクエストを承認します。
NVIDIAの階層型アプローチは中道を提供します:上書きできない企業拒否リスト、摩擦のないワークスペースの読み書き、正当な外部アクセスのための特定の許可リスト、および他のすべてのケースバイケースの承認を伴うデフォルト拒否です。
このフレームワークは、出力の正確性やAI提案の敵対的な操作に対処することを明示的に避けています。それらは開発者の責任のままです。しかし、AIエージェントに実際のシステムアクセスを与えることから生じる実行リスクについては?これは、主要ベンダーのセキュリティチームから入手可能な最も詳細な公開ガイダンスです。
画像ソース: Shutterstock
ソース: https://blockchain.news/news/nvidia-ai-agent-security-framework-sandbox-controls
