Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
そのハーネス、本当に境界になっていますか?
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
平木佳介
June 29, 2026
41
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
そのハーネス、本当に境界になっていますか?
「MEGU-Meet~目黒で“Meat”しながら“Meet”しよう!~ #4」の登壇資料です。
平木佳介
June 29, 2026
More Decks by 平木佳介
See All by 平木佳介
安全にAIを活用してセキュリティ運用を効率化した実践談 ~JAWS DAYS 2026
khiraki
0
73
セキュリティ運用の可能性を感じた AWS Well-Architected Security Assessment Tool MCP Server をご紹介します
khiraki
1
210
ブログ用スライド- Gemini版Slide
khiraki
0
1k
ブログ用スライド- ChatGPT版Slide
khiraki
0
1k
AWS Organizationsの組織ポリシー 使ってますか?~ Toranomon Tech Hub 第5回 ~
khiraki
0
170
AWSにおける OWASP Non-Human Identities (NHI) Top10 対策を考える
khiraki
0
140
AWS Community Buildersを布教したい件について
khiraki
0
32
IAMアクセスキー漏洩について
khiraki
0
69
Organizations のポリシー使いこなしてますか? ~最新の Security Hub ポリシーを添えて~
khiraki
0
26
Featured
See All Featured
The AI Search Optimization Roadmap by Aleyda Solis
aleyda
1
5.9k
Hiding What from Whom? A Critical Review of the History of Programming languages for Music
tomoyanonymous
2
870
Lessons Learnt from Crawling 1000+ Websites
charlesmeaden
PRO
1
1.3k
Art, The Web, and Tiny UX
lynnandtonic
304
22k
Java REST API Framework Comparison - PWX 2021
mraible
34
9.4k
Rails Girls Zürich Keynote
gr2m
96
14k
Joys of Absence: A Defence of Solitary Play
codingconduct
1
400
Digital Ethics as a Driver of Design Innovation
axbom
PRO
1
320
Odyssey Design
rkendrick25
PRO
2
700
JAMstack: Web Apps at Ludicrous Speed - All Things Open 2022
reverentgeek
1
480
Building a Modern Day E-commerce SEO Strategy
aleyda
45
9.1k
Keith and Marios Guide to Fast Websites
keithpitt
413
23k
Transcript
MEGU-Meet #4 — AI-Generated Vulnerabilities LT そのハーネス、本当に境界になってい ますか? AI Security
Harness Engineering AIエージェント時代の「実行環境」をセキュリティ境界として見直す
自己紹介 平木佳介 🕊️ X @k_hirasan ✍️ Zenn @khirasan 🏢 サイバーセキュリティクラウド
☁️ CloudFastener - Technical Account Manager 🤖 AI Coding Agent を業務で使い倒す日々 Claude Code AWS MCP Security
AI Coding Agentは「実行主体」になった 「このテストを直して」 → エージェントは… 📋 失敗ログを読む ✏️ ファイルを編集する
💻 shellを実行する 📦 依存関係を追加する ⚙️ CI/CDを変更する ☁️ クラウド環境にも触れる チャットではなく、開発環境に手を持った実行主体。
プロンプトからハーネスへ AIエージェント活用の関心はどこへ向かっているか 01 Prompt Engineering どう指示するか → 02 Context Engineering
何を渡すか → 03 Harness Engineering 何を実行させるか → 04 Loop Engineering どう継続的に回すか AIエージェント活用の論点は、出力品質から実行制御へ移っている。
今日のハーネスの定義 AIエージェントに外部能力を接続 し、 実行させるための制御層。 🤖 AI Agent repo files shell
MCP CI/CD secrets cloud 便利にするほど、攻撃面にもなる。
危険なのは「入力」ではなく「実行」 INPUT ⚠️ Malicious Input / Prompt Injection → EXECUTION
🔑 secretを読む 📡 外部送信する 📦 依存関係を追加する ⚙️ CI設定を書き換える 🔴 terraform / kubectl を実行する OWASP LLM / Agentic Risks Prompt Injection Excessive Agency Tool Misuse Sensitive Info Disclosure Supply Chain Unexpected Code Execution Identity & Privilege Abuse モデルの出力リスクから、実行権限リスクへ。
境界っぽいもの vs 本当の境界 方針・確認UI — Soft Controls 📝 CLAUDE.mdの注意書き 🙋
permission prompt 📋 allow / deny rules(粒度次第) 🪝 hooks(hook自体の信頼性も必要) 🤝 手元の慣習・レビュー頼み 強制制御 — Hard Controls 📦 sandbox / コンテナ 🗂️ filesystem isolation 🌐 network isolation 🔒 egress制御 🎫 scoped / short-lived credential 🚦 CI/CD approval gate 📋 audit log 許可プロンプトは境界ではない。強制制御で設計する必要がある。
レイヤーで考える 1 検知 Detection 危険な入力を見つける ATR secret scanning SAST CIスキャン
2 境界 Boundary 技術的に制限する sandbox 最小権限IAM network isolation filesystem isolation 3 監査 Audit 後から追えるようにする tool call log shell log MCP call log CI/CD audit log 4 運用 Operation 人間が判断する PR review 承認フロー permission prompt 例外管理 1つの仕組みで守るのではなく、レイヤーで境界を設計する。
検知対象が変わった 従来の検知対象 ログ プロセス ネットワーク バイナリ クラウドイベント → AI Agent時代の検知対象
prompt tool definition MCP config SKILL.md agent instruction tool response LLM I/O
Agent Threat Rules はどこに効くか ATR AIエージェント固有の入力面を検知する試み MCP config SKILL.md tool
response LLM input/output prompt injection tool poisoning context exfiltration zenn.dev/cscloud_blog/articles/agent-threat-rules-intro ✅ ATRでできること 危険な設定・入力に気づく ❌ ATRだけではできないこと shell実行・ネットワーク送信・シークレット 読み取りを止める ATRは境界ではなく検知。検知で気づき、境界で止める。
ハーネスを評価する5つの点検観点 👤 権限 エージェント専用の最小 権限になっているか ⚠ 開発者本人の強い権限 をそのまま使う 🔑 シークレット
読める場所に秘密情報が 置かれていないか ⚠ .env、AWS認証情報、 GitHub tokenを読める 💻 ツール実行 shellやMCPに実行制御 があるか ⚠ curl / npm install / terraform apply が広く 使える 📦 サプライチェーン 依存関係・MCP・ hooksを信頼できるか ⚠ 便利なMCPやnpm packageを無検証で追加 する 📋 監査 何を読んだか、何を実行 したか追えるか ⚠ 成果物だけ残り、実行 履歴が残らない まずは自分のハーネスの攻撃面を把握することから始める。
ハーネスを「境界」として設計する 01 AI Coding Agentのリスクは「出力」ではなく「実行」に移っている。 02 ハーネスは便利な接続層であると同時に、最大の攻撃面になる。 03 本当に境界と呼ぶなら、プロンプトではなく「分離・権限・監査」の強制制御で設計する。 "
エージェントを便利に使うために、ハーネスを「信頼」ではなく「制御」で設計する。
ご清聴ありがとうございました! MEGU-Meet #4 — AI-Generated Vulnerabilities LT