Upgrade to Pro — share decks privately, control downloads, hide ads and more …

そのハーネス、本当に境界になっていますか?

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for 平木佳介 平木佳介
June 29, 2026
41

 そのハーネス、本当に境界になっていますか?

「MEGU-Meet~目黒で“Meat”しながら“Meet”しよう!~ #4」の登壇資料です。

Avatar for 平木佳介

平木佳介

June 29, 2026

More Decks by 平木佳介

Transcript

  1. MEGU-Meet #4 — AI-Generated Vulnerabilities LT そのハーネス、本当に境界になってい ますか? AI Security

    Harness Engineering AIエージェント時代の「実行環境」をセキュリティ境界として見直す
  2. 自己紹介 平木佳介 🕊️ X @k_hirasan ✍️ Zenn @khirasan 🏢 サイバーセキュリティクラウド

    ☁️ CloudFastener - Technical Account Manager 🤖 AI Coding Agent を業務で使い倒す日々 Claude Code AWS MCP Security
  3. AI Coding Agentは「実行主体」になった 「このテストを直して」 → エージェントは… 📋 失敗ログを読む ✏️ ファイルを編集する

    💻 shellを実行する 📦 依存関係を追加する ⚙️ CI/CDを変更する ☁️ クラウド環境にも触れる チャットではなく、開発環境に手を持った実行主体。
  4. プロンプトからハーネスへ AIエージェント活用の関心はどこへ向かっているか 01 Prompt Engineering どう指示するか → 02 Context Engineering

    何を渡すか → 03 Harness Engineering 何を実行させるか → 04 Loop Engineering どう継続的に回すか AIエージェント活用の論点は、出力品質から実行制御へ移っている。
  5. 危険なのは「入力」ではなく「実行」 INPUT ⚠️ Malicious Input / Prompt Injection → EXECUTION

    🔑 secretを読む 📡 外部送信する 📦 依存関係を追加する ⚙️ CI設定を書き換える 🔴 terraform / kubectl を実行する OWASP LLM / Agentic Risks Prompt Injection Excessive Agency Tool Misuse Sensitive Info Disclosure Supply Chain Unexpected Code Execution Identity & Privilege Abuse モデルの出力リスクから、実行権限リスクへ。
  6. 境界っぽいもの vs 本当の境界 方針・確認UI — Soft Controls 📝 CLAUDE.mdの注意書き 🙋

    permission prompt 📋 allow / deny rules(粒度次第) 🪝 hooks(hook自体の信頼性も必要) 🤝 手元の慣習・レビュー頼み 強制制御 — Hard Controls 📦 sandbox / コンテナ 🗂️ filesystem isolation 🌐 network isolation 🔒 egress制御 🎫 scoped / short-lived credential 🚦 CI/CD approval gate 📋 audit log 許可プロンプトは境界ではない。強制制御で設計する必要がある。
  7. レイヤーで考える 1 検知 Detection 危険な入力を見つける ATR secret scanning SAST CIスキャン

    2 境界 Boundary 技術的に制限する sandbox 最小権限IAM network isolation filesystem isolation 3 監査 Audit 後から追えるようにする tool call log shell log MCP call log CI/CD audit log 4 運用 Operation 人間が判断する PR review 承認フロー permission prompt 例外管理 1つの仕組みで守るのではなく、レイヤーで境界を設計する。
  8. Agent Threat Rules はどこに効くか ATR AIエージェント固有の入力面を検知する試み MCP config SKILL.md tool

    response LLM input/output prompt injection tool poisoning context exfiltration zenn.dev/cscloud_blog/articles/agent-threat-rules-intro ✅ ATRでできること 危険な設定・入力に気づく ❌ ATRだけではできないこと shell実行・ネットワーク送信・シークレット 読み取りを止める ATRは境界ではなく検知。検知で気づき、境界で止める。
  9. ハーネスを評価する5つの点検観点 👤 権限 エージェント専用の最小 権限になっているか ⚠ 開発者本人の強い権限 をそのまま使う 🔑 シークレット

    読める場所に秘密情報が 置かれていないか ⚠ .env、AWS認証情報、 GitHub tokenを読める 💻 ツール実行 shellやMCPに実行制御 があるか ⚠ curl / npm install / terraform apply が広く 使える 📦 サプライチェーン 依存関係・MCP・ hooksを信頼できるか ⚠ 便利なMCPやnpm packageを無検証で追加 する 📋 監査 何を読んだか、何を実行 したか追えるか ⚠ 成果物だけ残り、実行 履歴が残らない まずは自分のハーネスの攻撃面を把握することから始める。