GKE Agent SandboxでAIが生成したコードを 安全に実行してみた

Transcript

1. © 2025 Classmethod, Inc. 2026年04⽉28⽇ ⾚池 悠 GKE Agent SandboxでAIが⽣成したコードを

   安全に実⾏してみた

2. © 2025 Classmethod, Inc. ⾃⼰紹介 2 赤池 悠 ( AKAIKE

   HARUKA ) @lamaglama39 • クラスメソッド株式会社 ◦ クラウド事業本部コンサルティング部 ▪ ソリューションアーキテクト 普段の業務は AWSがメインで、 実は現地参加もしてないですが登壇します。 好きなサービスは GKEです。

3. © 2025 Classmethod, Inc. アジェンダ 3 • Google Cloud Next

   2026 で発表された GKE関連のアップデート • GKE Agent Sandbox • まとめ

4. © 2025 Classmethod, Inc. 4 Google Cloud Next 2026 で発表された

   GKE関連のアップデート

5. © 2025 Classmethod, Inc. Google Cloud Next 2026 で発表されたGKE関連のアップデート 5

   • GKE Agent Sandbox ◦ 安全で拡張性に優れ、低遅延のエージェントインフラストラクチャ • GKE hypercluster ◦ Google Cloudリージョン全体にわたる数百万のアクセラレータを管理するための、単一の準拠したGKEコン トロールプレーン • Improved inference performance ◦ GKE Inference GatewayとKV Cache管理の基盤強化 • Reinforcement learning (RL) enhancers ◦ アクセラレータの利用を阻害するボトルネックを解消するためのネイティブ機能 • Scaling on custom metrics ◦ CPUとメモリ以外のトリガーに対するインテントベースのオートスケーリングのサポート 参照ドキュメント：What’s new in GKE at Next ʻ26

6. © 2025 Classmethod, Inc. Google Cloud Next 2026 で発表されたGKE関連のアップデート 6

   • GKE Agent Sandbox ◦ 安全で拡張性に優れ、低遅延のエージェントインフラストラクチャ • GKE hypercluster ◦ Google Cloudリージョン全体にわたる数百万のアクセラレータを管理するための、単一の準拠したGKEコン トロールプレーン • Improved inference performance ◦ GKE Inference GatewayとKV Cache管理の基盤強化 • Reinforcement learning (RL) enhancers ◦ アクセラレータの利用を阻害するボトルネックを解消するためのネイティブ機能 • Scaling on custom metrics ◦ CPUとメモリ以外のトリガーに対するインテントベースのオートスケーリングのサポート 参照ドキュメント：What’s new in GKE at Next ʻ26

7. © 2025 Classmethod, Inc. 7 GKE Agent Sandbox

8. © 2025 Classmethod, Inc. AIエージェントが⽣成したコード、どう実⾏してる？ 8 最近の私： AIエージェントが自律的にコードを書いて実行する毎日 • AIコーディングアシスタントが生成したコードの実行

   • マルチエージェントの各エージェント実行環境 • Claude Codeなどのコーディングエージェントのツール実行 • ect…ect…ect…

9. © 2025 Classmethod, Inc. AIエージェントが⽣成したコード、どう実⾏してる？ 9 最近の私： AIエージェントが自律的にコードを書いて実行する毎日 • AIコーディングアシスタントが生成したコードの実行

   • マルチエージェントの各エージェント実行環境 • Claude Codeなどのコーディングエージェントのツール実行 • ect…ect…ect… 課題：信頼できないコードをどう安全に実行する？ • 生成されたコードは100%安全？信用できる？（そんなわけないよね…） • であれば信頼できないコードをどう安全に実行する？ • 生成AIサービス提供側は利用者が生成させたコードの安全性を気にしている（はず）

10. © 2025 Classmethod, Inc. AIエージェントが⽣成したコード、どう実⾏してる？ 10 課題：信頼できないコードをどう安全に実行する？ • 生成されたコードは100%安全？信用できる？（そんなわけないよね…） •

    であれば信頼できないコードをどう安全に実行する？ • 生成AIサービス提供側は利用者が生成させたコードの安全性を気にしている（はず） GKEでの解決策： GKE Agent Sandbox • 信頼できないコードでも、安全に実行できる隔離された環境を提供 • GCPの認証情報やホストOSへのアクセスをブロックし、被害範囲を最小限に抑制 • セキュリティを確保しながら高速に起動・割り当てができる • 「GKEの設定 + CRD」として実装されている

11. © 2025 Classmethod, Inc. GKE Agent Sandboxとは 11 • カーネルレベルの分離

    ◦ gVisorを使⽤して、信頼できない LLM ⽣成コードに対して強⼒なカーネル レベルの分離を提供 • ⾼速なプロビジョニング ◦ 標準のKubernetes Podスケジューリングよりもはるかに⾼速に（通常1秒 未満）サンドボックスを提供する、すぐに使えるメカニズムを提供 • クラウドネイティブな拡張性 ◦ KubernetesパラダイムとGKEのマネージドインフラストラクチャの⼒を活 ⽤

12. © 2025 Classmethod, Inc. GKE Agent Sandboxとは 12 いい感じのコードを⽣成するAI いい感じの実⾏環境（GKE内のPod）

    ⼀⾔で⾔うと、 「AIが⽣成したコードを実⾏するため環境を セキュアに⾼速にいい感じに管理してくれる」機能 実⾏しといて！

13. © 2025 Classmethod, Inc. ざっくり構成イメージ（今回の構成） 13

14. © 2025 Classmethod, Inc. ざっくり構成イメージ（今回の構成） 14 テンプレートから事前に作成 されているSnadbox⽤Pod （WarmPool） サンドボックスの利⽤は

    claimというリソースで管理 サンボックスは破棄後に WarmPoolで設定した数まで ⾃動で追加 claimとサンドボックスの紐付け はコントローラーで管理

15. © 2025 Classmethod, Inc. ざっくり実⾏イメージ（今回の構成） 15 ①クライアントからサンド ボックスの利⽤リクエスト ②リクエストにサンドボック ス(Pod)を紐付け

    ③実⾏したいコードを サンドボックスへリクエスト ④リクエストされたコードを実 ⾏して実⾏結果をレスポンス

16. © 2025 Classmethod, Inc. やってみた - 環境構築 16 参考ドキュメント： https://docs.cloud.google.com/kubernetes-engine/docs/how-to/agent-sandbox

    • ①Google Cloud上のリソース ◦ 1. GKEクラスター作成（v1.35.2以上） ◦ 2. gVisor対応ノードプール追加 （--sandbox=type=gvisor + --image-type=cos_containerd） ◦ 3. --enable-agent-sandboxフラグでサンドボックス機能有効化 • ②Kubernetes上のリソース ◦ 1. Agent Sandboxコントローラをデプロイ ◦ 2. SandboxTemplate‧SandboxWarmPool (CRD)を定義してapply ◦ 3. Sandbox Routerをデプロイ

17. © 2025 Classmethod, Inc. やってみた - セキュリティ検証① 17 gVisorはカーネルレベルの分離ができるらしい、できている？ ➡ホストのカーネルから切り離されていることが確認できた。

18. © 2025 Classmethod, Inc. やってみた - セキュリティ検証② 18 GCPサービスアカウントトークンを取得できるエンドポイントは叩ける？ ➡通常PodではGCPトークンを取得可能、サンドボックスPodでは取得不可

     （どちらのPodでもWorkload Identity で権限制御は可能）

19. © 2025 Classmethod, Inc. やってみた - WarmPoolによる⾼速起動 19 WarmPoolだとどれぐらい早く起動するの？ ➡無しに⽐べて2~3倍ぐらい早い

    ‧WarmPool有り：約2.5秒 ‧WarmPool無し：約6秒 ※ 上記は10個のサンドボックスを同時起動した結果 ※ イメージは 公式ドキュメント のイメージを利⽤   （registry.k8s.io/agent-sandbox/python-runtime-sandbox:v0.1.0）

20. © 2025 Classmethod, Inc. • クライアント側の準備 ◦ 1. k8s-agent-sandbox（SDK）と mcp

    ライブラリをインストール ◦ 2. SDKの SandboxClient を使い、MCPサーバーを実装 ◦ 3. claude mcp add コマンドでClaude CodeにMCPサーバーを登録 ◦ 4. あとはClaude Codeに⾃然⾔語で指⽰するだけ やってみた - Claude Codeから呼び出し 20 参考ドキュメント： https://docs.cloud.google.com/kubernetes-engine/docs/how-to/agent-sandbox https://github.com/kubernetes-sigs/agent-sandbox/tree/main/clients/python/agenti c-sandbox-client

21. © 2025 Classmethod, Inc. やってみた - Claude Codeから呼び出し 21 結果：Claude

    Codeからツールで呼び出せた ※ 使い終わったサンドボックスを削除すると、WarmPoolから⾃動補充されることも確認

22. © 2025 Classmethod, Inc. どんなユースケースがありそう？ 22 • AIコーディングアシスタント の実⾏環境 ◦

    ⽣成コードをそのまま安全に実⾏できる • マルチエージェントシステムの実⾏環境 ◦ 各エージェントに専⽤の分離実⾏環境を提供 • ユーザー投稿コードの実⾏環境 ◦ 競技プログラミング、データ分析サービスなど • Claude Codeのツール実⾏環境 ◦ セキュリティを担保しながらエージェントにコードを実⾏させる （⾊々書いてますが、⽣成AIサービス提供側がメインユーザーかな？と思います）

23. © 2025 Classmethod, Inc. 23 まとめ

24. © 2025 Classmethod, Inc. まとめ 24 • AIエージェントに⾃律的にコードを実⾏させる場⾯がなければ、 使う機会はあまりなさそう… •

    ただ、コーディングアシスタントや任意コード実⾏基盤を作っているチームに はピンポイントで刺さる機能 • 今後AIエージェントを活⽤が進めば進むほど、 「実⾏環境のセキュリティ設計」の重要性が増してくると感じた

25. © 2025 Classmethod, Inc. まとめ 25 • AIエージェントに⾃律的にコードを実⾏させる場⾯がなければ、 使う機会はあまりなさそう… •

    ただ、コーディングアシスタントや任意コード実⾏基盤を作っているチームに はピンポイントで刺さる機能 • 今後AIエージェントを活⽤が進めば進むほど、 「実⾏環境のセキュリティ設計」の重要性が増してくると感じた Google Cloud上で⽣成AIサービスを 作ってる開発者には必⾒のアップデートかも…！

26. © 2025 Classmethod, Inc. Google Cloud Next 2026 で発表された GKE関連のアップデート関連する弊社ブログ

    26

27. © 2025 Classmethod, Inc. Google Cloud Next 2026 で発表された GKE関連のアップデート関連する弊社ブログ

    27 ないです（2026/04/28時点）。 これから書きます。 多分以下のようなタイトルでブログ書きます。 • GKE Agent SandboxでClaude Codeが⽣成したコードの実⾏環境を分離してみた（仮） • カスタムメトリクスに基づくオートスケーリングをGKE内部で完結してみた（仮）

28. © 2025 Classmethod, Inc.