Prempt iの紹介: Falcoで実現するAIコーディングエージェントのランタイムセキュリティ

これが重要な理由

エージェントがターミナル内で動作するとき、ユーザーセッション内で動作します。これはつまり、エージェントが認証情報、SSHキー、クラウド設定ファイルにアクセスできるということです。研究者と開発者は、AIコーディングエージェントがプロンプトインジェクション、解析ファイルに埋め込まれた予期しない命令、または単に広すぎるツール使用を通じて、プロジェクトスコープ外のファイルを読む、環境変数を盗む、外部ホストへのネットワーク呼び出しを試みるケースを記録しています。ほとんどの開発者は、エージェントのチャット出力以外に、そのような活動の構造化された可視性を持っていません。ポリシーレイヤーがなく、監査証跡がなく、特定のことをオフリミットとしてマークする簡単な方法がありません。

Prempt iがこれを変えます。

何をするのか

Prempt iはその可視性ギャップに焦点を当てています。エージェントツールコールを実行前に傍受し、Falcoルールに対して評価し、3つの判定のいずれかを返します: 許可でアクションを続行させる、拒否でそれをブロックし説明をエージェントに送り返す、または確認でインタラクティブな承認をあなたに促します。これは認証情報ファイルが保護されたままになること、スコープ外の読み取りが発生する前に検出されること、そしてセッション中にエージェントが触れたすべてのものの完全な監査証跡を持つことを意味します。

これがどのように見えるかの実例は次の通りです。~/.ssh/の下にファイルを保存するようにエージェントに指示すると、Prempt iは書き込みが発生する前にそれをブロックし、なぜかを説明する構造化されたメッセージをエージェントに送り返します:

● Write(~/.ssh/random_number.txt)
  ⎿  機密パスへの書き込みを拒否: Falcoは
     /home/jonasrosland/.ssh/random_number.txtが機密パスであるため書き込みをブロックしました

どのように機能するか

Prempt iは軽量なユーザースペースサービスとして実行され、root、カーネルモジュール、またはコンテナは必要ありません。デフォルトのルールセットは、ワーキングディレクトリ境界、機密パス保護、認証情報アクセス、破壊的なコマンド、パイプ・トゥ・シェル攻撃、流出試行、MCPサーバ設定ポイズニング、フック注入やgitフックなどの永続化ベクトルを含む、多くの一般的なリスク領域をカバーしています。

デフォルトでは、Prempt iはガードレールモードで実行され、ルールはエージェントの動作を積極的に形作る判定を生成します。ツールコールがブロックされたりフラグされたりすると、エージェントはLLMフレンドリーな説明を受け取り、適応します。初日から強制を実行する準備がない場合、モニターモードではエージェントが触れるすべてのものを観察しながら何もブロックしません。これは新しいツールに対して慎重なアプローチを取る組織に合理的な開始点です。

さらにカスタマイズが必要な場合、ルールはFalcoユーザーが既に知っているのと同じ構文を使用したプレーンYAMLです。git pushをブロック、読み取りをプロジェクトツリーのみに制限、またはコンテンツをシェルインタープリータにパイプする試みをフラグすることができます。これはしばしば一般的なプロンプトインジェクションベクトルとして使用されます。カスタムルールの起草と検証をインタラクティブにエージェントから直接支援するためのClaude Codeスキルも含まれています。

AIドリブン開発のための新しい種類の可視性

AIコーディングエージェントは、実際の機械上の実際の作業をますます信頼されており、エージェントレイヤーでの可視性の必要性は無視できなくなっています。脅威モデルはまだ定義されており、正しいデフォルトポリシーはまだ検討されていますが、Prempt iはその方向への初期の実用的なステップを提供します。オープンソースで、Falcoの実証済みのルールエンジンに基づき、これらのエージェントを毎日実行している開発者とセキュリティエンジニアからの入力とともに成長するように設計されています。

Falcoブログの完全な技術深掘りを読む: Prempt iの紹介: FalcoはAIコーディングエージェントに出会う

プロジェクトを探索し、試して、貢献する: GitHubのPrempti

Prempt iについてSysdig オープンソースコミュニティで私たちとチャットしましょう！