メキシコ湾流の延長であるノルウェー海流は、フランス西海岸に暖かい海水をもたらす。「AIコーディングドリフト」は、それとはまったく異なる——より冷ややかで、より地球規模の現象だ。フランスを拠点とするEdamameは、後者に対する新たなソリューションを発表した。
開発者たちは、コード開発のスピードを高めるためにAIコーディングエージェントを大量に活用している。これ自体は良い意図だが、望ましくない結果を招く可能性がある。コーディングエージェントは、開発者が最初に宣言した意図から逸脱し、異なる動作をするようになる傾向があり、その変化はしばしば検出困難だ。
この逸脱は一般に「コードドリフト」と呼ばれる。どのエージェントでも発生し得るが、自己改善型のエージェントでは悪化しやすい。主な原因としては、エージェント内部で有機的に生じる場合と、攻撃者が汚染したアセットによる外部注入がある。後者はより危険で即時的な逸脱を引き起こし、正規のローカルプロセスの一部として、トークン・SSHキー・CIシークレット・ソースコード・開発者のウォレット情報などの外部流出につながる可能性がある。
自律的に発生する有機的ドリフトを含め、ドリフトが生じる理由は、エージェントが豊富で変化しやすいコンテキストの中で動作するためだ。そのコンテキストが変化し、開発者の認識と乖離することでコードドリフトが発生する。エージェントに与えられた信頼の水準によって、ドリフトは気づかれないまま継続し、従来のセキュリティツールはその結果を信頼してしまう。
ドリフトのその他の原因については、フランス拠点のEdamameが、その影響や被害に対抗するためのソリューション発表の中で詳しく説明している。このソリューションは、コーディングエージェントのランタイム検証と攻撃パターン検出を行う「ホスト側ランタイムエビデンスレイヤー」として説明されるランタイムセキュリティシステムだ。
これは6つの主要モジュール(レイヤー)で構成されており、連携してランタイム検証と攻撃パターン検出を実現する。6つのレイヤーは以下のとおりだ:
Edamame Security:「開発者およびローカルデバイスのためのワークステーション信頼アンカー。ローカルエージェントのワークロード実行中に、ポスチャードリフト・逸脱・攻撃の検出結果を監視する。」
Edamame Posture:「ランナー、サーバー、エージェントホスト向けのCLIおよびホスト制御サーフェス。エージェントが動作する前にセルフホスト環境を強化し、その後ランタイムエビデンスを監視する。」
エージェント統合:「Cursor、Claude Desktop、Claude Code、Codex、OpenClawを名前付きランタイムサーフェスとして対応。エージェントネイティブのシグナルがホストテレメトリを補完する。」
逸脱エンジン:「キャプチャされたコーディングエージェントの意図と、ホスト上のプロセス・ファイルシステム・ネットワーク・ツールコール・ポスチャーのテレメトリを照合する。」
攻撃パターン検出エンジン:「ライブテレメトリに対してCVE対応チェックを実行し、クレデンシャルの収集、トークンの外部流出、サンドボックスの悪用、機密ファイルへのアクセス、サプライチェーン攻撃の挙動を検出する。」
Edamame Hub:「フリート全体でセキュアでないコーディングエージェントのインストールを可視化し、チームが逸脱エビデンスと攻撃検出結果を一元的に確認できる場所を提供する。」
EdamameはこのシステムをSDLCに後付けされた単なるインターフェースではなく、開発者とエージェントがすでに作業している場所にランタイム検証と攻撃検出を組み込む手段だと説明している。
「コーディングエージェントは、ソフトウェアデリバリーの実行レイヤーになりつつあります」と、Edamame Technologiesの創業者兼CEOであるシリアルアントレプレナーのFrank Lyonnetは述べる。「それによってセキュリティの問いかけは、『この開発者は信頼できるか?』から、『このエージェントは、このホスト上で、このポスチャーのもとで、オペレーターの意図の範囲内にとどまっていたか?』へと変わります。Edamameはホストテレメトリからその逸脱を測定し、意図のドリフトや具体的な攻撃パターンがエビデンスに現れた瞬間にアラートを発します。」
フランスアルプスのサボワ大学でコンピュータサイエンスを教えるKave Salamatian教授はこう加える。「自律型ソフトウェアエージェントの動作を検証する——各アクションを明示的なポリシーと境界で照合し、エビデンスとともに確認する——というテーマは、研究コミュニティで10年来繰り返し取り上げられてきました。Edamame Technologiesがコーディングエージェント向けに出荷しているものは、その研究成果の実装的な表現であり、事後監視では明らかに対応しきれなくなったワークフローに適用されています。」
また、Edamameシステムのもう一つの重要な副次効果にも触れておく価値がある。ランタイム検証の逸脱スコアを生成するのと同じホストテレメトリが——機械学習・異常検出・AI分析によって強化され——コーディングエージェントを通じて開発者のワークステーションに到達するnpmおよびPyPIサプライチェーン攻撃の現在の波も検出するのだ。
Axios npm RATの実行を防ぐことはできなかったものの、デリバリー直後にその存在を検出できただろう。インストールをブロックすることはできないが、RATがC2に向けてビーコンを送信した瞬間に不審な動作を検出できたはずだ。RATがトークンやSSHキーを読み取ろうとする試みを検出し、それらのシークレットを外部流出させようとする動作も把握できただろう。RATの動作を阻止することはできないが、その存在を即座に検出し、被害者が迅速に対処できる手段を与えることができる。同じ原則は、コーディングエージェントを通じて開発者のワークステーションに到達するPyPIやその他のサプライチェーン攻撃にも当てはまる。
Edamame Technologiesは、Netskope、UiPath、Sonarの幹部を務める個人投資家から出資を受けている。
