SingGuard-NSFA:エージェント型AIのためのオープンソースガードレール

SingGuard-NSFAは、エージェント型ワークフローにおける運用上の脅威を対象としたオープンソースのガードレールフレームワークです。0.8B、2B、4B、9Bパラメータの4種類のモデルが提供されており、いずれもQwen3.5ベースバックボーンを採用しています。

Image

リスク分類体系

NSFAのリスク分類体系は、機密性・完全性・可用性というCIAトライアドの軸に沿って脅威を整理しています。185種類のリスクバリアントを、より少数のトップレベルドメインと中間レベルカテゴリーの下に分類しており、3つのOWASPガイドラインに照らして相互検証されています。

5つのトップレベルドメインはクエリ側の脅威をカバーしており、プロンプトインジェクションとジェイルブレイク、悪意あるコードやサイバー攻撃の要求、機密情報の窃取、危険な操作やツールの悪用、そしてリソースの悪用が含まれます。さらに2つのドメインが応答側の脅威をカバーしており、危険なアクションの生成と機密情報の漏洩が該当します。

2つの推論モード

SingGuard-NSFAは2つのモードで動作します。生成モードでは、分類体系に基づいた思考の連鎖(chain-of-thought)分析を行った上で、コンプライアンス監査や人によるレビューを想定した構造化されたリスク判定を出力します。リアルタイム分類モードでは、単一のフォワードパスから得られる最終トークンの埋め込みを、並列で動作する軽量なドメイン別ヘッドに振り分けます。分類モードでの1サンプルあたりのレイテンシは45〜57ミリ秒で、実運用中のエージェントのリクエスト経路に組み込むのに十分低い値です。

報告されている性能

プロジェクトのベンチマークによれば、4種類すべてのモデルにおいて、3つの多言語テストセットで94%を超えるF1スコアを記録しており、各サイズにおいて競合するガードレールを数ポイント上回っています。

このベンチマークは133言語をカバーしており、AgentDojo、InjecAgent、AgentHarmなど公開されているエージェントセキュリティのデータセットを基にした、クロスソース評価セットも含まれています。バックボーンの学習には、外部テキストを明示的な境界タグで囲んだ思考の連鎖に基づく教師ありファインチューニングを使用しており、これは注入された指示が分析フェーズを誘導するのを防ぐための工夫です。

拡張性

新しいリスクカテゴリーを追加する際、バックボーンの再学習は必要ありません。開発チームは、凍結されたモデルの埋め込みに対して小さな分類ヘッドを学習させ、それをプラグインするだけで済みます。このパイプラインは、ヘッド数が数万に達してもリアルタイムのレイテンシ予算内に収まっていました。

同じヘッドは他のガードレールにも適用できます。最も広くダウンロードされているコンテンツ安全性モデルであるLlama Guard 3に組み込んだところ、統合システムは多言語クエリベンチマークでF1スコアが17.6ポイント向上し、応答系およびクロスソーステストでも1桁台の小幅な向上が見られました。9BのSingGuard-NSFAバックボーンで学習させたコンテンツ安全性ヘッドは、開発チームが比較対象としたWildGuardやGPT-5.1を含む専用のコンテンツ安全性システムに対して、F1スコアの差1ポイント以内まで迫りました。

SingGuard-NSFAはGitHubで無料公開されています。

翻訳元: https://www.helpnetsecurity.com/2026/07/15/singguard-nsfa-open-source-agentic-ai-guardrails/

ソース: helpnetsecurity.com