完全自動化されたデータ暗号化攻撃が初めて明らかになってからわずか12日後、Ant Groupは危険なAIコマンドが実行される前に食い止めることを目的とした無料ツールを公開しました。
Ant GroupのAIセキュリティ研究所が開発したSingGuard-NSFAは、自律型エージェントのリクエストとレスポンスが外部ツールに到達する前に検査するシステムです。隠された命令、認証情報の窃取、悪意あるコード実行、リソースの悪用、権限の逸脱といった兆候を検知します。ソースコードと学習済みモデルはGitHubとHugging Faceで公開されており、各組織は自社のインフラ上にこの防御機構を導入できます。
公開の引き金となったJadePuffer事件
SingGuard-NSFAの公開は、JadePufferの攻撃活動に関する研究結果が発表された直後に行われました。7月、Sysdigは、言語モデルが初期侵入からデータ破壊に至るまでの多段階攻撃を自律的に実行した、初めて確認された事例を報告しています。
JadePufferは、深刻な脆弱性CVE-2025-3248(深刻度10.0のクリティカル)を突いて、未パッチのLangflowサーバーに侵入しました。そこからクラウドプラットフォームやAIサービスのアクセスキーを窃取しました。続いて、Nacos設定システムを稼働させる別のMySQLサーバーへと侵入先を切り替え、2021年に遡る脆弱性を悪用して認証を回避しました。
わずか31秒での適応
この自動化エージェントはその後データベース管理者権限を取得し、サービス設定情報を含む1,342件のレコードを暗号化した上で元のテーブルを削除し、ビットコインでの身代金要求を残しました。ある段階では、このモデルはログインエラーを自律的に診断し、攻撃を継続するための有効な方法をわずか31秒で見つけ出しています。
身代金を支払ったとしても何も復元されなかったはずです。暗号化キーはランダムな値から生成され、一度だけエージェントの内部ログに書き込まれた後、どこにも保存されていませんでした。実質的にJadePufferは情報を完全に破壊しており、身代金要求は従来型のランサムウェア攻撃を模倣したものに過ぎませんでした。
SingGuard-NSFAの仕組み
SingGuard-NSFAは、エージェントがコマンドを実行しようとするまさにその瞬間に、こうした事態を食い止めることを狙いとしています。Ant Groupによれば、このシステムは7つのカテゴリーにわたる185種類の脅威シナリオをカバーしています。検証にあたり、開発チームは133言語にまたがる約10万件のサンプルを収集しました。
同社は8億から90億パラメータまで4種類のモデルを公開しています。Ant Groupの主張によれば、最大規模のモデルは約50ミリ秒で判定を下すとしています。そのため、エージェントが外部ツールを呼び出すたびに、体感できるような遅延なく検査できるとしています。ただし、これらの数値は第三者機関による確認がまだ行われていません。
Microsoftのツールキットとは異なる考え方
Ant Groupのアプローチは、Microsoftが2026年春にオープンソース化したAgent Governance Toolkitとは一線を画しています。Microsoftのソリューションは、エージェントの行動をあらかじめ定義されたルールと照合する方式です。これに対しSingGuard-NSFAは、リクエストの内容そのものを評価し、悪意ある意図を認識しようと試みます。前者は既知の危険な行動を禁止する仕組みであるのに対し、後者はまだルールが存在しない新手の操作テクニックを捕捉することを目指しています。
留意点:監査、サプライチェーン、基本的な衛生管理
開発者はSingGuard-NSFAをローカル環境で実行できるため、データをAnt Group側に送信する必要はありません。とはいえ、ソースコードに対する第三者機関による監査は今のところ公表されていません。したがって、金融、医療、防衛、政府機関などの組織は、自らコードを精査した上でサプライチェーンリスクを見極める必要があります。
この新たな防御機構も、従来型のセキュリティ対策に取って代わるものではありません。JadePufferは、1年以上前にパッチが提供されていた脆弱性を突いて侵入し、さらに古いNacosの欠陥とMinIOのデフォルト認証情報を悪用しました。サーバーの更新、パスワードの定期的な変更、ネットワークアクセスの制限といった対策は、依然として防御の第一線であり続けます。SingGuard-NSFAは、自律型エージェントが悪意あるコマンドを実際の行動に移そうとするその瞬間に、もう一段の壁を追加するに過ぎません。
翻訳元: https://meterpreter.org/singguard-nsfa/