CNCF Prempti：AIコーディングエージェントにポリシー適用と可視化をもたらす

Cloud Native Computing Foundation（CNCF）内のFalcoチームがPremptiを発表しました。これはAIコーディングエージェントのアクションに構造的な可視性と制御をもたらす実験的なプロジェクトです。目標はFalcoがKubernetes環境ですでに実現していることと同じです。ランタイムセキュリティ——被害が発生してからではなく、何かが実行しようとしたその瞬間に介入することです。

Premptiとは何ですか？ポリシー適用はどのように機能しますか？

PremptiはAIエージェントとOSの間に介在する軽量なユーザースペースサービスです。エージェント——例えばClaude Code——がツールコール（ファイルの読み取り、シェルコマンドの実行、ネットワークへのアクセスなどの操作）を宣言すると、Premptiはそのイベントを実行前にインターセプトし、Unixソケット経由でFalcoに送信します。

FalcoのルールエンジンはYAMLポリシー設定——エンジニアがFalcoランタイムルールですでに知っているのと同じ形式——に基づいてリクエストを評価します。判定はAllow（許可）、Deny（拒否）、またはAsk（ユーザーによるインタラクティブな確認）のいずれかになります。システムはブロックせずにイベントを記録するだけのMonitorモードと、適用を積極的に行うGuardrailsモードの2つの動作モードをサポートしています。

どのような脅威をカバーしていますか？なぜ重要なのですか？

デフォルトのルールセットはAIエージェント特有の6つのリスクカテゴリーをカバーしています。作業ディレクトリからの逸脱、機密パスへのアクセス（SSHキー、AWSクレデンシャル、.envファイル）、サンドボックスの無効化、クレデンシャルの窃取、破壊的なコマンド、そしてMCP/スラッシュコマンドインジェクション——AIエージェントが外部ツールへのアクセスを得るにつれてますます関連性が高まっている攻撃ベクターです。

Premptiはサンドボックスの代わりになりますか？

なりません——著者はこれを明示的に強調しています。Premptiがインターセプトするのはエージェントが宣言したツールコールであり、それらのコールが最終的に生成するシステムコールではありません。OSのハードニングとプロセス分離を補完するポリシー層ですが、代替にはなりません。現在はLinux、macOS、Windows上のClaude Codeをサポートしており、OpenAI Codexとの統合も計画されています。

すでにFalcoを使用しているセキュリティチームにとって、Premptiは既知のモデルを新しい攻撃面——生産環境でますます自律的にコードを実行するAIエージェント——に自然に拡張する手段を提供します。