LangChainがAIエージェント向けサンドボックス選択ガイドを公開――致命的なトライアドとmicroVM分離
LangChainは本番システムにおけるAIエージェントの安全な分離のための理論的・実践的フレームワークを定義した。重要な概念は致命的なトライアド:機密データへのアクセス、信頼できないコンテンツへの露出、外部通信の能力の同時発生だ。解決策:サンドボックス内に秘密鍵を格納しない認可プロキシを備えたmicroVMアーキテクチャ。
この記事はAIにより一次情報源から生成されました。
AIエージェントがますます強力になり、本番システムにより深く統合されるにつれて、安全な分離の問題は重大なものとなっている。LangChainは2026年6月12日、エージェントシステムに適したサンドボックスを選択するための重要な原則を定義する詳細なガイドを公開した――理論的フレームワークから具体的なアーキテクチャ上の決定まで。
脆弱性を生み出す致命的なトライアド
セキュリティ専門家のSimon Willisonが定義したいわゆる致命的なトライアド(lethal trifecta):機密データへのアクセス、信頼できないコンテンツへの露出、外部通信の能力の同時の組み合わせだ。3つの要素がすべて揃うと、攻撃者はプロンプトインジェクション攻撃を利用してデータを盗むことができる。
問題は、ほとんどの本番エージェントシステムがまさにそのような組み合わせを使用していることだ。メール(機密データ)を読み取り、そのメールのリンク(信頼できないコンテンツ)を処理し、返信を送信できる(外部通信)エージェントは、実際のトライアドの完璧な例だ。
Metaは緩和措置として「二つのルール」(Rule of Two)を提案した――エージェントは3つの要素がすべて揃っているときに自律的に行動すべきではない。しかし実際には、アーキテクトはどの組み合わせが本番環境で生じるかを常に予測できるわけではない。そのため、ポリシーだけでなく構造的な分離が不可欠だ。
なぜエージェントの分離が不可欠になったのか?
プロンプトインジェクションは仮想的な脅威ではない。エージェントが処理するデータ内の悪意あるコンテンツ――ウェブページ、ドキュメント、メール――が正当な命令としてエージェントが解釈する指示を含むシナリオだ。サンドボックスなしでは、攻撃が成功するとデータの流出、不正なAPIコール、またはシステムへの永続的な変更をもたらす可能性がある。
サンドボックスはトライアドを排除しないが、あらゆる侵害を分離された環境に制限する。攻撃者はサンドボックス内でエージェントを「乗っ取る」ことができるが、インフラの残りの部分には到達できない。被害の範囲は構造的に制限される――これが安全な設計と安全でない設計の根本的な違いだ。
効果的な分離の5つの側面
LangChainは、サンドボックスが満たすべき5つの重要な特性を定義している:
ファイルシステムの分離 ――サンドボックスには現在のタスクに必要なデータのみが含まれる。どのような指示を受けても、エージェントは自分のスコープ外のファイルにアクセスできない。
制限されたネットワークアクセス ――特定の宛先アドレス(許可リスト)のみが許可される。プロンプトインジェクション攻撃が成功した場合でも、エージェントは承認されていないアドレスにデータを送信できない。
リソース制限 ――CPUサイクル、メモリ消費、実行時間の制御により、サービス拒否攻撃やAPIクレジットの無制限消費を防ぐ。
制御された再現性 ――実行間で状態が持続するか、各タスクのためにサンドボックスがリセットされるかについての意識的な決定。
カーネルレベルの分離 ――microVM仮想化により、エージェントがオペレーティングシステムの脆弱性を悪用してサンドボックスから脱出するのを防ぐ。
LangSmith Sandboxesソリューションのアーキテクチャ
LangSmith Sandboxesは専用microVMに基づくアーキテクチャを通じて上記のすべての原則を実装している:各サンドボックスは独立したファイルシステムと分離されたカーネルを持つ専用仮想マシンを取得し、インフラの残りの部分や並行して実行されている他のサンドボックスから物理的に分離されている。
最も重要なアーキテクチャ上の革新は認可プロキシだ:秘密鍵――APIキー、トークン、認証情報――はサンドボックス内に格納されない。代わりに、プロキシが送信トラフィックを傍受し、サンドボックスを出た後にのみリクエストに認証情報を挿入する。エージェントが侵害された場合でも、侵害された環境内に秘密鍵が文字通り存在しないため、攻撃者は秘密鍵にアクセスできない。
このデザインは、プロンプトインジェクション攻撃が成功した場合、エージェントを操作してサンドボックス内で利用可能な限られたデータを持つ許可されたエンドポイントにリクエストを送信させることしかできないことを意味する。
より広いエコシステムへの統合
LangChainは、サンドボックスはエージェントエンジニアリングのより広いプラットフォームに統合される必要があると強調している――孤立したセキュリティアドオンではなく。テスト、監視、デプロイメントのツールなしでは、安全な分離は管理上の負担となり、チームはそれを回避してその価値を無効にしてしまう。
適切なサンドボックスの選択は、3つの要素の具体的な組み合わせに依存する:エージェントがアクセスするデータがどれほど機密性が高いか、処理するコンテンツがどれほど信頼できないか、通信する外部システムがどれほど重要か。3つすべてが高いレベルで組み合わさるシステムでは――認可プロキシを備えたmicroVM分離はオプションではなく、前提条件だ。
よくある質問
- AIエージェントのコンテキストにおける致命的なトライアドとは何か?
- 致命的なトライアドとは、機密データへのアクセス、信頼できないコンテンツへの露出、外部通信の能力という3つの条件の同時発生です。すべての条件が揃うと、プロンプトインジェクション攻撃によりデータが盗まれる可能性があります。
- LangSmith Sandboxesはどのように秘密鍵を保護するか?
- 認可プロキシがサンドボックスを出た後にのみ送信トラフィックに認証情報を挿入するため、秘密鍵は侵害された可能性のある環境内に格納されることはありません。
- サンドボックスはプロンプトインジェクション攻撃のリスクを排除するか?
- 完全にではありません。サンドボックスはトライアドの脅威を排除しませんが、被害の範囲を構造的に制限します――サンドボックス内でエージェントを侵害した攻撃者はインフラの残りの部分には到達できません。
📬 AIニュースをあなたの受信箱へ
毎日のダイジェストを自分仕様に——トピック、ソース、頻度を選べます。ワンクリックで解除。