脅威Threat
何が起こりうる?
攻撃者の目的や侵入経路ごとに、「どういう種類の問題か」を整理する分類です。TH-01からTH-10まであります。
TH-02 ツールの悪用と権限昇格
AI AGENT SECURITY REFERENCE
LEARN → ASSESS → VERIFY
プロンプトだけでは、削除、送信、コード実行、資金移動を止められない。ここでは、AIエージェントの脅威をコントロールへ、コントロールを要件へ、要件をPASS/FAILへつなぎます。
START HERE / 記号の読み方
TH、CT、REQ、VTは、専門家だけが使う暗号ではありません。同じ問題を「何が怖いのか」から「どう確かめるか」までたどるための目印です。
何が起こりうる?
攻撃者の目的や侵入経路ごとに、「どういう種類の問題か」を整理する分類です。TH-01からTH-10まであります。
TH-02 ツールの悪用と権限昇格
何で防ぐ?
脅威に対して置く防御策の種類です。本書では「コントロール」と呼びます。CT-01からCT-15まであり、最小権限や隔離など、防御の考え方を表します。
CT-05 最小権限と職務分離
何が満たされればよい?
対策を、ある/ない、満たす/満たさないと判定できる文章にしたものです。REQ-000からREQ-054までの安定した識別子を使い、SHALLは必須、SHOULDは理由を記録したうえで判断する強い推奨です。
REQ-011 ツールを最小権限にし、入力を実行前に検証する
どう確かめる?
要件を実際に確認するテストです。Manualの基本判定はPASS/FAILです。Kitでは、対象外などをFAILと区別するためSKIPを記録する場合があります。SKIPは合格ではありません。Sは設定を見る静的検査、Dは実際に試す動的検査、Eはログ確認、Aは運用手続きの確認を表します。
VT-S-011-SHELL S=静的検査、011=関連要件、SHELL=検査対象
ひとつの例でつなぐ
TH-02ツールを悪用され、削除や送信、コード実行などの実害が起きるかもしれない。CT-05そこで、ツールの権限を必要最小限に絞る対策(コントロール)を置く。REQ-011「各ツールは最小権限で、入力の型・必須項目・許容範囲を実行前に確認する」と、真偽を判定できる要件にする。VT-S-011-SHELLKit固有の静的テストでshellツールの設定を確認する。これだけで入力拒否の挙動まで証明したことにはならないため、ManualのVT-D-011のような動的テストも組み合わせる。CHOOSE A PATH
全体像が必要な人、今日確認したい人、証跡を残したい人。同じ情報を、目的に合わせて使い分けられます。
BOOK REFERENCE
公開中の独立リファレンスは第5章から開始しています。ほかの章は要点を確認したうえで、無料書籍の該当章へ進めます。
モデルの出力ではなく、ツールを通じて行使される権限と結果を脅威モデルの中心に置く。
無料書籍の目次から読む ↗ CHAPTER 02TH-01からTH-10まで。攻撃者の目的と侵入経路で、エージェント固有の脅威を整理する。
無料書籍の目次から読む ↗ CHAPTER 03名前を付けた脅威に対して、何を実装し、どの境界を閉じるのかを定義する。
無料書籍の目次から読む ↗ CHAPTER 04人間とエージェントの資格情報を分け、短寿命・狭いスコープ・追跡可能な委譲を設計する。
無料書籍の目次から読む ↗ CHAPTER 05許可リスト、入力検証、サンドボックス、承認ゲート、MCPの変更検知で実害の境界を守る。
公開リファレンスを読む > CHAPTER 06取得コンテンツと長期記憶を、来歴・信頼レベル・TTL・可逆性を持つデータとして扱う。
無料書籍の目次から読む ↗ CHAPTER 07ツール呼び出し、承認、外部送信、委譲を再構築できるログと、停止・失効・復旧の経路を作る。
無料書籍の目次から読む ↗ CHAPTER 08異常時に能力を段階的に縮小し、レビューなしに暗黙復帰しない状態機械を設計する。
無料書籍の目次から読む ↗ CHAPTER 09コントロールをREQ識別子とRFC 2119のSHALL/SHOULDで、真偽を判定できる要求へ変える。
無料書籍の目次から読む ↗ CHAPTER 10VT-S・VT-D・VT-E・VT-Aで、要件を反復可能なPASS/FAILと保持できる証跡へ変える。
無料書籍の目次から読む ↗ CHAPTER 11リスクの所有者、例外、監督、レビュー記録を、技術的なテスト結果と接続する。
無料書籍の目次から読む ↗FROM ONE CHECK TO THE WHOLE SURFACE
Webhook署名検証の4ケースだけを、Python標準ライブラリで実行する無料ツール。まず一つの境界でPASS/FAILを体験できます。
より広い検証を実行し、機械可読JSON、人が読めるPDF、digest manifest、timestamp responseを保持するための実践パッケージです。