こんばんは、Komlock labのWeb3エンジニア、ズルです!
最近、AIエージェントをいろいろ試してみたいと思う一方で、セキュリティ面に少し不安を感じることがあります。特にMacユーザーである自分にとっては、どうやって安全にAIエージェントの実行環境を構築すればいいのか悩むことも多く、調査を進めてきました。
本記事では、自分が検討・試したDocker、LXC、そしてQubes OSという3つのアプローチについて、それぞれの特徴や運用例をご紹介します。どの方法が最適かはプロジェクトの要件やリスク許容度によって変わると思いますが、ぜひ参考になれば幸いです。
Docker
Dockerは、コンテナ仮想化技術の代表格として広く使われています。アプリケーションとその依存関係をイメージ化し、ホストOSとの隔離を比較的容易に実現できるため、多くの開発者に愛用されています。
しかし、DockerコンテナはホストOSのカーネルを共有するため、root権限で動いているコンテナがホストOSに影響を及ぼすリスクはゼロではありません。そこで、コンテナの実行権限を低くしたり、必要最小限の権限だけを付与する「セキュリティ強化」が欠かせないポイントです。
危険なコンテナ例:
#!/bin/bash
echo "Attempting to read /etc/passwd on the host..."
cat /etc/passwd
echo "Environment Variables:"
env
上記はdangerous.shというスクリプト例です。このスクリプトをコンテナで実行すると、ホストの/etc/passwdを読み取りに行きます。
# Dockerfile (unsecured example)
FROM ubuntu:latest
COPY dangerous.sh /dangerous.sh
RUN chmod +x /dangerous.sh
CMD ["/dangerous.sh"]
docker build -t dangerous-test .
docker run -it --rm --name dangerous-container \
-v /etc/passwd:/etc/passwd \
dangerous-test
ここではホストの/etc/passwdをコンテナ内にマウントしています。もしコンテナがroot権限で動いている場合、ホストOSのファイルシステムに余計なアクセスが可能になってしまうため注意が必要です。
それを安全にするために:
# Dockerfile (secured example)
FROM ubuntu:latest
COPY dangerous.sh /dangerous.sh
RUN chmod +x /dangerous.sh
USER nobody
CMD ["/dangerous.sh"]
docker build -t secure-dangerous-test .
docker run -it --rm --name secure-dangerous-container \
--cap-drop=ALL \
--security-opt=no-new-privileges \
secure-dangerous-test
上記のようにUSER nobodyで実行ユーザーを変更し、さらに--cap-drop=ALLなどのオプションを付けることで、コンテナ内での権限を最小限に抑えられます。
Eliza AIエージェントの実行環境を改善
ここからは、Dockerを活用してElizaのAIエージェントをより安全に動かす例を考えました。従来はローカルでpnpmを使って直接実行する方法が一般的かもしれませんが、コンテナ技術を使うことでホストと隔離された実行環境を用意し、AIエージェントが想定外の動作をした際のリスクを低減できます。
レポジトリー: この記事を書く時点で最新のコミットこちらになります。
DockerfileからはUSER nodeを利用しており、コンテナがrootではなく限定的な権限で動作するになっているようです。
さらに、Docker Composeの設定に--cap-drop=ALLと--security-opt=no-new-privilegesのオプションが追加することで、コンテナが持つ権限を最小限に抑え、ホストOSへの影響をより一層低減できます。
...
ports:
- "3000:3000"
cap_drop:
- ALL
security_opt:
- no-new-privileges
restart: always
LXC
Dockerのようなコンテナ技術と比較されるLXC(Linux Containers)は、よりOS仮想化に近いレイヤーでコンテナを動かします。Dockerが「アプリケーションをパッケージ化」してデプロイするのに特化しているのに対し、LXCは「フルOSに近い環境をコンテナ化」するイメージです。
Mac上で直接LXCを動かすのは難しいですが、MultipassやLinux VMを活用すれば、UbuntuなどのOS上でLXCコンテナを運用することも可能。AIエージェントの検証やデバッグにも活用できます。
(Multipass + LXC手順例)
以下は、macOSでMultipassを利用し、Ubuntu VMの中でLXCをセットアップする手順の例です。
- Multipassのインストール:
brew install --cask multipass
- Ubuntu VMの起動:
multipass launch --name lxc-vm
multipass shell lxc-vm
- LXD (LXC) のインストール:
sudo snap install lxd
lxd init
- LXCコンテナの起動:
lxc launch ubuntu:22.04 my-lxc
lxc exec my-lxc -- /bin/bash
このようにして作成したLXCコンテナ内でAIエージェントを実行すれば、ホスト環境との分離度をさらに高められます。
Qubes OS
Qubes OSは、セキュアなコンピューティング環境を構築するために考え抜かれたOSです。複数の独立した仮想マシン(Qube)をデスクトップ環境上で同時に扱えるため、「このQubeは完全に実験用」「こちらは日常作業用」といった使い分けが可能です。
万が一、AIエージェントが危険なスクリプトを実行したとしても、その影響は実験用Qubeにとどまり、他のQubeを侵害しにくいのが大きなメリット。開発やセキュリティに高い意識を持っている方に特におすすめです。
Qubesのインストールガイド
Dockerは利便性とコミュニティの豊富さが魅力、LXCはよりOSレベルで柔軟なコンテナ環境を提供し、Qubes OSは究極のセキュリティを追求する選択肢です。どれを使うにしても、「最小限の権限」「ホストとの明確な切り離し」を常に意識することが重要。
AIエージェントは時に想定外の動きをすることもありますが、適切に隔離された環境であれば被害を最小限に抑えることができます。ぜひ本記事を参考に、自分に合った環境を整えてみてください!
Komlock lab エンジニア募集中
Web3の未来を共創していきたいメンバーを募集しています!!
気軽にDM等でお声がけください。
Komlock labの企業アカウント
PR記事とCEOの創業ブログ
Komlock lab もくもく会&LT会
web3開発関連のイベントを定期開催しています!
是非チェックしてください。
Discussion