サンドボックス技術でAI利活用を促進する

自己紹介 Copyright © 3-shake, Inc. All Rights Reserved. - 所属:
株式会社スリーシェイク - 仕事: マネージャー・エンジニア - 所在: 岩手県。熊が出る川沿いの家でお仕事をしています永瀬滉平 (@koh_naga)

話すこと 1. サンドボックス環境を AI利活用の一助にする 2. サンドボックス環境を用いた AIデータ分析ツールについて 3. Kubernetesでの応用 4.
まとめ今後のAIの利活用促進にサンドボックス環境が有用であると考えていることについて話し、技術検証で最近始めた取り組みについても少しお話しします。一言で言うと「予期せぬコンテナエスケープを防ぐ」

AIの利活用促進のためにサンドボックスが有用大きく3つの用途から、今後の AIの利活用促進のためにはサンドボックス技術が有用だと考える。 1. コードに対する人間のチェックの効率化・自動化 2. ワークロード実行環境 3. 業務自動化・民主化ツールでの実行環境

1. コードに対する人間のチェックの効率化・自動化 AIを用いた開発では実装速度が飛躍的に向上したものの、それらに責任を持つ人間のチェックが追いつかない現場が増えた。 • パフォーマンスやセキュリティのような非機能面のようなハイコンテキストな要素を AIで対応するのは現状難しい -> ビジネス的要件に起因し、トレードオフのオンパレード
• コードのメンテナンス性まで気にしながら実装を任せるのは難しい -> 何かあった際に人間にとっての可読性が無視されたスパゲッティコードでは困るすでに人間の指示のもとこういった課題に対しても AIが手助けを行っているが、今後は MCP・A2Aのような AIエージェントの拡張も相まってより自律的に動くようになると考える。 -> 動的なテストまで実施・チェックした上でアウトプットして欲しいというニーズが発生する。 -> AIが生成した「信頼できないコード」を動的に動かす場所が必要になる

2. ワークロード実行環境前述のように人間が安全性や必要な非機能要件を満たせているかわからないコードが大量に生成される中でもリリースは継続していきたい。人間が見落としたセキュリティリスクが万が一あっても大丈夫なように最終防壁を予防措置として用意しておきたい。 • テスト群を整備し、品質を負担なく担保する仕組みづくり -> テストコードは人間が要件やビジネス事情を十分に検討したうえで実装。併せて人間が介在しなくても
テスト実行できるように自動化も怠らない • アプリケーションの挙動に万が一があっても大丈夫なように安全な実行基盤を構築する -> アイソレーションが施された環境を用意する

AIは自身でコードを生成することができることから、自然言語での指示をもとにした業務の自動化や民主化に向いている。さらにAgent To Agent(A2A)のようにプロトコルも出始めていることで、できることも増えて品質も高くできるようになってきた。 3. 業務自動化・民主化ツール内の実行環境インプットデータ
コード生成アウトプットデータコード実行・再試行コード実行・再試行 A2Aで別エージェントも利用

3. 業務自動化・民主化ツール内の実行環境インプットデータコード生成アウトプットデータコード実行・再試行コード実行・
再試行 A2Aで別エージェントも利用・自然言語での作業指示・データセット AIが安全なコードを生成するとは限らない • インプットデータの漏洩 • 実行環境の破壊 • 効率の悪いコードこういったコードを安全に実行するための環境が必要

システム概要データ分析を自然言語で指示し、実行するツール生成された分析コード実行の安全性を可能な限り担保するためサンドボックス環境として E2Bを採用

システム概要データ分析を自然言語で指示し、実行するツール生成された分析コード実行の安全性を可能な限り担保するためサンドボックス環境として E2Bを採用ここについて解説

E2Bについて AIが生成したコードを隔離されたサンドボックス環境で実行することができるツール • OSSで公開されておりセルフホストすることができる (2025/9/4現在 Google Cloudのみサポート ) • SaaS版もあり、プランごとに並列実行数や細かいカスタマイズ機能が利用できるようになる
• 内部的には firecracker活用して MicroVMを立ち上げてコンテナで実行している HP: https://e2b.dev/ GitHub: https://github.com/e2b-dev

E2Bのセルフホスト

E2Bを使用しての所感 E2Bを利用してみてアーキテクチャに由来する不便さがいくつかあった • SupabaseやCloudflareのような外部 SaaSに依存がある • インスタンスグループを使用するためスケーリングレイテンシーが長め Kubernetesを基盤として用いてコンテナランタイムに firecrackerのような MicroVMを組み
合わせることで解決クラウドネイティブな技術要素を活用することで民主化にも貢献

Kubernetesを利用したサンドボックスの提供コンテナランタイムとして分離度を高めるように Kata Containersを利用する。 Kata Containers: OCI準拠のコンテナランタイム。ライトウェイト VMを用いてコンテナを実行することで runcと比較して高い隔離性を担保する。
仮想化のために以下のハイパーバイザーをサポート。 • QEMU • Cloud-Hypervisor • firecracker Kata Containers : https://katacontainers.io/learn/

Kubernetesを利用したサンドボックス的な実行環境の提供現状QEMUを用いて Kata Containersの検証中 (デモしたかったですが環境壊して復元が間に合いませんでした・・・すみません ) • KubernetesのためRuntimeClassを用いてランタイムを切り替えることができる
-> Kata Containersが必要ないときは従来通り runcでPodを立ち上げることができる • ハイパーバイザーを触れる必要があるので、ベアメタル or Nested Virtualizationを使用できる VMが必須 ◦ ベアメタルサーバは高価なため、 Nested Virtualizationを使用できるGoogle Cloudが有用 apiVersion: apps/v1 kind: Deployment metadata: name: nginx-deployment-qemu spec: selector: matchLabels: app: nginx replicas: 1 template: metadata: labels: app: nginx spec: runtimeClassName: kata-qemu containers: - name: nginx image: nginx:1.14 ports: - containerPort: 80

Kubernetesを利用したサンドボックス的な実行環境の提供【今後の展望】 • Kata Containers+firecrackerでE2Bと同等の機能を提供できるように整備 ◦ Cloud-Hypervisorも同様に整備し検証 • Argo Workflow、ArgoCD、Knativeなどを
活用しつつ AIエージェントがから使いやすい形を目指す

Appendix: gVisorについて gVisorもKata Containers同様にセキュアな低レベルコンテナランタイム • Kata Containersではホストカーネルと完全に分離したカーネルを提供するが、 gVisorはシステムコールをインターセプトしてゲストカーネルとして振る舞うコンセプト •
対応していないシステムコールも存在するため全ての処理が動作するとは限らない • ただ、Google CloudのCloud Run(第1世代の実行環境 )でも使用されていることから多くのユースケースでは問題にならない gVisor : https://gvisor.dev/docs/

まとめ • AIを活用した開発では静的な分析とそれに基づく修正が主だが、今後は動的な面にも広がってくると考えられる • 動的なテストなどを AIが自律的に行えるように開発環境を用意してあげる必要がある • 信頼できないコードを出力することのある AIにローカル環境などを触らせるのは危険なためサンドボックス
技術を必要とする現場が増えてくると考えられる • E2Bのような SaaSプロダクト、 Kubernetesのようなクラウドネイティブ技術がサンドボックス環境の提供に有用

サンドボックス技術でAI利活用を促進する

サンドボックス技術でAI利活用を促進する

k-nagase

More Decks by k-nagase

Other Decks in Technology

Featured

Transcript