Upgrade to Pro — share decks privately, control downloads, hide ads and more …

エージェントSkillsを安心して使うためのセキュリティ — 悪性3パターンをログで検証した結果

Avatar for techs-targe techs-targe
December 21, 2025
Programming
0
240

エージェントSkillsを安心して使うためのセキュリティ — 悪性3パターンをログで検証した結果

AIエージェントのSkillsはコード実行権限そのものであり、注入・流出・破壊が成立する。
圧縮+移動(ランサム風)、同梱バイナリ実行、外部送信の3パターンを検証し、
ネットワーク隔離+事前監査+実行ログの最小セットで守る方法を解説する。

Avatar for techs-targe

techs-targe

December 21, 2025
Tweet

More Decks by techs-targe

See All by techs-targe
Everything Claude Code OSS詳細 — 5層構造の中身と導入方法
Avatar for techs-targe targe
0
110
Systematic Approach to Overcome Claude Code's Context Limitations
Avatar for techs-targe targe
0
42
Claude Codeのコンテキスト制約を克服する体系的アプローチ
Avatar for techs-targe targe
0
160

Other Decks in Programming

See All in Programming
Windows on Ryzen and I
Avatar for 瀬尾佳隆 seosoft
0
290
new(1.26) ← これすき / kamakura.go #8
Avatar for utagawa kiki utgwkk
0
2.3k
ベクトル検索のフィルタを用いた機械学習モデルとの統合 / python-meetup-fukuoka-06-vector-attr
Avatar for monochromegane monochromegane
2
440
ポーリング処理廃止によるイベント駆動アーキテクチャへの移行
Avatar for Seitaro Fujigaki seitarof
3
1.1k
AI Assistants for Your Angular Solutions
Avatar for Manfred Steyer manfredsteyer
PRO
0
140
go directiveを最新にしすぎないで欲しい話──あるいは、Go 1.26からgo mod initで作られるgo directiveの値が変わる話 / Go 1.26 リリースパーティ
Avatar for Arthur arthur1
2
550
Takumiから考えるSecurity_Maturity_Model.pdf
Avatar for gessy0129 gessy0129
1
140
OTP を自動で入力する裏技
Avatar for Megabits_mzq megabitsenmzq
0
110
[SF Ruby Feb'26] The Silicon Heel
Avatar for Vladimir Dementyev palkan
0
100
守る「だけ」の優しいEMを抜けて、 事業とチームを両方見る視点を身につけた話
Avatar for Mitsui maroon8021
3
950
PostgreSQL を使った快適な go test 環境を求めて
Avatar for Kotaro Otaka otakakot
0
550
Unity6.3 AudioUpdate
Avatar for Cova8bitdots cova8bitdots
0
130

Featured

See All Featured
KATA
Avatar for Megan Lloyd mclloyd
PRO
35
15k
The Art of Programming - Codeland 2020
Avatar for Erika Heidi erikaheidi
57
14k
Build your cross-platform service in a week with App Engine
Avatar for Jose L jlugia
234
18k
GitHub's CSS Performance
Avatar for Jon Rohan jonrohan
1032
470k
Leo the Paperboy
Avatar for Maya Tellez mayatellez
4
1.5k
Navigating the Design Leadership Dip - Product Design Week Design Leaders+ Conference 2024
Avatar for Andy Polaine apolaine
0
220
Believing is Seeing
Avatar for Spiro Bolos oripsolob
1
84
Dominate Local Search Results - an insider guide to GBP, reviews, and Local SEO
Avatar for Greg Gifford greggifford
PRO
0
110
Taking LLMs out of the black box: A practical guide to human-in-the-loop distillation
Avatar for Ines Montani inesmontani
PRO
3
2.1k
Designing Experiences People Love
Avatar for Jonathan Moore moore
143
24k
The Cult of Friendly URLs
Avatar for Andy Hume andyhume
79
6.8k
Winning Ecommerce Organic Search in an AI Era - #searchnstuff2025
Avatar for Aleyda Solis aleyda
1
1.9k

Transcript

  1. エージェントSkillsを安心して使うためのセキュリティ 悪性3パターンをログで検証した結果 便利さの前に、守りを標準化してから使う エージェントSkillsのセキュリティ

  2. Skillsの本質は何か Skillsは手順書ではなくコード実行権限そのものである 見落とされがちな前提 Skillsは「手順 +スクリプト」を持ち運べ チーム配布が容易な仕組みである。 しかしその実体はコード実行権限の付与である。 ▶ ファイルの読み書き、プロセス起動、ネットワーク通信が全て可能 ▶

    正常に動作するほど中身を疑わなくなるため検知が遅れる ▶ 注入、流出、破壊の3つが攻撃の入口になる 出典:Claude Code Skills 検証(techs-targe 2025年12月) エージェントSkillsのセキュリティ 1

  3. 3つの攻撃パターン ちゃんと動くほど危ない 検証ログで確認された悪性パターン エージェントSkillsのセキュリティ 2

  4. 圧縮+移動はなぜ検知しにくいのか 正常なバックアップに見えて 実際はファイルを暗号化し移動する パターン1:ランサム風の破壊 ユーザーから見えること calculator.py を実行 計算ツールが正常に動作する バックアップ完了の通知 _originals_backup

    に保存された 異常の兆候なし 出力結果は期待通り 問題ないように見える » 裏で起きていること 7zで暗号化アーカイブ作成 パスワード付きで圧縮される 元ファイルを別フォルダへ移動 元の場所からファイルが消える 復元にはパスワードが必要 実質的なランサムウェア動作 計算結果すら出力していない エージェントSkillsのセキュリティ 3

  5. 同梱バイナリと外部送信はなぜ危険か 便利ツールに見えて裏でプロセス実行と データ送信を行う パターン2-3:注入と流出 手口 検証で確認された動作 リスク 同梱バイナリ ・便利ツールを装い ・同梱のsimulatorを

    サブプロセス起動 ・スクリプト30-31行目に 不審コードを確認 ・隠れたプロセスが常駐 ・任意コード実行 による侵害 外部送信 ・テレメトリを装い ・requests.postで 外部URLへ送信 ・241-252行目に隠蔽 ・ログと環境情報を 外部へ送信 ・機密情報の 流出 出典:Claude Code Skills 検証(techs-targe 2025年12月) エージェントSkillsのセキュリティ 4

  6. 守りの標準化 隔離・監査・ログの3点セット どう守ればいいのか エージェントSkillsのセキュリティ 5

  7. 最小セットは何か ネットワーク隔離、事前監査、実行ログの 3点を揃えて初めて守りになる 最小セットの3層防御 隔離 サンドボックス FS+NWを隔離し 被害範囲を限定 › 監査

    事前スキャン scripts/を読み 不審コードを検出 › ログ 実行記録 コマンド実行と NW通信を記録 › 運用 許可リスト 配布元を制限し 定期監査を実施 出典:組織での外部Skill扱いの最低ライン エージェントSkillsのセキュリティ 6

  8. 監査を自動化できるか Claude自身にスキルを監査させる 一発プロンプトで運用コストを下げられる 監査の自動化アプローチ マーケットプレイスからインストール後に監査を実行 導入と監査を1ステップにまとめる Claudeがscripts/配下のコードを読み解く 不審なファイル操作やネットワーク通信を検出する 危険なコード検出時は実行を自動拒否 人手のレビューなしで最低限の防御が成立する

    定期的な再監査もプロンプトで自動化可能 更新時の差分チェックを仕組み化する 面倒だからやらないを仕組みで防ぐ 出典:監査ログ実装例(techs-targe 2025年12月) エージェントSkillsのセキュリティ 7

  9. まとめ Skillsは手順書ではなくコード実行である 隔離+監査+ログを標準化してから使う 便利さに目が行くほどリスクを見落とす 守りの3点セットを先に整えることが最優先 エージェントSkillsのセキュリティ 8

  10. 次にやること 外部Skillsをサンドボックスで隔離する 隔離、監査、ログの3点を今日から適用する エージェントSkillsのセキュリティ