概要
GitHubは、非決定的な挙動を持つAIエージェントをCI/CD環境で安全に運用するため、隔離、機密情報の保護、書き込み検閲、網羅的ログを柱とする堅牢なセキュリティアーキテクチャを構築した。
詳細内容
GitHub Agentic Workflowsを安全に運用するための技術的詳細が公開されました。AIエージェントは非決定的で外部入力を処理するため、従来のCI/CDモデルを拡張した新しいガードレールが必要です。本記事では4つの主要原則に基づいた設計を解説しています。
1. **多層防御 (Defense in Depth)**: Substrate(VM/コンテナ)、Configuration、Planningの3層で構成され、カーネルレベルの通信境界や特権操作の調停を行います。
2. **機密情報の非公開 (Zero-secret Agents)**: エージェントを専用コンテナに隔離し、LLMへの認証はAPIプロキシ経由で行います。これにより、プロンプトインジェクションによるシークレットの漏洩を物理的に防ぎます。
3. **書き込みの検証 (Stage and Vet All Writes)**: エージェントによるGitHubへの変更操作は「Safe Outputs MCPサーバ」で一旦保留され、サニタイズや回数制限の検証を経てから実行されます。
4. **全ログの記録 (Log Everything)**: ネットワーク、APIリクエスト、ツール実行のすべてを記録し、異常検知とフォレンジックを可能にしています。
これらの仕組みにより、開発者は自律的なエージェントの利便性を享受しつつ、リポジトリの整合性と安全性を維持できます。