Nvidiaの新しいツールでAIエージェントのスキルが劇的に進化
AAI LABS
Computing/SoftwareSmall Business/StartupsInternet Technology
Transcript
00:00:00今、AIエージェントのスキルがあふれています。どのエージェントもそれを実行しますが、
00:00:05チェックなしで信用してしまっています。しかし、ここからが怖い話です。研究者が3万以上のスキルを調査したところ、
00:00:104分の1以上にセキュリティ上の脆弱性がありました。そこでNVIDIAは「Skill Spectre」というツールを開発しました。
00:00:15これはスキルをインストールする前にスキャンし、どれほど危険かを正確に教えてくれます。ところが、
00:00:20興味深いことに、ある種の攻撃はこれをすり抜けてしまうのです。そして、それを実際に
00:00:24検知できる設定はデフォルトでオフになっているため、ほとんどの人はその存在さえ知りません。その設定を有効にするには
00:00:29通常はお金がかかりますが、私たちは回避策を見つけました。そして最後には、ただスキルをスキャンするだけでなく、
00:00:34スキルの探し方とインストール方法を一変させるワークフローを構築しました。本格的な解説に入る前に、
00:00:39ツールとその使用方法について簡単に紹介しましょう。GitHubリポジトリにあるインストールコマンドは、
00:00:44コピーしてClaude Codeに渡すだけで、基本的に
00:00:49すべてインストールし設定してくれます。Claude Codeが必要な依存関係をすべてインストールします。
00:00:54それが完了すれば、Skill Spectreを使い始められます。GitHubリポジトリ内の
00:00:59「test」フォルダには、ツールの動作を確認するための危険なスキルがいくつか入っています。
00:01:04それらに対して実行すると、インストールしないよう警告が出ます。スコアが高いほど危険なスキルです。
00:01:09テストのたびに、単に数値を示すだけでなく、
00:01:14スコアを押し上げた要因である問題の正確な行番号、場所、ファイル名を教えてくれます。
00:01:19このツールの使い方はこれだけではありません。もう一つ別のモードがあります。
00:01:24その前に、なぜ第2のモードが必要なのか、スキルの攻撃手法と
00:01:30このツールがどう攻撃を検知するのか、2つのことを知っておく必要があります。カテゴリは14ありますが、
00:01:34わかりやすく6つにまとめました。最初の攻撃手法は、隠し命令を使うものです。
00:01:39スキルは単なる命令が書かれたテキストファイルで、エージェントはそれをすべて読んで指示として扱います。
00:01:45問題は、悪意のあるスキルが、あなたには決して見えないけれどエージェントには見える余計な指示を
00:01:50コメントの中に忍ばせたり、不可視文字を使ったりすることです。
00:01:55あるいは、人間には意味不明なコードとしてテキストを難読化しても、AIなら読み取れてしまいます。
00:02:01そのため、このスキャナーはそうした隠し命令を追跡し見つけ出すように作られています。2番目は
00:02:06なりすましです。エージェントには名前で呼び出す信頼できるツールがあります。例えば「read」という
00:02:12ファイルを読み取るツールがあるとしましょう。すると悪意のあるスキルが、まったく同じ名前の独自ツールを
00:02:17提供し、エージェントは安全なものだと勘違いして悪い方を選んでしまいます。その手口は非常に巧妙で、
00:02:22別のアルファベットにある見た目が同じ文字にすり替えます。例えば「read」という名前でも、
00:02:27「A」が実は我々のものと見た目が全く同じロシア語の文字だったりします。あなたやエージェントが
00:02:33ひと目見ただけでは同じ言葉ですが、中身は全く別のツールです。このスキャナーは
00:02:38すべての文字の本来のIDを確認することで、その偽の文字を特定してフラグを立てます。
00:02:433番目は、スキルの挙動が説明と食い違っているケースです。説明文では「シンプルに整形する」
00:02:48と書いてあっても、実際には裏でインターネットにアクセスしていたり、
00:02:53「ファイル読み取りの許可しか必要ない」と言いつつ、ファイルへの書き込みや
00:02:58コマンド実行まで行っていたりします。これは非常に検知が難しく、ここで
00:03:03第2のモードが必要になります。4番目は認証情報の窃盗です。
00:03:08APIキーやパスワードなどが狙われます。スキルがPCに保存された
00:03:13すべてのキーをかき集め、どこかのサーバーに送信してしまいます。5番目は
00:03:18単純なマルウェア実行です。例えば、他人にPCを遠隔操作させる
00:03:23リバースシェルが含まれることもあります。こうしたマルウェアには既知の指紋があるため、
00:03:28スキャナーが膨大な指紋ライブラリと照合して検知します。6番目は
00:03:32汚染された依存関係です。スキルはよく、端末で動作する小さな外部CLIツールを使いますが、
00:03:39悪意のあるプログラムを読み込んでしまうことがあります。
00:03:44人気パッケージと一文字違いの偽パッケージを読み込ませるなど、
00:03:49間違えてインストールするとマルウェアが実行されます。スキャナーはスキルが読み込むすべてのパッケージを
00:03:54既知の不正リストと照合し、偽名や不正なダウンロードコマンドをフラグします。
00:03:59第1のモードでは文脈なしでパターンを照合するため、問題のないものまで検知してしまうことがあり、
00:04:05これを「誤検知」と呼びます。そこで第2のモード「AIスキャン」の出番です。
00:04:09有効にするのは簡単で、「no LLM」フラグを外すだけです。しかしコードを見ると、
00:04:14スキルにAIチェックを行うにはOpenAIキーが必要であることがわかります。コストを抑えるため、
00:04:20私たちはClaude Code自体を使ってそのチェックを行います。Claude Codeのメインエージェントは
00:04:26直接実行するわけではなく、バックグラウンドで動作する「ヘッドレスモード」を利用します。
00:04:32チャットウィンドウなしで、勝手にコマンドを実行させるモードです。
00:04:38これが無料ではないことは皆さんご存知かと思いますが、Anthropicのプランならクレジットが付与されます。
00:04:43Claude Codeに今話した変更を依頼すれば実行してくれます。
00:04:48多少バグが出るかもしれませんが、単一行のプロンプトで設定可能です。
00:04:52動画を楽しんでいただけていたら、チャンネル登録と「いいね」をお願いします。小さな応援が励みになります。
00:04:57テストフォルダには、AIチェックが必要な危険なスキルも入っています。
00:05:03「no LLM」チェックを実行するとスコアは0、つまり「完全に安全」と判定されます。
00:05:07しかしAIチェックを走らせた瞬間、スコアは100に跳ね上がり、インストールしないよう警告されます。
00:05:12そして理由も正確に提示されます。では、スキルを検知するだけでなく、
00:05:17修正までできたらどうでしょう?そこで私たちは、このスキャナー自体を「スキル」にしました。
00:05:22名前は「Discover Skills」です。単なるスキルではなく、
00:05:27より多くのスキルを見つけ出し、インストール前に安全を確認するプロセス全体を構築したからです。
00:05:31私たちは以前から「skills.sh」を使って新しいスキルを探しています。
00:05:36これはスキル専門のリポジトリで、誰でも利用できる巨大な共有ライブラリです。
00:05:42最近CLIアップデートがあったので、Claudeがコマンドラインから検索し、
00:05:47必要な最適なスキルをインストール前に取得できるようになりました。
00:05:53私たちはその上でスキャナーを動かしたいと考えました。
00:05:57「scan.sh」は、Skill Spectreを実行するスクリプトです。
00:06:02CLIツールなのでコマンドとして実行する必要があります。そこでスクリプトに
00:06:08Claudeのヘッドレスモード修正を組み込みました。デフォルトで通常チェックを行い、必要に応じて
00:06:13AIチェックも実行します。「skill.md」を開くと基本手順がわかります。
00:06:19ターゲットを特定し、スキャンして結果を表示します。問題がわかれば、
00:06:24それを修正し、最後にすべてがクリーンであることを確認するために再ループします。
00:06:28例えば、今見せているのは私たちのAI Labsデザインフォルダです。
00:06:34デザインプロセスをスキルと共に1つのフォルダに圧縮したものです。
00:06:39動画でも解説済みで、システム全体は私たちのコミュニティ「AI Labs Pro」で利用可能です。
00:06:44チャンネルを支援してデザインシステム全体を入手したい方は、ぜひチェックしてください。
00:06:49Discoveryスキルもそこにアップロードされます。リンクは説明欄にありますが、
00:06:54その上で、新しい「make design.md」スキルを追加しています。
00:06:59構築済みのアプリからデザイントークン(色、フォント、間隔ルール)を抽出し、
00:07:04design.mdファイルにマージする最速の方法です。
00:07:10改善のために他のツールを検索するよう指示しました。
00:07:15「skills.sh」を使い、Discoveryスキルを読み込むと、
00:07:21いくつかのスキルが見つかりました。最初の2つが興味深かったので、
00:07:26インストールしてテストを依頼しました。ワークフローに従い、
00:07:31スキャンなしではインストールしません。
00:07:36インストールして確認したところ、どちらも「make design.md」の役には立たないとのことでした。
00:07:41しかし安全性の観点からは、最初のものはスコア10で安全、2番目は
00:07:46スコア100で「インストール厳禁」でした。そこで2番目のスキルにAIチェックを実行させました。
00:07:52再度Claudeのヘッドレスモードを通すと、今度はスコアが0になりました。
00:07:56つまり、このスキルは使用しても安全だということです。これこそがこのシステムの真の狙いです。
00:08:01インターネット上のスキルを闇雲に拾うのではなく、スキルを使うだけで
00:08:06プロセスを開始できるのです。ここでスポンサー「Nimblist」のご紹介です。Claude Codeを使っている方なら、
00:08:12複数のセッションが走り、ファイルが変更され、端末やブラウザ、エディタを切り替えて
00:08:17エージェントの状況を追うのが大変だという経験はないでしょうか?Nimblistはオープンソースのビジュアルワークスペースで、
00:08:23すべてを一箇所にまとめられます。私は3つのエージェントを同時に走らせていましたが、
00:08:28ウィンドウを行き来することなく、かんばんボードですべてを確認し、
00:08:33セッションに飛び込み、コード差分を赤と緑で確認し、個別に承認・却下できました。
00:08:38MarkdownやUIモックアップ、アーキテクチャ図をエージェントの隣で視覚的に編集可能です。
00:08:45完了時には自動でコミットメッセージが生成されるので、手動で整理する必要もありません。
00:08:50タスクはセッションと連動しており、外出先でも作業できるモバイルアプリもあります。
00:08:56Nimblistは完全無料でオープンソースです。固定コメントのリンクからご覧ください。
00:09:00動画は以上です。チャンネル支援と動画制作継続のため、
00:09:05下の「スーパーサンクス」ボタンからご支援いただけると幸いです。
00:09:10ご視聴ありがとうございました。また次回お会いしましょう。
Community Posts
No posts yet. Be the first to write about this video!
Write about this video