Falco Feedsは、オープンソースに焦点を当てた企業に、新しい脅威が発見されると継続的に更新される専門家が作成したルールにアクセスできるようにすることで、Falcoの力を拡大します。
本文の内容は、2026年5月12日に Jonas Roslandが投稿したブログ(https://www.sysdig.com/blog/introducing-prempti-runtime-security-for-ai-coding-agents-powered-by-falco)を元に日本語に翻訳・再構成した内容となっております。
Claude Code や Codex のような AI コーディングエージェントは、開発者のワークフローに自然に組み込まれるようになっています。タスクを与えると、それらはあなたのファイルを読み取り、コマンドを実行し、ネットワークリクエストを行い、コードを書きます。すべてあなたの代わりに、そしてあなたの権限で実行されます。
この変化は強力ですが、同時に新たなリスク層と可視性のギャップも生み出します。
本日、Prempti を紹介します。Prempti は、Falco のリアルタイム検知エンジンとランタイムセキュリティを、AI エージェントのツール呼び出しライフサイクルに直接組み込む新しいオープンソースプロジェクトです。エージェントが行動を決定したその瞬間に、開発者へプログラム可能なポリシー境界を提供します。
なぜこれが重要なのか
エージェントがあなたのターミナルで動作する場合、それはあなたのユーザーセッション内で動作することを意味します。つまり、あなたの認証情報、SSH キー、クラウド設定ファイルにアクセスできるということです。研究者や開発者は、プロンプトインジェクション、解析されたファイルに埋め込まれた予期しない指示、あるいは単に過度に広範なツール使用を通じて、AI コーディングエージェントがプロジェクトの範囲を大きく超えたファイルを読み取ったり、環境変数を外部に流出させたり、外部ホストへのネットワーク呼び出しを試みたりした事例を報告しています。ほとんどの開発者は、エージェントのチャット出力以外に、こうした活動を体系的に可視化する手段を持っていません。ポリシーレイヤーも、監査証跡も、特定のものを立ち入り禁止として指定する簡単な方法もありません。
Prempti はそれを変えます。
機能
Prempti の焦点は、その可視性のギャップにあります。Prempti は、エージェントのツール呼び出しが実行される前にそれをインターセプトし、Falco ルールに照らして評価し、3つの判定のいずれかを返します。アクションの続行を許可する Allow、エージェントに説明を返してブロックする Deny、または対話的な承認を求める Ask です。つまり、認証情報ファイルは保護され、スコープ外の読み取りは発生前に検知され、セッション中にエージェントが触れたすべてのものについて完全な監査証跡を得られるということです。
実際には、次のようになります。たとえば、エージェントに ~/.ssh/ 配下へファイルを保存するよう依頼した場合、Prempti はその書き込みが実行される前にブロックし、その理由を説明する構造化されたメッセージをエージェントへ返します。
● Write(~/.ssh/random_number.txt)
⎿ Deny writing to sensitive paths: Falco blocked writing to
/home/jonasrosland/.ssh/random_number.txt because it is a sensitive path
仕組み
Prempti は軽量なユーザースペースサービスとして動作し、root、カーネルモジュール、コンテナは必要ありません。デフォルトのルールセットは、作業ディレクトリの境界、機密パスの保護、認証情報へのアクセス、破壊的なコマンド、pipe-to-shell 攻撃、外部流出の試み、MCP サーバー設定のポイズニング、フックインジェクションや git フックのような永続化ベクトルなど、多くの一般的なリスク領域を最初からカバーしています。
デフォルトでは、Prempti はガードレールモードで動作し、ルールがエージェントの動作を能動的に形作る判定を生成します。ツール呼び出しがブロックまたはフラグ付けされると、エージェントは LLM に適した説明を受け取り、それに適応します。初日から強制適用する準備ができていない場合は、モニターモードにより、何もブロックせずにエージェントが触れるすべてのものを観察できます。これは、新しいツールに対して慎重なアプローチを取る組織にとって、妥当な出発点です。
よりカスタマイズされたものが必要な場合、ルールは Falco ユーザーがすでに知っているものと同じ構文を使用したプレーンな YAML です。git push をブロックしたり、読み取りをプロジェクトツリーのみに制限したり、コンテンツをシェルインタープリターにパイプしようとする試みをフラグ付けしたりできます。これは一般的なプロンプトインジェクションベクトルとしてよく使用されます。また、Claude Code スキルも含まれており、エージェントから直接、対話的にカスタムルールを作成および検証するのに役立ちます。
AI 駆動開発のための新しい可視性
AI コーディングエージェントは、実際のマシン上で実際の作業を任されることがますます増えており、エージェント層での可視性の必要性は無視しがたいものになりつつあります。脅威モデルはまだ定義されている途中であり、適切なデフォルトポリシーもまだ検討段階にありますが、Prempti はその方向に向けた初期の実用的な一歩を提供します。Prempti はオープンソースであり、Falco の実績あるルールエンジン上に構築されており、日々これらのエージェントを実際に運用している開発者やセキュリティエンジニアからの意見を取り入れながら成長するよう設計されています。
Falco ブログで技術的な詳細解説の全文をお読みください:Introducing Prempti: Falco meets AI coding agents
プロジェクトを確認し、試用し、貢献してください:GitHub 上の Prempti
Sysdig Open Source Community で Prempti についてぜひお話ししましょう。