Docker社が公開した解説が、AIコーディングエージェントの構造的な危うさを改めて浮き彫りにした。2025年12月、Redditユーザーがプロジェクト整理をClaude Codeに依頼したところ、エージェントは誤ってホームディレクトリ「~」ごと削除。15年分、1万5000〜2万7000枚の写真が消えた。同種の事故は2025年10月のUbuntu/WSL2環境や、2026年1月のAnthropic「Claude Cowork」でも報告されており、Dockerは「エージェント自体のバグではない」と、業界共通の設計問題として位置付けている。

「計画」と「実行」の間に境界がない #
Dockerの分析では、根本原因はエージェント個別のバグではなく設計そのものにある。エージェントは計画段階で「~」を単なる文字列として扱うが、実行段階でシェルに渡ると実際のホームディレクトリへ展開される。しかも確認プロンプトを煩わしく感じた利用者が「--dangerously-skip-permissions」で安全装置ごと外してしまうケースも多い。計画と実行の間に、人間の目もエージェント自身の検証も挟まらない。
ハッカー視点: 同じ穴はプロンプトインジェクションの侵入口でもある #
この「境界のなさ」は事故だけの話ではない。攻撃者が細工したファイルやWebページをエージェントに読ませ、同じ無検証の実行経路へ悪意あるコマンドを流し込めば、意図的な破壊やデータ窃取も成立する。Dockerが提案する対策はmicroVMによる隔離環境「Docker Sandboxes」だ。エージェントの権限をプロジェクトディレクトリに限定し、SSH鍵やクラウド認証情報など機密ファイルは読み取り専用でマウントする。企業がAIエージェントの全社導入を急ぐいまこそ、事故防止と攻撃対策が同じ境界線の設計問題であることを直視すべきだろう。

COMMENTS 0
No comments yet — be the first to leave one.