FAQ: ノートン AIエージェント保護

AI Agent Protection は、AI エージェントとシステムの間に配置されるリアルタイムのセキュリティレイヤーです。コマンドの実行、ファイルのダウンロード、ディスクへの書き込みなどの操作が実行される前に、AI Agent Protection がまず確認し、許可するか、ブロックするか、または入力を求めます。これにより、担当者は脅威を見逃すことなく迅速に作業できます。

AI エージェントのセキュリティは変化の速い分野であり、ベータ期間により、新たな脅威やプラットフォームの登場に合わせて改善を重ねる余地が得られます。弊社は製品を継続的に改良し、検出ルールを追加・改善するとともに、早期ユーザーから貴重なフィードバックを収集しています。

AI Agent Protection は、Claude Code、Cursor、OpenClaw と連携して動作します。すべてのプラットフォームで同じ検出エンジンと脅威ルールを共有しているため、どのツールを使用しても同じレベルの保護を利用できます。現在、プラットフォームサポートを積極的に拡大しています。

AI エージェントが試みる各操作には、次の 3 つの判定のいずれかが付与されます:

• 許可：脅威は検出されませんでした。処理は通常どおり進行します。

• 確認: 何か疑わしい点があります。承認または拒否できるよう、処理は一時停止されています。

• [拒否]: 確認済みの脅威。自動的に遮断されました。操作は不要です。

判定結果は、複数の検出レイヤーが並行して実行された結果です。

• ローカルヒューリスティック: 危険なコマンド、資格情報の漏えい、難読化などを検出するパターンベースのルールです。例えば、エージェントがホームディレクトリ全体を削除するコマンドを実行しようとした場合、このレイヤーが実行前にそれを検知します。

• URL の評価: 悪意のあるURL、フィッシングURL、または詐欺URLを特定するために、ノートンの脅威インテリジェンスに対してリアルタイムで照会します。お使いのエージェントが、ノートンがすでにマルウェアまたは偽のログインページをホストしていると把握している URL を取得した場合、直ちにブロックされます。

• パッケージのサプライチェーンの確認: パッケージ（エージェントがインストールを試みる可能性があるサードパーティ製ライブラリとツール）が正当なものかどうかを検証し、ファイルの評価を確認して、不審なほど新しいパッケージにフラグを設定します。エージェントが、一般的なライブラリと名前が1文字だけ異なり、公開から2時間しか経っていないパッケージのインストールを試みる場合、このレイヤーは攻撃の可能性が高いものとしてフラグを付けます。

各レイヤーは信頼度スコアを伴うシグナルを生成します。判定エンジンは、すべてのシグナルを組み合わせて最終判定を行います。

AI Agent Protection は、次のような確認済みの脅威を自動的に遮断します:

• 悪質なURL: マルウェアのダウンロード、フィッシングページ、または詐欺サイトにつながるリンク。

• ［破壊的コマンド］: システムに不可欠なファイルを削除したり、重要なデータを消去したりする可能性のあるコマンド。

• プロンプトインジェクション攻撃: ファイル、Webサイト、またはチャットに隠された指示で、AI エージェントにユーザーのコマンドを無視させたり、データを漏えいさせたりしようとするもの。

• リバース シェル：攻撃者が隠し接続を開いてユーザーのコンピュータをリモートで制御できるようにする手口。

• 認証情報の漏えい: パスワード、APIキー、またはアクセストークンが誤って公開されること (たとえば、エージェントが作成または共有するコードにそれらを含める場合)。

• サプライチェーン攻撃: 改ざんされた、偽の、または人気のある正規のものに見えるよう意図的に名前が付けられたソフトウェアパッケージをインストールすること（"typosquatting" と呼ばれます）

• ［危険］プラグインとツール: 過剰なアクセスを要求する、または悪意のある動作が組み込まれているAI プラグイン、スキル、またはツール。

• AI コンテンツ内の悪質なスクリプト: AIエージェントが作成または開くファイル内に隠された危険なスクリプトやコードスニペット。

• 難読化されたペイロード: Base64 や hex などのエンコードのトリックを使って偽装され、一見すると危険に見えない悪意のあるコマンドです。

疑わしく見えても確認済みの脅威ではない場合、AI Agent Protection は操作を一時停止し、フラグが付けられた内容を表示します。担当者のインターフェース（例：端末またはチャット）で詳細を直接確認でき、処理が続行される前にアクションを承認または拒否することができます。

AI Agent Protection は、コアの検出エンジンをローカルでパソコン上で実行します。コマンド、ソースコード、ファイルの内容、ファイルパスはすべてデバイス上で分析されます。

効果的な保護を提供するため、AI Agent Protectionはクラウドベースの確認もいくつか実施し、保護対策を強化します。

• URL 評価: エージェントがアクセスする URL は、マルウェア、フィッシング、詐欺を検出するために、ノートンのレピュテーション機能に送信されます。

• パッケージの評価: パッケージのハッシュ値は、ファイル評価サービスと照合されます。

• パッケージレジストリ参照: パッケージ名は、存在、バージョン、および整合性を確認するために、公開レジストリ (npmjs.org、pypi.org) に対して照会されます。AI Agent Protection が、タイポスクワッティングされたパッケージやAIが誤って生成したパッケージを検出する仕組みは次のとおりです。

• プラグインとツールの参照: エージェントがプラグインまたはツールを使用すると、AI Agent Protection はそのスキルのセキュアなフィンガープリントをノートンクラウドサービスと照合し、リスクのあるツールや不要なツールを検出しやすくします。

• バージョンの確認: セッション開始時に、AI Agent Protection のバージョン、オペレーティングシステム、およびエージェントプラットフォームが、更新を確認するために送信されます。ユーザーコンテンツは含まれていません。

はい。AI Agent Protection の検出ルールは、人が読みやすい形式で記述されており、確認用に参照できます。ルールは、破壊的なコマンド、認証情報の漏えい、リバースシェル、永続化手法、難読化、サプライチェーン脅威、悪意のある URL などのカテゴリを対象としています。各ルールには、ID、重大度、信頼度スコア、および一致するパターンが含まれます。

AI Agent Protection は、ノートンが属する信頼性の高いコンシューマーブランドのファミリーである Gen のエージェント型セキュリティエンジン Sage を搭載しています。ルールセット全体は、https://github.com/gendigitalinc/sage/tree/main/threats をご覧ください。

一部。危険なコマンド、資格情報の漏えい、難読化などを対象とするローカル検出ルールは、完全にオフラインで動作します。URLの評価とパッケージチェックにはインターネット接続が必要ですが、これらのサービスに接続できない場合でも、AI Agent Protectionはローカルルールのみを使用して保護を継続します。