技術要約：AIコード・サンドボックス：比較セキュリティ研究（パート1）

問題提起

本論文は、信頼できないコードを実行するAIエージェントにおける**エンジンレベルの隔離（engine-level isolation）**という極めて重要な課題に取り組んでいる。「サンドボックス」はエージェント型AIセキュリティの文献において標準的な防御手法であるが、異なる製品がゲストコードをホストカーネルからどのように隔離しているかについて、エンジンレベルでの深い測定比較は欠如している。この緊急性は、「危険な能力（dangerous capability）」の研究が、AIエージェントが現在の計算予算内で多段階のサイバー攻撃（例：企業ネットワーク攻撃の32ステップ中22ステップを完了させる）を実行可能であることを示していることに起因する。本研究は、T0.H2.N2脅威モデル（自身のインフラ上で信頼できないコードを実行するシングルテナントのオペレーターであり、オペレーターはインフラは信頼するがコードは信頼しない状況）に焦点を当てている。目的は、5つの特定のAIサンドボックス製品（arrakis, e2b, microsandbox, gvisor, daytona）が、ホストカーネルからの脱出および情報漏洩をどのように防いでいるかを測定することである。

メソドロジー

本研究は、基礎となるエンジン（マイクロVM、ユーザ空間カーネル、またはOCIコンテナ）によって決定される特性を測定する、6軸のクロスクラス比較フレームワークを採用している。メソドロジーでは、総合スコアや全体的なランキング付けを明示的に禁止しており、代わりに軸ごとの順序付けと、脅威モデルの適格性マトリックスを提供している。

6つの軸：

1. ホスト攻撃サーフェス (1.1): straceによるシステムコール数、seccompフィルタの天井、およびプリミティブな到達可能性（14の特定のカーネルLPE/コンテナ脱出プリミティブ）を介して、ランタイム/メディエーター（L2）がホストカーネル（L1）に与えるフットプリントを測定する。
2. 情報漏洩 (1.2): /proc、/sys、/devの読み取りを通じて、ホストを特定するデータ（CPU、RAM、カーネルバージョン、ディスクシリアルなど）がゲストにどの程度露出しているかを測定する。
3. 防御層の積み重ね可能性 (1.3): オペレーターがエンジンのデフォルトの上に、追加のLinuxハードニング（seccomp、AppArmor、ユーザー名前空間など）をレイヤーとして重ねることができるかどうかを評価する。
4. 公開CVE履歴 (1.4): 各エンジンの過去24ヶ月間のCVEを分析し、その影響（脱出、ホスト漏洩、ホストDoS）ごとに分類する。
5. パッチ適用サイクル (1.5): アップストリームのパッチ適用と製品レベルでの利用可能性の間のタイムラグを測定し、調整された開示（coordinated disclosures）と「サイレント修正優先（silent-fix-first）」モデルを区別する。
6. アップストリーム・ファジング姿勢 (1.6): 継続的な公開ファジング、インツリー・ハーネス、およびCVEごとのファザー発見への帰属の有無を評価する。

実験セットアップ：

• ホスト: 単一のHetznerベアメタルノード（Ubuntu 24.04, Kernel 6.8.0）。
• 製品: 3つのエンジンクラスにマッピングされた5つの製品：
  • マイクロVM: arrakis (Cloud Hypervisor), e2b (Firecracker), microsandbox (libkrun)。
  • ユーザ空間カーネル: gvisor (runsc)。
  • OCIコンテナ: daytona (runc経由のDocker-CE)。
• 検証: 「プローブ（probe）」テスト（合否判定）、「測定（measurement）」（システムコール数）、および「デスクリサーチ（desk research）」（CVE/ファジング分析）を使用する。

主要な貢献と知見

1. エンジンクラス vs 製品間の差異

エンジンクラス（マイクロVM vs ユーザ空間カーネル vs コンテナ）は、アーキテクチャの軸（攻撃サーフェス、漏洩）においては明確に分離されているが、製品間ではそうではない。製品レベルの構成とピンポリシーは、エンジンクラス自体よりも重要な差別化要因となることが多い。

• 例: arrakis（マイクロVM）は「凍結された」パッチポリシー（471日以上）を持っている一方で、daytona（コンテナ）はパッチに対して「最新（current）」であり、隔離クラスに基づく期待されるセキュリティ階層を逆転させている。

2. 攻撃サーフェスとプリミティブの到達可能性

• gVisorは、システムコールをインターセプトするユーザ空間カーネルにより、最もタイトな攻撃サーフェス（14のプリミティブ中5つが到達可能）を持つ。
• Firecracker (e2b)は、最もタイトなseccomp天井（55システムコール）を持つが、それでも2026年のウィンドウ内で2つの新しい脱出クラスのCVEに苦しんでおり、小さなサーフェスが実行パスにおけるバグのゼロを保証しないことを証明している。
• arrakisは、ゲストにライブな /dev/kvm インターフェースを露出しており、これにより権限昇格なしでのネストされた仮想化を可能にし、他のマイクロVMと比較してカーネルLPEサーフェスを大幅に拡大させている。

3. パッチ伝播の支配性

本研究では、製品側のピンポリシーが、アップストリームでの調整された開示に対して約0日のラグとなる一方で、ダウンストリームでは0日から471日以上にわたる、オペレーターにとって支配的な変数であることを明らかにしている。

• arrakisおよび**e2b (セルフホスト)**は、古いエンジンバージョンに「凍結」されており、最近のクリティカルなCVE（例：arrakisの CVE-2026-45782、e2bの CVE-2026-5747）に対してパッチが当たっていない。
• gvisorは、CVE割り当ての数ヶ月前に修正を配信する「サイレント修正優先」モデルに従っており、結果として負のラグ（オペレーターは公開前に修正を受け取る）が生じている。

4. ファジング姿勢と「未測定」のリスク

• gvisorは、継続的な公開ファザー（syzkaller）とインツリー・ハーネスを持つ唯一のエンジンである。
• Firecrackerおよびlibkrunには、アップストリームのファジングインフラストラクチャが存在しない。
• 重要な知見: 「マイクロVMクラス（強力な隔離）」と「継続的な公開ファザー（強力な残留バグ検出）」の組み合わせは、このセットにおいて**空白（未充足）**となっている。
• **libkrun (microsandbox)は、構造的に未測定（unmeasured）**である：公開されたCVEは0件であり、アップストリームのファザーも存在しない。本論文は、「0件のCVE」はここでのシグナルの欠如であり、健全性の証明ではないとし、「構造的に未測定」なリスクプロファイルであると論じている。

5. 情報漏洩

• マイクロVMは一般に、0〜1のホスト識別子（設定可能なCPU文字列）を漏洩する。
• gVisorは、その合成 /proc の実装上のギャップにより、2つの識別子（RAM合計、BIOSプロダクト）を漏洩する。
• daytonaは、共有カーネルアーキテクチャのため、ディスクシリアルや完全なカーネル署名を含む10の識別子を漏洩する。

意義と主張

本論文は、全体的なランキング付けは不可能であり、提案もしないと主張している。代わりに、オペレーターが以下の4つの具体的なサブ質問に答えられるよう、脅威モデルの適格性マトリックスを提供している。

1. 脱出耐性: コードはホストカーネルから脱出できるか？
2. 偵察耐性: コードはホストについて何を学習できるか？
3. ハードニング互換性: オペレーターはLinuxハードニング層を追加できるか？
4. パッチ伝播: オペレーターは修正を迅速に受け取れるか？

主要な結論:

• トレードオフは避けられない: 最も強力な隔離クラス（マイクロVM）が、必ずしも最も強力な残留バグ姿勢（ファジング）と相関するわけではない。オペレーターは、「最強の隔離（マイクロVM）」と「最も浅い残留物（gvisor）」の間の選択を迫られる。
• 製品のデフォルトが重要: エンジンレベルの強み（例：Cloud Hypervisorのパースレッド・seccomp）は、製品レベルのデフォルト（例：arrakisのネストされたKVM露出やe2bの凍結されたピン）によって打ち消される可能性がある。
• 「未測定」のギャップ: libkrunにおけるCVEとファジングの不在は、安全または不安全と推論できるリスクプロファイルではなく、単に「未測定」である。
• メソドロジーの転換: 本研究は、単なるCVEの「リプレイ」を超えて、アーキテクチャの特性、パッチの頻度、およびファジングへの投資のメタ分析へと移行し、AIサンドボックスセキュリティの現状を記述している。

本論文は、エンジンレベルの測定のベースラインとして機能し、オペレーターが即座に対処すべき特定の製品レベルの構成上の欠陥（例：arrakisのネストされたKVMやdaytonaの Privileged: true のハードコーディング）を特定している。