詳細を読む
オープンソースのAIエージェント基盤「NanoClaw」を手がける NanoCo AI は2026年6月12日、ソフトウェア供給網管理大手の JFrog と提携し、自律型エージェントによる悪性コードのダウンロードを防ぐ新たなセキュリティ統合を発表しました。両社はこれを、AI環境を守る自動化された免疫システムと位置づけています。即日利用可能で、エージェントは JFrog の検証済みレジストリにのみ接続されます。
背景には、自律型エージェントが人間の監督なしに機能拡張のためパッケージを勝手に導入する、急速に広がる盲点があります。NanoClaw 開発者で NanoCo AI の共同創業者ガブリエル・コーエン氏は、音声ファイルを処理できないエージェントが自ら必要なパッケージを探して導入する例を挙げ、こうした動的な自己改善がエージェントを強力にする一方、供給網攻撃に対して極めて脆弱にすると説明します。
技術面では、NanoClaw エージェントのパッケージ要求やCLIツール、MCP(モデルコンテキストプロトコル)サーバーへの要求を、すべて JFrog のレジストリ経由に限定します。たとえば脆弱性のある Axios の旧版を取得しようとすると、レジストリが要求を403のセキュリティポリシーで遮断します。さらにエージェントに脆弱性を通知し、承認済みの安全な版を自動的に導入させる修正ループを生み出す点が特徴です。
企業にとっては、コンプライアンス上の大きな課題の解決につながります。JFrog の最高戦略責任者ガル・マーダー氏は、どのエージェントが誰によって動き、何のパッケージやスキル、MCPを使っているかを追跡する記録の仕組みが必要だと指摘します。統合は、自動化されたシステムが何にアクセスできるかを厳格に統制する信頼の層を提供します。
提供形態は二本立てです。オープンソース利用者には完全に無償で、検証済みの成果物やツール、スキルへのアクセスが与えられ、依存関係ごとの手動承認に追われずに済みます。一方、企業利用者はエージェントを自社の社内 JFrog レジストリに向けることで、自社の商用ライセンスや内部セキュリティ方針、統制基準に沿った運用を実現します。
両社の発想の根底には、ある現実があります。AIにすべてのゼロデイ脆弱性を完璧に見分けるよう学習させることはできない、という認識です。だからこそ、エージェントが脆弱性に到達できない環境そのものを構築するという発想が、この提携の核心にあります。