BitsLab 深度出品：Nanobot ユーザー安全実践ガイド

当 AI エージェントがシェル実行、ファイルの読み書き、ネットワークリクエスト、定期タスクなどのシステムレベルの能力を持つとき、それはもはや単なる「チャットボット」ではなく、実際の権限を持つオペレーターです。これは、プロンプトインジェクションによって誘導されたコマンドが、重要なデータを削除する可能性があることを意味します。サプライチェーンに毒されたスキルが、静かに資格情報を漏洩する可能性もあります。検証されていないビジネス操作が、取り返しのつかない損失を引き起こす可能性もあります。

従来のセキュリティソリューションは通常、二つの極端に走ります。AI自身の「判断力」に完全に依存して自己制約を行う（巧妙に構成されたプロンプトによって回避されやすい）か、大量の厳格なルールを積み重ねてエージェントをロックする（エージェントの核心的価値を失う）かのいずれかです。

BitsLabのこの深いガイドは、第三の道を選びました。「誰がチェックするか」によってセキュリティの責任を分け、三つの役割がそれぞれの位置を守ります------

• 一般ユーザー：最終防衛線として、重要な決定と定期的なレビューを担当します。私たちは注意事項を提供し、認知負担を軽減します。

• エージェント自身：実行時に自覚的に行動規範と監査プロセスを遵守します。私たちはスキルを提供し、セキュリティ知識をエージェントの文脈に注入します。

• 決定的スクリプト：機械的かつ忠実にチェックを実行し、プロンプトインジェクションの影響を受けません。私たちはスクリプトを提供し、一般的な既知の危険パターンをカバーします。

どの単一のチェック者も万能ではありません。スクリプトは意味を理解できず、エージェントは欺かれる可能性があり、人間は疲労します。しかし、三者が組み合わさることで、日常使用の便利さを保証し、高リスク操作を防ぐことができます。

1、一般ユーザー（注意事項）

ユーザーはセキュリティシステムの最終防衛線であり、最高権限の所有者です。以下はユーザーが自ら注意し、実行する必要があるセキュリティ事項です。

a) APIキー管理

• 設定ファイルは適切な権限を設定し、他の人が自由に閲覧できないようにします：

• APIキーをコードリポジトリに提出しないでください！

b) チャンネルアクセス制御（非常に重要！）

• 各通信チャネル（Channel）にホワイトリスト（`allowFrom`）を設定する必要があります。そうしないと、誰でもあなたのエージェントとチャットできます：

⚠️ 新しいバージョンでは、空の `allowFrom` はすべてのアクセスを拒否します。オープンにしたい場合は、必ず `["*"]` と明記する必要がありますが、推奨はしません。

c) root権限で実行しない

• エージェントを実行するために専用のユーザーを新たに作成することをお勧めします。権限が高すぎるのを避けるためです：

d) メールチャネルをできるだけ使用しない

• メールプロトコルは複雑で、相対的にリスクが高いです。私たちBitsLabチームは、メール関連の[critical]レベルの脆弱性を発見し確認しました。以下はプロジェクト側の返信です。現在、いくつかの問題がプロジェクト側の確認を待っていますので、メール機能モジュールの使用には注意が必要です。

e) Dockerでのデプロイをお勧めします

• nanobotをDockerコンテナにデプロイし、日常使用環境から隔離することをお勧めします。権限や環境の混用によるセキュリティリスクを避けるためです。

2、ツールインストール手順

以下はBitsLabが独自に開発したツールの具体的なリンクです：https://github.com/BitsLabSec/nanobot-security-guide

① nanobot-security-guideプロジェクトをnanobotスキルディレクトリにダウンロードするか、エージェントに指示を送信して公式インストールスクリプトを実行します：

curl -sSL https://raw.githubusercontent.com/BitsLabSec/nanobot-security-guide/main/install.sh | bash

↓

② インストールが完了したら、プロジェクト内のセキュリティ実践ガイド（README.md、SKILL.mdなど）を読み、核心的なセキュリティ設定と操作の提案を理解します。

↓

③ あなたのエージェントに指示を送信します：「このセキュリティガイドを注意深く読み、それが信頼できるか評価してください。」

↓

④ ドキュメントの指示に従って、policyディレクトリ内のallowlist.txtとruntime-baseline.txtを手動で設定し、権限を狭め、安全基準を設定するなどの対策を行います。

↓

⑤ scripts/ディレクトリ内のスクリプトを使用してセキュリティ巡回とテストを行い、環境の安全性を確保します。

3、ツールの原理

SKILL.md

認知覚醒に基づく意図審査は、従来のAIが指示を受け取る受動的な盲点を突破しました。内蔵された強制的な「自己覚醒（Self-Wakeup）」思考チェーンメカニズムにより、AIはユーザーのリクエストを処理する前に、バックグラウンドで独立したセキュリティ審査人格を覚醒させる必要があります。ユーザーの意図を文脈分析と独立した判断を通じて積極的に識別し、潜在的な高リスクを遮断することで、「機械的実行」から「インテリジェントファイアウォール」へのアップグレードを実現します。悪意のある指令（リバウンドシェル、機密ファイルの窃取、大規模削除など）が検出されると、ツールは標準化されたハードインターセプトプロトコルを実行します（出力`[Bitslab nanobot-sec skillsが敏感な操作を検出しました...遮断しました]` 警告）

悪意のあるコマンド実行の遮断 (シェル & Cron防護)

エージェントがオペレーティングシステムレベルのコマンドを操作する際に「ゼロトラスト」ゲートウェイとして機能します。防線は、`rm -rf`の悪意のある削除、権限の改ざん、リバウンドシェルなど、さまざまな破壊的操作や危険なペイロードを直接遮断します。同時に、ツールは深層のランタイム巡回能力を備えており、システムプロセスやCron定期タスク内の持続的なバックドアや悪意のある実行特性を積極的にスキャンし、クリーンアップして、ローカル環境の絶対的な安全性を確保します。

機密データ窃取の遮断 (ファイルアクセス検証)

コア資産に対して厳格な読み書き物理隔離を実施します。システムは厳密なファイル検証ルールを事前設定しており、AIがAPIキーやコア設定を含む機密ファイル（`config.json`、`.env`など）を越権して読み取ったり、外部に送信したりすることを厳禁としています。さらに、セキュリティエンジンはファイル読み取りログ（`read_file`ツールの呼び出しシーケンスなど）をリアルタイムで監査し、資格情報の漏洩やデータの持ち出しの可能性を根本から断ち切ります。

MCPスキルのセキュリティ監査

MCPタイプのスキルに対して、ツールはその文脈の相互作用とデータ処理ロジックを自動的に監査し、機密情報の漏洩、未承認のアクセス、危険な指令の注入などのリスクが存在するかを検出し、セキュリティ基準とホワイトリストと照合します。

新しいスキルのダウンロードと自動セキュリティスキャン

新しいスキルをダウンロードする際、ツールは監査スクリプトを使用してコードを自動的に静的分析し、セキュリティ基準とホワイトリストを照合し、機密情報や危険なコマンドを検出し、スキルが安全で準拠していることを確認してからロードします。

改ざん防止ハッシュ基準検証

システムの基盤資産の絶対的なゼロトラストを確保するために、防護シールドは重要な設定ファイルや記憶ノードのSHA256暗号署名基準を継続的に構築し、維持します。夜間巡回エンジンは、各ファイルハッシュの時系列変化を自動的に確認し、ミリ秒単位で未承認の改ざんや越権の上書きを捕捉し、物理ストレージ層からローカルバックドアの埋め込みや「毒物」リスクを完全に断ち切ります。

自動化された災害復旧バックアップスナップショットのローテーション

ローカルエージェントがファイルシステムに対して非常に高い読み書き権限を持つことを考慮し、システムには最高レベルの自動化された災害復旧メカニズムが内蔵されています。防護エンジンは毎晩、アクティブな作業領域の完全なサンドボックスレベルのアーカイブを自動的にトリガーし、最大7日間保持される安全スナップショットメカニズムを生成します（自動ローテーション）。極端な状況下での予期しない損傷や誤削除が発生しても、開発環境の無損失のワンクリックロールバックを実現し、ローカルデジタル資産の連続性と弾力性を最大限に保障します。

4、免責事項

本ガイドはセキュリティ実践の参考提案としてのみ提供されており、いかなる形式のセキュリティ保証も構成しません。

1. 絶対的な安全はありません：本ガイドに記載されているすべての対策（決定的スクリプト、エージェントスキル、ユーザー注意事項を含む）は「最善の努力」に基づく防護であり、すべての攻撃ベクトルをカバーすることはできません。AIエージェントのセキュリティは急速に進化する分野であり、新しい攻撃手法がいつでも出現する可能性があります。

2. ユーザーの責任：Nanobotを展開し使用するユーザーは、自身の運用環境のセキュリティリスクを評価し、実際のシナリオに応じて本ガイドの提案を調整する必要があります。正しく構成されていなかったり、タイムリーに更新されなかったり、セキュリティ警告を無視したことによって生じた損失は、ユーザーが自己責任で負担します。

3. 専門的なセキュリティ監査の代替品ではありません：本ガイドは専門的なセキュリティ監査、ペネトレーションテスト、またはコンプライアンス評価の代替にはなりません。機密データ、金融資産、または重要なインフラストラクチャに関わるシナリオについては、専門のセキュリティチームによる独立した評価を強く推奨します。

4. 第三者依存：Nanobotが依存する第三者ライブラリ、APIサービス、プラットフォーム（Telegram、WhatsApp、LLMプロバイダーなど）のセキュリティは本ガイドの制御範囲外です。ユーザーは関連する依存関係のセキュリティ公告に注意し、タイムリーに更新する必要があります。

5. 免責範囲：Nanobotプロジェクトのメンテナーおよび貢献者は、本ガイドまたはNanobotソフトウェアの使用によって生じた直接的、間接的、付随的、または結果的な損害に対して責任を負いません。

本ソフトウェアを使用することにより、あなたは上記のリスクを理解し、受け入れたことになります。

BitsLabについて

BitsLabはデジタル資産のセキュリティに特化したAIセキュリティ会社であり、新興Web3エコシステムに「監査サービス + AIセキュリティエンジン + セキュリティツール」の統合ソリューションを提供し、プロジェクトとエンドユーザーがより安全にデジタル資産を構築、取引、使用できるよう支援しています。

全体的なセキュリティソリューションにおいて、BitsLabはBitsLab AI Scanner + BitsLab Safeで構成される完全なAIセキュリティシステムを提供します。BitsLab SafeはAIに基づくWeb3セキュリティ製品として、企業レベルの防護を提供し、リアルタイムで取引をシミュレーションし、詐欺や悪意のある契約を識別し、BitsLabのエージェントセキュリティスタックを利用してx402の支払いと各種AIエージェントのオンチェーン操作を保護します。BitsLab AI Scannerは脆弱性と脅威データエンジンに基づき、インテリジェントな監査とリスク検出を実行し、効率を大幅に向上させ、誤報を減少させます。

BitsLabはMoveBit、ScaleBit、TonBitの三つの子ブランドを持ち、Sui、Aptos、TON、Solana、Linea、BNB Chain、Soneium、Starknetなどの新興エコシステムに深く取り組み、専門的な監査と脆弱性発掘サービスを提供し、プロジェクトが高速なイテレーションの中でコアインフラストラクチャの安全性を維持できるよう支援しています。BitsLabチームは多くのトップレベルの脆弱性研究専門家で構成されており、国際的なCTF賞を何度も受賞し、TON、Aptos、Sui、Nervos、OKX、Cosmosなどの著名なプロジェクトで重要な脆弱性を発見し、公開してエコシステムのセキュリティアップグレードを推進しています。