この記事ではAIエージェントに特化して解説します。AIエージェント全般は AIエージェントフレームワーク比較2026年版 をご覧ください。
何が起きたか
スタンフォード大学が、AIエージェント実行時のファイルシステム破壊を防ぐ軽量隔離ツール「jai」を公開した。「Go hard on agents, not on your filesystem」というメッセージの通り、DockerfileやVMの構築なしにjai your-agentの一行でエージェントを安全な隔離環境で実行できる。AIエージェントがホームディレクトリを誤って削除する深刻な被害報告が相次ぐ中、ワンステップで導入可能なセキュリティ対策として登場した。Linux専用。
3つの動作モード
jaiはLinuxのnamespaceとoverlayfsを活用し、3段階のセキュリティレベルを提供する。
| 項目 | Casual | Strict | Bare |
|---|---|---|---|
| ホームディレクトリ | コピーオンライトオーバーレイ | 空のプライベートホーム | 空のプライベートホーム |
| プロセスユーザー | 本人のユーザー | 非特権のjaiユーザー |
本人のユーザー |
| 機密性 | 弱い | 強い(別UID) | 中程度 |
| NFS対応 | あり | なし | あり |
すべてのモードで共通する保護は以下の通り。ワーキングディレクトリはエージェントが完全にアクセス可能、ホームディレクトリへの変更はコピーオンライト(Casual)または完全遮断(Strict/Bare)で保護、/tmpと/var/tmpはプライベート化、その他のファイルシステムは読み取り専用。
Dockerfileの記述もコンテナイメージのビルドも不要で、一行のインストールコマンドで導入が完了する。jai claudeやjai codexのように、既存のAIツールをラップして使う形式を想定している。
隔離の仕組み
jaiが保護するのは「元のファイルの状態」だ。Casualモードではoverlayfsにより、エージェントがホームディレクトリに加えた変更は全てオーバーレイ層に書き込まれ、元のファイルは一切変更されない。エージェントの実行が終了するとオーバーレイは破棄され、ファイルシステムは実行前の状態に復帰する。
Strictモードでは、非特権のjaiユーザーで実行することで、元ユーザーのファイルへの読み取りアクセスすら遮断する。SSH鍵や.envファイルなどの機密情報がエージェントに露出しない設計となっている。
エンジニアへの影響
- 導入コストの最小化: Dockerやbwrapの詳細設定が不要。既存の開発環境に追加のセットアップなしで導入できる
- AIエージェントの安全な実験: 未知のCLIツール、インストーラースクリプト、AI生成コマンドを本番環境のアカウントから隔離して実行可能
- 完全な安全性ではない: 公式ドキュメントが明言する通り「完全な安全性の約束ではない」。ハードウェアコンテナランタイムやVMと同等のセキュリティは提供しない
- Linux限定: macOSやWindowsでは動作しない。macOSユーザーはLinux VM内での利用が必要
- ワーキングディレクトリは無防備: 現在のプロジェクトディレクトリは通常のアクセス権のままであるため、プロジェクトファイル自体の保護には別の対策が必要
試してみるには
jai.scs.stanford.eduからワンコマンドでインストール後、jai your-agentで即座に利用を開始できる。まずはCasualモードで動作確認し、機密性が求められる場合はStrictモードに移行する流れが推奨される。
参考リンク
この記事はAI業界の最新動向を速報でお届けする「AI Heartland ニュース」です。
