--- title: Docker Sandboxes 〜 Claude Code などのコーディングエージェントを隔離されたサンドボックス環境で実行 〜 tags: #docker #security #claude code #codex author: [根本 征(Tadashi Nemoto)](https://www.docswell.com/user/tadashi0713) site: [Docswell](https://www.docswell.com/) thumbnail: https://bcdn.docswell.com/page/3EK99XPPED.jpg?width=480 description: https://youtu.be/Jpu8-8xEDYU Claude Code などのコーディングエージェントを隔離されたサンドボックス環境で実行することができる Docker Sandboxes を紹介します。 近年コーディングエージェントを利用した開発が急速に普及していますが、同時にホストマシンで直接実行することによるセキュリティリスクも懸念されています。 この動画では、具体的にどのようなリスクがあるのか、そして Docker Sandboxes を使ってどのように安全な実行環境を実現しているのか解説していきます。 published: April 27, 26 canonical: https://www.docswell.com/s/tadashi0713/KX2PJY-docker-sandboxes --- # Page. 1 ![Page Image](https://bcdn.docswell.com/page/3EK99XPPED.jpg) Docker Sandboxes Claude Code などのコーディングエージェントを隔離された サンドボックス環境で実行 Tadashi Nemoto Strategic Solutions Engineer, Docker # Page. 2 ![Page Image](https://bcdn.docswell.com/page/L73WW5X475.jpg) コーディングエージェントを ホストマシンで直接実行するリスク # Page. 3 ![Page Image](https://bcdn.docswell.com/page/87DKKD25JG.jpg) コーディングエージェントによる飛躍的な 生産性向上の一方、 リスクも増加している 84% 41% の開発者がコーディング エージェントを利用 の新しいコードが AI によっ て生成されている # Page. 4 ![Page Image](https://bcdn.docswell.com/page/VJPKKX1DE8.jpg) ソフトウェアサプライチェーン攻撃(axios) axios は Javascript で書かれた HTTP クライアントアプリで、 React・Vue・Next.js などのフレームワークで広く使われており、自分で直 接インストールしていなくても、他のライブラリの依存関係として自動的に含 まれていることが非常に多い。 2026年3月30日、axios の主要メンテナーの npm アカウントが侵害され、 1.14.1 と 0.30.4 の 2 つの悪意のあるバージョンが公開された。 攻撃者は事前に `plain-crypto-js` という悪意のあるパッケージを公開し、 axios の依存関係に追加。`npm install` を実行するだけで、`postinstall` フックを通じて RAT(遠隔操作トロイの木馬)がインストールされる仕組み だった。 RAT がインストールされると即座にシステム偵察が実行され、マシン上の シークレット(npm トークン、SSH キー、AWS/GCP/Azure の認証情 報、.env ファイルの API キー、GitHub トークンなど)が盗まれる対象となっ た。 https://www.trendmicro.com/ja_jp/jp-security/26/d/expertview-20260409-01.html # Page. 5 ![Page Image](https://bcdn.docswell.com/page/2EVVVLYGEQ.jpg) コーディングエージェントに含まれる脆弱性 Cursor「CurXecute」CVE202554135 GitHub Copilot CVE202553773 Cursor におけるプロンプトインジェクションによって、 リモートコードを可能とする脆弱性 GitHub Copilot におけるプロンプトインジェクションによって、リモー トコードを可能とする脆弱性 Cursor 1.3.9 未満のバージョンでは、ワークスペース内のファイルを ユーザーの承認なしに書き込むことが可能だった。 (編集には承認が必要だったが、新規作成には承認が不要だった) 攻撃者はソースコードファイル、Webページ、または GitHub Issue に悪意のあるプロンプトを埋め込み、Copilot を操作して `.vscode/settings.json` に `ˮchat.tools.autoApprove: trueˮ` と いう行を追加させた。 `.cursor/mcp.json` のような MCP 設定ファイルがまだ存在しない 場合、攻撃者はプロンプトインジェクションを利用してコンテキストを 乗っ取り、このファイルを新規作成することで、ユーザー承認なしにリ モートコード実行を引き起こすことができた。 その後 Copilot が YOLO モード(すべての安全確認を無効化)で危 険なコード(`rm -rf /`, `os.system(...)`)実行や、ファイル、トークン、 ネットワークへのアクセスが承認なしで可能になっていた。 # Page. 6 ![Page Image](https://bcdn.docswell.com/page/57GLLXWDEL.jpg) Docker Sandboxes # Page. 7 ![Page Image](https://bcdn.docswell.com/page/4EQYY83XJP.jpg) Docker Sandboxes コーディングエージェントをホスト上で直接 実行するのではなく、 隔離されたサンドボックス環境で実行 軽量な MicroVM ベースで隔離し、コーディングエー ジェントによるコード編集・パッケージのインストール ・コマンド実行などを安全に実現 ファイルシステム・ネットワーク・認証などを隔離・制 御 Docker-in-Docker などを懸念する必要なく、コー ディングエージェントが安全にイメージの ビルドとコンテナの実行・操作が可能 主要なコーディングエージェントをサポート Claude Code, Codex, Gemini CLI, Kiro, GitHub Copilot) 安全な環境で YOLO モードで実行可能 claude --dangerously-skip-permissions # Page. 8 ![Page Image](https://bcdn.docswell.com/page/KJ4WW21271.jpg) Docker Desktop なしで実行可能 brew install docker/tap/sbx winget install Docker.sbx # Page. 9 ![Page Image](https://bcdn.docswell.com/page/LE1YYMGK7G.jpg) MicroVM Container Request Network Proxy Request Anthropic, OpenAI, etc Coding Agent Filesystem Manager Docker Daemon Container Source dir Source dir # Page. 10 ![Page Image](https://bcdn.docswell.com/page/GEWGG3KPJ2.jpg) Docker Sandboxes デモ # Page. 11 ![Page Image](https://bcdn.docswell.com/page/47ZLLVZ6J3.jpg) おわりに