Beacon のご紹介：AI エージェント向けエンドポイントテレメトリ

AI セキュリティの第一世代はモデルゲートウェイを中心としていました。次の世代は、エージェントが実際に作業を行うエンドポイントへと移行します。

ゲートウェイは、AI システムが主に質問に回答していた時代には理にかなっていました。セキュリティチームは、ユーザーとモデルの間に制御ポイントを設置し、プロンプトと出力を検査し、DLP を適用し、モデルアクセスを仲介し、やり取りをログに記録できました。

エージェントは、そのアーキテクチャを進化させます。セキュリティの問題は、もはやモデルが言うことや見ることだけではありません。エージェントが何をできるか、つまりユーザーのツールを使用し、その権限を継承し、機密環境内で状態を変更できるかどうかです。

最も明確な例は開発者のマシンです。Claude Code、Codex、Cursor などのコーディングエージェントは、ソースコード、ターミナル、パッケージマネージャー、クラウド CLI、ローカル認証情報、プロダクションに近いシステムと並行して動作します。1 つの自然言語リクエストが、ファイル読み取り、シェルコマンド、依存関係の変更、認証情報を使用したアクション、コード変更に変わる可能性があります。

同じパターンは現在、開発者を超えてナレッジワーカーにも拡大しています。デスクトップ接続されたエージェントは、SaaS アプリ、ローカルツール、内部システムを横断して動作し始めています。Claude Cowork や OpenClaw などのエージェントワークスペースは、エンタープライズ AI の次のフェーズを示しています。ユーザーのラップトップが、エンタープライズアプリケーション全体での委任作業のランタイムになるのです。

今日の厳しい現実は、セキュリティチームがエージェントがコマンドを実行し、ファイルを変更し、依存関係をインストールし、データを流出させた後にしか影響範囲を確認できない可能性があることです。障害モードはすでに深刻です。リモートコード実行（Claude Code のプロジェクト設定を介したもの）、プライベートコードの露出（Copilot Chat のプロンプトインジェクションを介したもの）、そして認証情報の窃取（ローカルコーディングエージェントを攻撃経路に変える悪意のある npm パッケージを介したもの）です。

それが、Beacon が埋めるために作られたエンドポイントの可視性ギャップです。

Beacon は @asymptotelabs のオープンソースの AI エージェント向けエンドポイントテレメトリレイヤーです。これは、ローカルエージェントのアクティビティを可観測可能、理解可能、そして最終的にエンタープライズ全体で管理可能にするための最初のステップです。

これがセキュリティチームにとって意味すること

セキュリティチームにとって、これは重要です。なぜなら、既存のスタックは委任作業を説明するように設計されていないからです。ゲートウェイ、EDR、エージェントネイティブテレメトリはすべて重要ですが、それぞれがエージェントの行動の一部しか見ていません。エージェントを安全に管理するには、チームはエージェントが意図からエンドポイントでのアクションにどのように移行するかを確認する必要があります。

3 つのギャップが際立っています：

1. エンドポイントログは影響を示しますが、ワークフローは示しません。コマンド、ファイル変更、プロセスアクティビティをキャプチャできますが、それらのイベントをエージェントリクエスト、ツール決定、承認パス、最終的な差分に結び付けることはほとんどありません。
2. エージェントテレメトリには共通のレイヤーが必要です。Claude Code、Cursor、Codex、Claude Cowork などの AI コーディングエージェントは、すべて異なるテレメトリシグナルを公開しています。セキュリティチームは、それらを横断する統一されたエンドポイントレベルのレコードを必要としています。
3. 可視性は制御に先立ちます。チームは、どのエージェントが実行されているか、どのような権限を持っているか、どのようなアクションを実行しているかを把握するまで、構成を適用したり、機密アクションをゲートしたり、MCP アクセスを管理したり、シークレットを保護したりすることはできません。

エンドポイントログはエージェントワークフローをキャプチャしない

従来のエンドポイントテレメトリは必要ですが、エージェントの動作を理解するには不十分です。

コマンドが実行されたこと、ファイルが変更されたこと、プロセスが生成されたこと、接続が開かれたことを示すことはできます。通常、示せないのはイベントの背後にあるワークフロー、つまりエージェントが何を依頼されたか、何を実行することを決定したか、そのアクションがタスクにとって適切であったかどうかです。

同じエージェントアクションでも、周囲のタスクによって安全またはリスクになる可能性があります。例えば：

• kubectl コマンドはインフラストラクチャインシデント中は適切かもしれませんが、単体テストの更新を依頼されたコーディングエージェントには不適切です。
• .env の読み取りはローカルデバッグ中は想定されるかもしれませんが、ドキュメント編集時には疑わしいです。
• Terraform の変更はインフラストラクチャリポジトリでは正常かもしれませんが、依存関係の更新の副作用として導入されると危険です。

それぞれのケースにおいて、生のイベントだけでは不十分です。セキュリティ上の意味は、その周囲のワークフロー、つまりプロンプト、計画、アクセスされたコンテキスト、呼び出されたツール、触れたファイル、使用された認証情報、付与された承認に依存します。

狭いテスト変更を依頼されたコーディングエージェントを考えてみましょう。ユーザーリクエストは次のようになるかもしれません：「請求リトライロジックの単体テストを更新してください。」

従来のテレメトリは次のように表示されるかもしれません：

これらのイベントは有用ですが、エージェントワークフローから切り離されています。ログは、テストが変更されたこと、シークレットファイルが読み取られたこと、Terraform が変更されたこと、デプロイメントコマンドが実行されたことを示しています。それらのアクションがユーザーのリクエストの一部であったかどうか、どのツール決定がそれらを生成したか、ユーザーが機密ステップを承認したかどうかは示されません。

エージェント対応のレコードは、同じイベントをワークフローに結び付けます：

そのトレースがなければ、セキュリティチームは事後に低レベルのアーティファクトから意図を再構築するしかありません。エージェントアクティビティの影響は確認できますが、エージェントの動作が依頼された作業に対して適切であったかどうかはわかりません。

Beacon: AI エージェントのためのエンドポイントテレメトリレイヤー

ほとんどのセキュリティチームと IT チームは、どのモデルが承認されているか、どのゲートウェイが展開されているかを答えることができます。エージェントがローカルで実行されると、セキュリティの質問はエンドポイントに近づきます：

エージェントインベントリ：どのエージェントツールがインストールされていますか？どのユーザーとデバイスがそれらを実行していますか？

ランタイムコンテキスト：エージェントはどのリポジトリとワークスペースで動作していますか？どのツール、認証情報、ローカル権限を継承できますか？

エージェントアクティビティ：エージェントはどのファイルを読み取りまたは変更していますか？どのコマンド、承認、差分を生成していますか？

テレメトリと監査：どのテレメトリが収集され、どこに送信されていますか？セキュリティチームは元のユーザーリクエストを実行されたアクションに結び付けることができますか？

エージェントネイティブテレメトリは役立ちますが、断片化されています。Claude Code と Codex は OpenTelemetry をエクスポートできます。Cursor はセッション、プロンプト、ツール使用、コマンド実行、承認、MCP のようなアクティビティ、ファイル編集のためのフックを公開しています。Claude Cowork は管理者設定の OTLP エンドポイントを介してテレメトリをエクスポートできます。

セキュリティチームが必要としているのは、それらを横断するワークフローレコードです。エージェントが何を依頼されたか、どのようなコンテキストを持っていたか、どのツールを呼び出したか、どの承認が必要だったか、エンドポイントで何が変更されたかです。

Beacon は、サポートされている場所で OpenTelemetry を構成し、利用可能な場所でローカルシグナルを収集し、断片化されたエージェントアクティビティを共通のエンドポイントイベント形式にマッピングすることで、そのギャップを埋めます。

図 1 に示すように、Beacon は 4 つのレイヤーを接続します：

1. エージェントランタイム：Claude Code、Codex、Cursor、Claude Cowork、OpenClaw、およびローカルモデルが、プロンプト、計画、ツール呼び出し、承認、差分、ランタイム状態を生成します。
2. エンドポイントアクティビティ：それらのエージェントはマシンと対話します。ファイル、ターミナル、パッケージマネージャー、MCP サーバー、クラウド CLI、リポジトリ、認証情報、ローカル構成などです。
3. Beacon 正規化：Beacon は、断片化された OpenTelemetry、フックベース、およびエンドポイントシグナルを共通の JSON イベントストリームに変換し、セキュリティチームがエージェントリクエストからローカルアクションまでのチェーンを追跡できるようにします。
4. セキュリティ宛先：Beacon は現在、Wazuh 互換の JSONL を書き込みます。同じ正規化されたイベントストリームは、エンタープライズがすでに使用している SIEM、データレイク、可観測性プラットフォーム、検出パイプライン、エンドポイントワークフローに拡張できます。

Beacon を使用すると、プロンプト、ツール呼び出し、コマンド、ファイル編集、承認、MCP インタラクション、ランタイム変更が、1 つのエンドポイントレベルのレコードの一部になります。ユーザーリクエストからローカルアクションまでの、エージェントとツールを横断するより明確なチェーンです。

可視性が先、制御はその後

エージェントはエンタープライズ内部の新しい実行レイヤーになりつつあります。

エージェントはファイルを読み取り、ツールを呼び出し、認証情報を使用し、システムを変更し、作業を委任する人々の権限で行動します。そのアクティビティはモデルゲートウェイだけでは理解も管理もできません。

エンドポイントは、エージェントのコンテキスト、権限、アクションが集まる場所です。プロンプトがコマンドになり、ツールが権限を継承し、認証情報が使用され、変更が行われる場所です。

それが、エンドポイントテレメトリをエージェントセキュリティの基盤にします。

Beacon は、エンタープライズがすでに採用しているツール全体でローカルエージェントアクティビティを可観測可能にします。セキュリティチームに、エージェントが何を依頼されたか、何に触れたか、何を変更したか、機密アクションが承認されたかどうかの共通レコードを提供します。

このレイヤーは信頼されなければなりません。Beacon はオープンソースで MIT ライセンスです。なぜなら、開発者のワークフロー、ソースコード、認証情報、プロダクションに近いシステムの近くで動作するからです。開発者は収集されるものを検査できるべきです。セキュリティチームはテレメトリを検証できるべきです。IT チームは自分たちが何を展開しているのかを正確に理解できるべきです。

エージェントアクティビティは、管理可能になる前に可観測可能であるべきです。

Beacon は、それを実現するための最初のステップです。