ガードレール
有効 posture
pin lockdown 解析プロファイル
agent-guardrail 🆕 新規ドメイン
3要注意 強度を選ぶ
sanctioned-llm
Anthropic OpenAI Azure Google Mistral Cohere
sanctioned-tools
api.anthropic.com · github.com · pypi.org · npmjs.com 組込み deny リスト built-in
exfil-tunnels
*.ngrok.io · webhook.site · pastebin.com · api.telegram.org · transfer.sh
doh-resolvers
cloudflare-dns.com · dns.google · dns.quad9.net
posture: pin # default-allow のままsanctioned-llm: - Anthropic # チェックした公認プロバイダdeny: unsanctioned-llm # 公認以外の既知LLMだけ遮断# 通常の閲覧・業務通信はそのまま
posture: lockdown # deny-base — 明示許可以外は全遮断allow: - sanctioned-llm # 公認LLM - sanctioned-tools # 公認ツールblock-evasion: quic: true # SNI 可視性を維持 doh: true # DNS 可視性を維持unknown-domains: deny # 未知ドメインは遮断
差分表示 検証失敗なら適用しない
ライブ侵害兆候
local-llm · agent-guardrail self-hosted · no external API
Verdict
LIKELY-COMPROMISED
新規観測されたトンネリング / exfil / DoH ドメインが多数。プロンプトインジェクションか資格情報窃取を強く示唆。
Egress allow-list view
sanctioned
api.anthropic.com
unexpected / new
a7f3c1b9.ngrok.io
webhook.site
dns.google
pastebin.com
api.telegram.org
Agent-compromise indicators
exfil / tunnel:
ngrok.io · webhook.site · pastebin.com · api.telegram.org DoH:
dns.google で DNS 可視性を回避 fan-out: 単一ホストから 443/53/80/22/3306/6379/9200 → 資格情報ダンプ / 横展開の疑い
Recommended containment
→当該 5 ドメインを deny
→エージェントセグメントを deny-base egress へ(api.anthropic.com / github.com / pypi.org のみ allow)