Perplexity Computer の背後にあるセキュリティアーキテクチャ(2 分読了)
Perplexity は、自律型エージェント「Computer」の安全性を確保するため、ハードウェアレベルの隔離(Firecracker マイクロVM)、データと実行環境の分離、および厳格な認証フローを導入したセキュリティアーキテクチャの詳細を発表しました。
キーポイント
ハードウェアレベルのサンドボックス化
各タスクが Firecracker マイクロVM内で実行され、専用カーネル、リセットされるファイルシステム、隔離されたネットワークネームスペースによって攻撃面を最小化しています。
データと実行環境の厳格な分離
クラウド VPC を跨いでストレージとコード実行環境を物理的に分離し、両者の通信は暗号化された HTTPS 経由に限定することでデータ漏洩リスクを低減しています。
スコープ限定された外部接続管理
管理者が組織レベルでコネクタの無効化が可能であり、ユーザーは個別認証を通じてのみ外部サービスへアクセスでき、OAuth や API キーの管理も厳格に制御されています。
プロンプトインジェクションと権限管理
短期有効なプロキシトークンを経由した認証ゲートウェイの採用や、アイドル時の自動サスペンド・破棄機能により、不正アクセスと権限昇格を防いでいます。
影響分析・編集コメントを表示
影響分析
このアーキテクチャは、コード実行や外部サービス操作を行う自律型エージェントにおけるセキュリティリスクに対する業界標準の新たな基準を示しています。特に、ハードウェアレベルでの隔離とデータ分離を組み合わせる手法は、企業環境でAIエージェントを安全に導入するための重要な指針となり、類似製品の開発におけるベストプラクティスとして広く参照されるでしょう。
編集コメント
自律型エージェントの実用化において最大の懸念である「セキュリティと信頼性」に対し、Perplexity が具体的な技術的実装(Firecracker や VPC 分離)で対峙している点は非常に示唆に富んでいます。これは単なる機能紹介ではなく、企業のAI導入におけるリスク管理の観点からも重要な技術的知見を提供しています。
コンピューターにセキュリティを組み込んだ方法
Perplexity Computer は、コードの作成と実行、ウェブブラウジング、外部サービスへの接続を行い、ユーザーに代わってタスクを完了させる自律型エージェントです。
これは、2026 年版 SOC 2 Type II 認証(注:SOC 2 Type II)を取得済みの Perplexity の既存インフラストラクチャ上に直接構築されており、SAML SSO(シングルサインオン)、監査ログ、細粒度の管理機能など、Perplexity のエンタープライズ向けセキュリティ機能を継承しています。
コードの実行やライブサービスへのアクションは新たな要件をもたらします。本稿では、ユーザーの安全を継続して守るために、この基盤の上に構築した以下の要素について解説します:サンドボックスによる分離、コネクタとデータ処理、プロンプトインジェクション対策、およびエンタープライズガバナンス。
サンドボックスによる分離
コードを安全に実行するには、ハードウェアレベルの隔離が必要です。すべての Computer タスクは Firecracker マイクロ VM(注:マイクロ VM)サンドボックス内で実行され、デフォルトの OS セキュリティを超えたレベルで最小権限の原則が強制されます。各マイクロ VM は、攻撃対象領域を縮小する最小限のデバイスモデルを持つ独自の専用 Linux カーネルを起動します。
各サンドボックスは以下の 3 つの次元において隔離されています:
- 専用カーネル:各セッションごとに独立した Linux カーネルインスタンスが割り当てられます。
- 分離されたファイルシステム:各 VM は、セッション終了時にリセットされる分離されたファイルシステムを使用します。
- プライベートネットワーク名前空間:サンドボックスは、専用のファイアウォールルールを持つ独自の隔離されたネットワークを備えています。
サンドボックスはアイドル状態になると自動的に一時停止され、一定期間活動がないと破棄されます。新しいセッションは常にクリーンな状態で開始されます。現在のタスクに必要な認証情報のみが注入され、それらはサンドボックスと共に破棄されます。サブエージェントは、生きた API キーではなく、認証ゲートウェイを介してルーティングされる短期間のプロキシトークンを使用します。
また、クラウド VPC 間でデータストレージとコード実行を分離しています。この分離により、保存されたユーザーデータを実行環境から隔離できます。両者間のすべての通信は、暗号化された HTTPS を経由して行われます。
コネクタとデータ処理
Computer は、アクセス範囲を制限しデータ処理を制御したまま、外部サービスに接続することができます。管理者は組織全体でコネクタの有効化・無効化を切り替えることができ、個々のユーザーは Computer 内で使用したいサービスの認証を行います。
接続パスはコネクタの種類によって異なります。Google や Microsoft などの組み込み統合ではプロバイダー認証フローが使用され、カスタムリモートコネクタでは OAuth 2.0 または企業管理型の API キー認証をサポートしています。すべてのコネクタタイプは、タスク完了に必要な最小限のデータのみを送信するように設計されています。
データ処理は、同じ制御モデルに従います。リモートカスタムコネクタは HTTPS を使用しなければならず、ファイルコネクタのデータは転送中および保存時に暗号化されます。タスク入力、出力、コネクタデータ、サンドボックスの内容などのエンタープライズデータは、モデルトレーニングには使用されません。エンタープライズのファイル添付は 7 日後に削除されます。
プロンプトインジェクション対策
ウェブを閲覧し外部コンテンツを読み取るエージェントは、プロンプトインジェクション攻撃のリスクにさらされています。Computer は、Comet のために最初に構築した防御策を引き継ぎ拡張しています。これには、4 層防御アーキテクチャと、ブラウザエージェントセキュリティのためのオープンソース検出モデルである BrowseSafe が含まれます。これらの防御策は、Trail of Bits によって監査されました。
ML クラスフィア(機械学習分類器)が、Computer がアクションを実行する前に外部ソースから取得したコンテンツをスキャンします。検出システムはエージェントの推論パイプラインと並列して実行され、不審なコンテンツが検出されると安全停止トリガーを発動します。クラスフィアは、バグバウンティプログラム、レッドチーム演習、および実世界の検出事象からの知見に基づいて継続的に更新されます。
分類に加えて、各ツールのシステムプロンプトには明示的なガードレールが含まれています。外部コンテンツは信頼できないものとして区切られ、ツールを選択して実行する際にシステムは常に元のユーザークエリを参照します。
Computer は、信頼できないコンテンツを処理する際に、より厳格なプロンプト処理やモデルレベルの保護など、追加的な安全対策を適用します。これについて詳しく知りたい場合は、上記に関連する研究およびセキュリティ評価へのリンクを記載しています。
エンタープライズ向け制御機能
Perplexity Enterprise を利用している組織では、管理者は Computer の運用方法に対して追加的なガバナンス権限を取得できます:
監査ログ: 管理者は、ユーザーの問い合わせ、エージェントによるアクション、ファイルアクセス、コネクタの使用など、重要なイベントをログ記録できます。ログは Splunk、Azure Sentinel、Datadog を含む主要な SIEM システム(セキュリティ情報・イベント管理システム)と連携するため、セキュリティチームは既存のインフラストラクチャのテレメトリデータとともに Computer のアクティビティを監視することが可能です。
アクセス制御: 管理者は Computer を完全に無効化するか、特定のメンバーのみに対して有効にすることができます。Gmail、Outlook、Slack、GitHub、Notion、Snowflake、Databricks、Salesforce などのサードパーティ製コネクタは、組織レベルで個別に有効化または無効化できます。また、管理者は Computer が使用できるモデルを制限することも可能です。
課金制御: 管理者は、1 人あたりのクレジット上限を設定したり、個々のユーザーへの割り当てを上書きしたり、自動再充填の閾値や月間利用限度額を構成したり、または含まれている席数割り当てを超えてクレジットを追加しないことを選択したりできます。
詳細については、Trust Center をご覧いただくか、Computer for Enterprise のドキュメントをご覧ください。
原文を表示
How We Built Security Into Computer
Perplexity Computer is an autonomous agent that writes and runs code, browses the web, and connects to external services to complete tasks on your behalf.
It's built directly on Perplexity's existing infrastructure, which has completed its 2026 SOC 2 Type II attestation, and inherits Perplexity’s enterprise security features such as SAML SSO, audit logs, and granular administrative controls.
Executing code and acting on live services introduces new requirements. This post covers what we built on top of the original foundation to continue keeping our users safe: sandbox isolation, connectors and data handling, prompt injection defense, and enterprise governance.
Sandbox isolation
Running code safely requires hardware-level isolation. Every Computer task runs inside a Firecracker microVM sandbox, enforcing least privilege at a level that goes beyond default operating system security. Each microVM boots its own dedicated Linux kernel with a minimal device model that reduces the attack surface.
Each sandbox is isolated across three dimensions:
- Dedicated kernel: Every session gets its own Linux kernel instance.
- Isolated filesystem: Each VM uses an isolated filesystem that resets when the session ends.
- Private network namespace: Sandboxes have their own isolated network with dedicated firewall rules.
Sandboxes auto-pause when idle and are destroyed after a period of inactivity. Each new session starts clean. Only the credentials needed for the current task are injected, and they are destroyed with the sandbox. Sub-agents use short-lived proxy tokens routed through an authenticated gateway rather than raw API keys.
We also separate data storage from code execution across cloud VPCs. This separation helps isolate stored user data from the execution environment. All communication between the two happens over encrypted HTTPS.
Connectors and data handling
Computer can connect to external services while keeping access scoped and data handling controlled. Admins can enable or disable connectors for the organization, and individual users then authenticate the services they want to use inside Computer.
The connection path depends on the connector. Built-in integrations such as Google and Microsoft use provider authentication flows, while custom remote connectors support OAuth 2.0 or enterprise-managed API key authentication. All connector types are designed to transmit only the minimum data required to complete the task.
Data handling follows the same control model. Remote custom connectors must use HTTPS, and file connector data is encrypted in transit and at rest. Enterprise data, such as task inputs, outputs, connector data, and sandbox contents, is not used for model training. Enterprise file attachments are deleted after 7 days.
Prompt injection defense
An agent that browses the web and reads external content is exposed to prompt injection attacks. Computer inherits and extends the defenses we originally built for Comet, including our four-layer defense architecture and BrowseSafe, our open-source detection model for browser agent security. These defenses were audited by Trail of Bits.
ML classifiers scan content retrieved from external sources before Computer acts on it. The detection system runs in parallel with the agent’s reasoning pipeline and triggers a safe stop when suspicious content is detected. Classifiers are continuously updated based on findings from our bug bounty program, red team exercises, and real-world detection events.
Beyond classification, each tool's system prompt includes explicit guardrails. External content is demarcated as untrusted, and the system continuously references the original user query when selecting and executing tools.
Computer applies additional safeguards when processing untrusted content, including stricter prompt handling and model-level protections. If you’d like to read more about this, we’ve linked the relevant research and security evaluations above.
Enterprise controls
For organizations on Perplexity Enterprise, admins get additional governance over how Computer operates:
Audit logs: Admins can log key events such as user queries, agentic actions, file access, and connector usage. Logs integrate with leading SIEMs including Splunk, Azure Sentinel, and Datadog so security teams can monitor Computer activity alongside existing infrastructure telemetry.
Access controls: Admins can disable Computer entirely or enable it for specific members only. Third-party connectors, including Gmail, Outlook, Slack, GitHub, Notion, Snowflake, Databricks, and Salesforce, can each be enabled or disabled at the organization level. Admins can also restrict which models Computer is allowed to use.
Billing controls: Admins can set per-seat credit caps, override allocations for individual users, configure auto-reload thresholds and monthly limits, or choose not to add credits beyond the included seat allocation.
For full details, visit our Trust Center or see the Computer for Enterprise documentation.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み