Perplexity AI がエージェント用セキュアサンドボックス「SPACE」を発表
Perplexity は、長期実行型 AI エージェントのセキュリティと効率性を両立させるため、「SPACE」という新サンドボックスプラットフォームを発表し、機能・効率・セキュリティのトレードオフを解消した。
キーポイント
SPACE の登場と目的
Perplexity は AI エージェント用プラットフォーム「Computer」のために、従来の制約を超えた新サンドボックス「SPACE」を発表し、長期実行タスクにおけるセキュリティと効率を同時に実現する。
アーキテクチャの革新
タスク完了後に即座に破棄されるエフェメラルなサンドボックスを採用しつつ、セッション管理機能(一時停止・再開・分岐)とローリングスナップショット技術により、状態の永続性を確保する。
セキュリティの多層防御
ネットワークゲートウェイ、スペースデーモン、ファイルサービスという 3 つの専用サービスで機能を分離し、認証情報をタスク実行時以外にはサンドボックス内部に存在させないことで、コンプライアンスリスクを排除する。
機能・効率・セキュリティの統合
従来のプラットフォームが 3 つの変数のうち 2 つしか解決できなかった課題に対し、SPACE は設計上の分離によりすべての変数を同時に最適化し、エージェントの完全な能力解放と保護を両立させる。
重要な引用
Sandboxes keep agents secure, letting them access the tools and files they need to complete these tasks, while keeping sensitive information protected.
Most sandbox platforms only solve for two of three variables: functionality, efficiency, or security.
With this design, a compromised agent has no path to platform-managed credentials by default.
影響分析・編集コメントを表示
影響分析
この記事は、AI エージェントが実社会で本格的に運用される際に不可欠なセキュリティ基盤の進化を示しており、特に長期実行タスクにおけるリスク管理のパラダイムシフトを意味します。Perplexity が提案するアーキテクチャは、他の企業や開発者にとって、エージェントの信頼性を高めるための重要な設計指針となるでしょう。
編集コメント
AI エージェントが単なるチャットボットから実務を遂行する存在へと進化していく中で、セキュリティ基盤の重要性は決定的です。Perplexity が示すような「実行時の完全な隔離」と「状態管理の柔軟性」を両立させるアプローチは、今後業界標準となるべき設計思想と言えるでしょう。
AI エージェントは、ファイルの編集やコードの実行、数時間から数日にわたる多段階タスクの実行など、私たちに代わって実際の作業を担います。これには機密情報へのアクセスが必要になることが多く、その結果、モデルがどれだけ賢いかよりも、エージェントがどこで実行されるかが重要になります。
サンドボックスは、エージェントの安全性を保ちつつ、必要なツールやファイルにアクセスしてタスクを完了させる一方で、機密情報を保護します。
エージェントプラットフォーム「Computer」を構築する際、私たちは市販されているサンドボックスオプションを検討しました。しかし、どの選択肢も機能性、効率性、セキュリティの間でトレードオフを考慮する必要がありました。Perplexity Computer にはこれら三要素がすべて必要だったため、私たちは全く新しいタイプのサンドボックスを開発することになりました。
本日、私たちは「Computer」の能力を最大限に引き出すと同時に、高度なエージェントシステムに対して最高レベルのセキュリティを提供するサンドボックスプラットフォーム SPACE を発表します。
サンドボックスアーキテクチャの再構築
SPACE は、コードの実行やファイルとの対話など、タスク実行に必要な期間だけ存在する一時的なサンドボックスを起動します。タスクが完了すると、そのサンドボックスと内部のすべてのデータは破棄されます。
再起動を必要とする長期にわたる作業では、SPACE は各サンドボックスをセッションとしてラップし、一時停止や再開、あるいは複数のサンドボックスへの分岐が可能になります。SPACE のローリングスナップショット技術により、個々のサンドボックスには保持されなくても、コンテキストは作業とともに移動します。
従来のトレードオフの解消
既存のサンドボックスプラットフォームの多くは、機能性・効率性・セキュリティという 3 つの変数のうち 2 つしか解決できていません。ある一方を最適化すると、他方が犠牲になるのが常です。
例えば、強力な分離機構を持つソリューションでも、環境内部で認証情報が露出しているケースがあります。一方で、短期ジョブの処理には優れていても、セッションが数時間続く場合や状態保持が必要な場合に失敗してしまう例も少なくありません。
SPACE は、これらの課題をすべて解決するために、各機能を専用のサービスに分離する設計を採用しています。ネットワークゲートウェイ、スペースデーモン、ファイルサービスの 3 つが、それぞれスタックの異なる部分を保護します。また、認証情報は必要な瞬間のみ、外部からサンドボックス内へ提供される仕組みです。
この設計により、エージェントが侵害された場合でも、プラットフォーム管理下の認証情報への経路はデフォルトで遮断されます。セッションの継続時間やバックエンドの種類に関わらず、割り当てられたタスク以外の領域にアクセスすることはできません。
3 層構造によるセキュリティの実装
SPACE は、それぞれに堅牢なセキュリティ対策が組み込まれた 3 つの主要レイヤーで構成されています:
- コントロールプレーン: SPACE のアーキテクチャにおける最初のレイヤーです。サンドボックスのライフサイクルを調整する役割を担っています。すべてのリクエストは単一の API を経由して受け付けられ、サンドボックスの状態を追跡しながら、リアルタイムでどのバックエンドにルーティングするかを決定します。また、タスクに新しいサンドボックスが必要になるタイミングや、タスクが完了して対応するサンドボックスを破棄できるタイミングもここで判断されます。コントロールプレーンはステートレスかつ中央集権的にホストされているため、ローカルマシンを含む既存のインフラストラクチャ上でも、同じ API 呼び出しが動作します。
- ノードレベルサービス: SPACE において、Perplexity のセキュリティ姿勢が際立っているのがこのノードレベルサービスです。SPACE では、認証情報は決してサンドボックス内へ渡りません。必要な瞬間にのみ、外部からサンドボックス内に注入されます。エージェントが Google アカウントに一時的にアクセスしてサインインする必要がある場合でも、SPACE は認証情報をサンドボックス内部に露出させることなく、サインインフローを処理できます。アウトバウンドのネットワークトラフィックもノードレベルで制御されています。侵害されたエージェントであっても、許可された範囲外には一切到達できません。
- サンドボックス内: サンドボックス内レイヤーは、SPACE の最後の防御ラインです。SPACE では各タスクが Firecracker マイクロ VM 内で実行されます。これは OS を独自に持つ完全な隔離環境です。つまり、内部の何かがホストや並行して動作する他のサンドボックスに影響を与えることはありません。Space Daemon は、Perplexity のコントロールプレーンと通信する唯一のプロセスです。開始、一時停止、スナップショットなどの運用信号を担っています。これにより、通信チャネルは監査可能かつ制御可能となっています。
コントロール機能をフルセットで提供
SPACE は、プロバイダーの中で唯一、包括的なコントロール機能を提供するプラットフォームです。一時停止と再開、セッションのフォーク、セッションごとの認証情報分離、プロトコル転送、そしてマルチバックエンドのオーケストレーションを、単一のプラットフォーム上で統合しています。
SPACE はセッション全体の状態をローリングスナップショットとして保存し、ファイルだけでなく生メモリも毎分という頻度でキャプチャします。最大 1 週間前の時点へ遡ることが可能です。いわば内蔵されたタイムマシンであり、タスクの最中に離れても、1 週間後に戻ればエージェントは一時停止した場所から正確に再開できます。
SPACE はサンドボックスをデフォルトで信頼できないものとして扱い、ネットワーク制御、認証情報管理、テナント分離、暗号化ストレージによってそれを囲い込んでいます。もし一つの層が侵害されたとしても、他の層が個人情報を保護します。
SPACE を利用する企業顧客は、独自の暗号化キーを持ち込むことも可能です。顧客がキーを失効させれば、新しいサンドボックスは起動できなくなり、既存の顧客暗号化データも復号できなくなります。
特に機密性の高いデータを扱う場合のために、SPACE はオンプレミス環境でも完全オフライン環境でも動作するように設計されています。このレベルのコントロールにより、データが安全な環境から外に出る必要はありません。
Perplexity での活用事例
Perplexity のエンジニアたちは、SPACE を概念段階から製品化までわずか 10 週間で実現しました。私たちは過去 2 ヶ月間にわたり社内でも SPACE を利用しています。先週のデータでは、数百万回のサンドボックス作成と数千万回の再接続を支援しました。今日現在、すべてのユーザー向けに「Computer」機能として稼働しています。
SPACE はどこでも実行できるように設計されています。NVIDIA Vera CPU での初期テストでは、従来の生産環境基準と比較して、Computer スタイルのワークフローが約 1.5 倍高速に動作し、並行して起動するサンドボックスも最大 1.9 倍速く立ち上がることが確認されました。この初期結果は、Vera がエージェント用サンドボックスにおいて極めて高い価値を発揮することを示しており、SPACE のバックエンド非依存設計の妥当性を実証したものです。
セキュアな環境への投資
機能性、効率性、そしてセキュリティの間にはトレードオフが存在してはならないと考えています。AI エージェントは、私たちが扱うデータと同じく、信頼できるチームメイトに託すのと同じレベルの信頼性を備えて動作すべきです。
SPACE は、こうしたセキュアな環境を実現する最初の試行に過ぎません。AI の進化に伴い、私たちのセキュリティおよびインフラストラクチャシステムも同時に進化し続けるでしょう。
詳細は Making SPACE: Secure and Efficient Runtimes for Long-Running Agents をご覧ください。
原文を表示
AI agents perform real work on our behalf: editing files, running code, and carrying out multi-step tasks over hours or days. This often requires access to private information, which makes *where* an agent runs matter more than how smart the model is.
Sandboxes keep agents secure, letting them access the tools and files they need to complete these tasks, while keeping sensitive information protected.
When building our agent platform Computer, we explored off-the-shelf sandbox options. Every option required us to consider tradeoffs between functionality, efficiency, and security. Perplexity Computer needed all three, so we built an entirely new type of sandbox.
Today, we’re introducing SPACE, a sandbox platform designed to unlock Computer’s full power while providing the highest level of security for advanced agentic systems.
Reinventing sandbox architecture
SPACE spins up ephemeral sandboxes which only live as long as they’re needed for running code, interacting with files, or other tasks. When the task finishes, the sandbox, and everything inside it, is destroyed.
For long-horizon work that needs to survive restarts, SPACE wraps each sandbox in a session that can be paused, resumed, or branched into multiple sandboxes. SPACE’s rolling snapshot technology allows context to travel with the work, even though no individual sandbox does.
Eliminating previous tradeoffs
Most sandbox platforms only solve for two of three variables: functionality, efficiency, or security. Optimizing for one tends to come at the expense of another. Some solutions have strong isolation primitives but leave credentials exposed inside the environment. Others execute short-lived jobs well, but lose state and fail when a session needs to run for hours.
SPACE solves for all three by separating concerns across dedicated services. The Network Gateway, Space Daemon, and File Service each secure a different part of the stack. They also deliver credentials from outside the sandbox only at the moment they’re needed.
With this design, a compromised agent has no path to platform-managed credentials by default. And it doesn’t have access beyond the task it was given, regardless of the session’s duration or backend.
Creating three layers of security
SPACE is made up of three key layers, each with strong security measures built in:
- Control Plane: The first layer of SPACE’s architecture, the Control Plane is responsible for orchestrating the sandbox’s lifecycle. It receives every request through a single API, tracks the sandbox state, and decides in real time which backend to route to. It determines when a task needs a new sandbox. It also decides when a task is complete and its corresponding sandbox can be destroyed. Because the Control Plane is stateless and centrally hosted, the same API call works on any existing infrastructure, including a local machine.
- Node-level Services: In SPACE, Node-level Services is where Perplexity’s security posture stands out. With SPACE, credentials never pass into the sandbox. Instead, they’re passed in from outside the sandbox only at the precise moment they’re needed. When an agent needs temporary access to connect to a Google Account, SPACE can handle the sign-in flow without exposing credentials inside the sandbox. Outbound network traffic is also controlled at the node level. A compromised agent can’t reach anything outside its permitted scope.
- In-sandbox: The in-sandbox layer is SPACE’s last line of defense. With SPACE, each task runs inside a Firecracker microVM, a fully isolated environment with its own operating system. That means nothing inside can affect the host or any other sandbox running in parallel. The Space Daemon is the only process that talks to Perplexity's control plane. It carries operational signals like start, pause, and snapshot commands. This is what makes the communication channel auditable and controllable.
Offering a full set of controls
SPACE is unique among providers in offering a full set of controls. SPACE combines pause and resume, session forking, per-session credential isolation, protocol forwarding, and multi-backend orchestration in a single platform.
SPACE takes rolling snapshots of the full session state, capturing live memory alongside files as frequently as every minute. It can go back in time a week. It's essentially a built-in time machine: Anyone can walk away mid-task, come back a week later, and the agent picks up exactly where it paused.
SPACE treats the sandbox as untrusted by default and surrounds it with network controls, credential controls, tenant separation, and encrypted storage. If one layer is compromised, the others will protect personal information.
With SPACE, enterprise customers can also bring their own encryption keys. If a customer revokes their key, new sandboxes cannot boot and existing customer-encrypted data can no longer be decrypted.
For those who work with particularly sensitive data, SPACE is designed to work both on-prem and fully offline. This level of control ensures data never has to leave a secure environment.
Powering Perplexity
Perplexity engineers took SPACE from concept to product in 10 weeks. We’ve been using SPACE internally for the past two months. Over the last week, it has supported millions of sandbox creations and tens of millions of sandbox reconnects. It is live in Computer for all users today.
SPACE was built to run anywhere. In an early test on NVIDIA Vera CPU, actual Computer-style workflows ran roughly 1.5x faster than our current production reference, and started concurrent sandboxes up to 1.9x faster. This early signal demonstrates that Vera will deliver exceptional value for agentic sandboxes and validates the backend agnosticism behind SPACE.
Investing in secure environments
We believe there shouldn’t be a tradeoff between functionality, efficiency, and security. Agents should work across the same data we do, with the same trust we’d place in any teammate.
SPACE is just the first iteration of this secure environment. As AI continues to evolve, our security and infrastructure systems will as well.
View Making SPACE: Secure and Efficient Runtimes for Long-Running Agents for more details.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み