AI Agentの叛逆により、ホームディレクトリを破壊された人が話題となった。LLM無職を差し置いてLLMホームレスである。

ん？え？は？何してるの？ pic.twitter.com/QaDkToek4P

— /mugisus/g (@mugisus) 2025年7月1日

かわいそうに。AIはこういうとき全く躊躇なく余計なことをする*1ので、自分も閉口することがある。明日は我が身ということで、叛逆に備える方法を探る必要がある。

ところで、環境の隔離というと最近はすぐコンテナが出てくるけれど、コンテナみたいな大仰なものを使わなくとも、実行するプロセスに強制的なアクセス制御をかけて特定のディレクトリにしか書き込めないようにするグッズがいろいろあって、例えばSELinuxやAppArmorといったソフトウェアを利用できる。これらは多くのディストリビューションにデフォルトで入っており、人知れずお前らの暮らしを守っている。

今回はAppArmorを使って、Claude Codeのアクセス制御を設定し、プロジェクトディレクトリの中でだけ暴れられる内弁慶AIにしてやろう。

apparmor.net

ちなみにAppArmorを思い出したのはこのツイートがきっかけ。

SELinux とか AppArmor とか誰も言い出さないので禁句なのかなと思ってた。 https://t.co/7IJ7mBU1Kv

— Masami HIRATA (@msmhrt) 2025年7月3日

AppArmor インストール

いまどきのたいていのLinuxディストリビューションでは最初からAppArmorは動作しているので、インストールは不要である。

プロファイル作成

AppArmorは、バイナリごとにプロファイルというものを作成することでアクセスコントロールを発動させる。AppArmorは、バイナリに対するプロファイルを覚えており、バイナリが起動されるときに自動的にそのプロファイルを強制できる。

プロファイルを手で作ることもできるが、プロファイルの作成は、aa-genprofコマンドで行うのが簡単だ。このコマンドはバイナリの挙動を監視し、どのような場所に読み書きをしたかとか、どんなバイナリを実行したか、という情報を記録する。 最終的に、必要になった権限が記録されてプロファイルになるという寸法だ。

aa-genprofを用いてclaudeを監視させる。

% sudo aa-genprof $(which claude)
Updating AppArmor profiles in /etc/apparmor.d.
Writing updated profile for /home/windymelt/.local/share/pnpm/claude.
Setting /home/windymelt/.local/share/pnpm/claude to complain mode.

Before you begin, you may wish to check if a
profile already exists for the application you
wish to confine. See the following wiki page for
more information:
https://gitlab.com/apparmor/apparmor/wikis/Profiles

Profiling: /home/windymelt/.local/share/pnpm/claude

Please start the application to be profiled in
another window and exercise its functionality now.

Once completed, select the "Scan" option below in
order to scan the system logs for AppArmor events.

For each AppArmor event, you will be given the
opportunity to choose whether the access should be
allowed or denied.

[(S)can system log for AppArmor events] / (F)inish

この状態で、別途claudeを実行し、通りいっぺんの操作を行ったあと、終了する。

% claude
...

そしたら、aa-genprofの画面に戻ってsを押し、システムログを読込んだことを確認したらfを押下して終了する。

これでプロファイルが/etc/apparmor.d/以下に作成される。私の場合は/etc/apparmor.d/home.windymelt..local.share.pnpm.claudeに作成された:

# Last Modified: Fri Jul  4 hh:mm:ss 2025
abi <abi/4.0>,

include <tunables/global>

/home/windymelt/.local/share/pnpm/claude {
  include <abstractions/base>
  include <abstractions/bash>

  /home/windymelt/.local/share/pnpm/claude r,
  /usr/bin/bash ix,

}

プロファイル修正

このままでは、どこのディレクトリにも読み書きができてしまうので、一定量の制御をかける。今回は、プロジェクトディレクトリへの書き込みのみを許可し、それ以外のほぼ全ての書き込みを一切禁止する。また、基本的なバイナリの利用を許可する。また、/home/windymelt/.local/share/pnpm/claudeと書いてある部分をprofile my-project-claudeに変更した。これにより手動でプロファイルを指定する場合にのみ動作するようにした。

# Last Modified: Fri Jul  4 hh:mm:ss 2025
abi <abi/4.0>,

include <tunables/global>

profile my-project-claude {
  include <abstractions/base>
  include <abstractions/bash>
  include <abstractions/consoles>

  /etc/nsswitch.conf r,
  /home/windymelt/.claude.json rw,
  /home/windymelt/.claude/** rwix,
  /home/windymelt/.local/share/mise/installs/node/22.13.1/bin/node rix,
  /home/windymelt/.local/share/pnpm/claude rix,
  /home/windymelt/.local/share/pnpm/global/5/.pnpm/** r,
  /home/windymelt/自分の/プロジェクト/** rwix,
  /home/windymelt/自分の/プロジェクト/ rw,
  /home/windymelt/.config/gcloud/application_default_credentials.json r,
  /proc/version r,
  /run/systemd/resolve/resolv.conf r,
  /usr/bin/** rix,
  owner /proc/*/cgroup r,
  network tcp,

}

試行錯誤するうちに上掲のような形に落ち着いた。基本的な構文は、パス 修飾子の形である。パスにはグロブを利用でき、アクセス修飾子にはr(読込みを許可)やw(書き込みを許可)、ix(実行を許可する。プロファイルは引き継げ)などがある。

gitlab.com

プロファイルを作成したり修正した場合は、読込みが必要である:

% sudo apparmor_parser -r /etc/apparmor.d/home.windymelt..local.share.pnpm.claude

プロファイルをつけて起動する

AppArmorの起動モードには2つあって、永続的にバイナリに制限をかけるものと、オンデマンドでプロファイルを指定して起動するものとがある。今回は都度プロファイルを指定することにする。シンボリックリンクを利用すれば、永続的に制限をかけつつも、claudeを使うプロジェクトによってプロファイルを切り替える、といったことが可能なはずなので、これは読者への宿題。

一時的にプロファイルを有効化してバイナリを起動するには、aa-execを利用する:

% aa-exec -p my-project-claude -- claude

-pはプロファイルを指定するためのオプション。違うプロジェクトで利用する場合には、別途プロファイルを作成して利用できる。プロファイルにはincludeの仕組みがあるから、共通部分だけ抜き出して楽をすることもできるだろう。

すると、ホームディレクトリへの読込みができても書き込めない状態になった:

これで安心。

うまくいかなかったら

sudo aa-logprofを実行すると、直近のうまくいかなかった記録を見てインタラクティブにプロファイルを修正できるので試してみるとよい。

また、ディレクトリの中を走査する権限は/foo/bar/**でも/foo/barでも得られず、/foo/bar/に対するr権限が必要な点がちょっと注意が必要。

また、実行拒否されたログは /var/log/audit/audit.log に残るため、これを確認して不足している権限を確認できる。

まとめると

この記事では、AppArmorを利用してClaudeに対して強制アクセス制御を施行し、特定のディレクトリにしか書き込めない状況で実行することができた。また権限を与えていない場所への操作が無効化されることを確認した。