2つのチャネル、2つの攻撃対象領域
開発者はAIを2つの場所で使います。それぞれの場所でデータの流れが異なります。それぞれに異なるセキュリティコントロールが必要です。
IDE統合AI — Cursor、GitHub Copilot、VS Code拡張機能、Claude Desktopはプロジェクトを読み取ることができます。コードファイル、設定ファイル、環境変数はすべてアクセス可能です。AIモデルは、開発者が貼り付けたものやクライアントがプロジェクトコンテキストから取得したものを受け取ります。
ブラウザベースAI — Claude.ai、ChatGPT、GeminiはWebブラウザで動作します。開発者はブラウザのテキストフィールドを通じてコード、スタックトレース、エラーメッセージを貼り付けます。テキストはAIプロバイダーのサーバーに直接送信されます。間にフィルターはありません。
どちらのチャネルも機密データをAIプロバイダーに公開します。どちらもコントロールが必要です。しかし、各チャネルに適したコントロールは異なります。一方のチャネルのみをカバーするチームは、開発者のワークフローの半分しか保護していません。
IDEレイヤー:MCPサーバー
Claude DesktopとCursorのユーザーには、Model Context Protocol(MCP)が適切なセキュリティレイヤーです。
MCPはAIクライアントとAIモデルAPIの間に位置します。MCPサーバーは、そのインターフェースを流れるすべてのデータがモデルに到達する前に処理します。
この位置により、3つのことが可能になります:
キーとシークレットの除去 — APIキー、データベース接続文字列、認証トークン、内部URLが検出され、送信前に安全なトークンに置き換えられます。モデルは実際のキー値の代わりに[API_KEY_1]を受け取ります。
カスタムコードパターン — チームは、内部製品コード、顧客ID、サービス名のカスタム検出ルールを追加できます。標準のPIIツールはこれらのパターンを知りません。カスタムルールは、データが組織を離れる前にMCPサーバーで実行されます。
開発作業への影響なし — 開発者は以前とまったく同じようにCursorまたはClaude Desktopを使用します。MCPサーバーはクライアントとAPIの間で動作します。開発者は変化を感じません。同じAI支援を受け続けます。
GitHub Octoverse 2024では、GitHubで3,900万件のシークレットが漏洩したことが記録されました — 前年比25%増です。これらの漏洩を引き起こす習慣は、IDE AIの漏洩も引き起こします。認証情報はコミットされたコードに含まれます。貼り付けられたコンテキストにも含まれます。MCPサーバーのインターセプションは、同じパターンのAIチャネルをカバーします。
ブラウザレイヤー:Chrome拡張機能
ブラウザベースのAI — Claude.ai、ChatGPT、Gemini — にはChrome拡張機能が適切なコントロールです。
拡張機能は各AIプラットフォームでコンテンツスクリプトとして動作します。開発者が送信する前にテキストを読み取ります。設定した機密コンテンツ — 名前、シークレット、コードパターン — を検出し、テキストがAIプロバイダーに到達する前にマスクします。
2つのレイヤーは異なるチャネルをカバーします:
MCPサーバーがカバー — Claude DesktopまたはCursorを通じたすべてのAI使用。コードレビュー、デバッグセッション、プロジェクトコンテキストのクエリはすべてこのレイヤーを通ります。
Chrome拡張機能がカバー — ブラウザでのすべてのAI使用。Claude.ai、ChatGPT、Gemini、Perplexity、およびブラウザ内の他のAIインターフェース。IDEを通さずにドキュメント作業や質問にブラウザAIを使用する開発者も含みます。
統合カバレッジの実際
両方のレイヤーを導入した開発チームは完全なカバレッジを得られます。実際にどのように機能するかを見てみましょう。
ある開発者がCursorとClaudeを使って本番環境の問題をデバッグします。MCPサーバーはClaudeがスタックトレースを見る前にシークレットを除去します。キーは送信されません。
同じ開発者がアーキテクチャの質問のためにブラウザでClaude.aiを開きます。内部サービスURLを含めてしまいます。Chrome拡張機能は送信前にURLを除去します。内部URLはClaudeに到達しません。
同僚がドキュメントのサポートにChatGPTを使用します。APIキーを含むコードを貼り付けます。Chrome拡張機能はOpenAIに送信される前にキーをキャッチします。キーは公開されません。
どちらのチャネルもシークレットや機密コードをAIプロバイダーに公開しません。どちらの開発者も実際の作業にAIを使用できます。セキュリティチームは両方のチャネルに技術的なコントロールを持っています — ポリシーのルールだけではありません。
CVE-2024-59944はより広いパターンの一例を示しています。インターセプトレイヤーのない開発者AIツールは漏洩チャネルです。2レイヤーモデルはそのリスクへの直接的な対応です。
関連記事:本番環境でのAIコーディングアシスタントPII漏洩
なぜ1つのレイヤーでは不十分か
一部のチームはブラウザAIをブロックし、IDEツールのみに依存します。他のチームはブラウザAIを許可しますが、IDEをカバーしません。どちらのアプローチもギャップを残します。
職場でCursorを使用する開発者は、簡単な質問のためにブラウザタブでChatGPTを開くこともあります。IDEのみのコントロールはそれをキャッチできません。ブラウザのみのコントロールはIDEセッションをキャッチできません。実際の開発者の一日では、両方のチャネルがアクティブです。
2レイヤーモデルは両方をカバーします。開発者がどちらかのチャネルを避けることに依存しません。両方の場所でサイレントに動作します。
anonym.legalは両方のレイヤーを提供します:IDE統合AIのためのMCPサーバーと、ブラウザベースAIのためのChrome拡張機能。どちらも同じ検出エンジンで動作します — 285以上のエンティティタイプ、48言語、可逆暗号化。