AIコーディングエージェントの姿勢チェック · あなたのマシンで動く

あなたのAIコーディングエージェントは、今無防備ですか?

Claude Code・Codex・Cursor・Gemini CLI は、あなたがめったに開かない設定ファイルの中で 「何を許可されているか」を決めています。Sigil はその設定ファイルを代わりに読み取り、サンドボックス・ 権限・フック・MCP サーバーのリスクをスコア化します。実行はコマンド一つ、あなたのマシンの中だけで 完結し、アカウントもデータ送信も必要ありません。

$ curl --proto '=https' --tlsv1.2 -fsSL https://raw.githubusercontent.com/Ju571nK/sigil/main/install.sh | sh
macOS · Linux · Windows  ·  Apache-2.0  ·  Rust 単一バイナリ  ·  テレメトリなし
~/dev — sigil
$sigil scan  # read-only · no daemon
scanning agent config on this host…
overall CRITICAL 8.2 · 7 tools · 14 findings
claude-codeuser-global8.2CRITICAL
codexuser-global5.6HIGH
cursorapplication2.5MEDIUM
antigravityuser-global0.0LOW
claude-code · no_sandbox · broad_matcher · mcp_server_local_command  ·  sigil scan --json for detail
何を読むか

エージェントにできることを決めるのは、この“面”だ

コマンドが動くのは、何らかの設定がそれを許したからです。Sigil はその設定、つまり 攻撃者が探るのと同じガード面を、あなたが実際に使うすべてのAIコーディングエージェントでスコア化します。

詳しく読む:AIエージェントの本当の攻撃面は設定ファイル →
サンドボックス境界

そもそもサンドボックス内で動いているか、それとも切られてホスト全体に手が届くか。

flags no_sandbox
ツール権限

広すぎる許可ルールと、確認なしでエージェントを動かす暗黙の auto-approve。

flags broad_matcher · auto_approve
フック

ワイルドカードのマッチャーや、破壊的なインラインコマンドを持つ PreToolUse フック。

flags destructive_in_inline_command
MCP サーバー

自動実行に設定されたプロジェクト単位の mcp.json、あるいはリモート/シェル起動型のサーバー。

flags auto_execute · remote_mcp
指示ファイル

エージェントを脱線させるために指示ファイルへ仕込まれたプロンプトインジェクション。

flags prompt_injection
変更のたびに再採点

好きなときに実行、あるいはデーモンを常駐。0/low のきれいなリポジトリも、危険なフックが入った瞬間に跳ね上がる。

claude-code · codex · cursor · gemini · antigravity · continue
測る。
ブロックはしない。

Sigil はあなたの邪魔をせず、コマンドに割り込みもしません。姿勢を読み取り、行動につながる数値を返すだけです。 ブロックはオプトインで、既定ではオフ。だからエージェントは止まりません。

EDR は実行されたコマンドを見る。 Sigil は、それを許した権限を見る。
一人、複数マシン

Mac mini を何台も並べてエージェントを回している? それはもう fleet だ。

Claude Code や Codex を複数のマシンで無人稼働させているなら、それぞれに固有の姿勢があり、 手作業では全部を見張れません。同じスキャンがマシンをまたいで集約され、どのホストが最も危険でなぜかを 一つのビューで示します。

9.5
mini-01
4.0
mini-02
1.0
mini-03
7.5
mini-04
0.5
laptop
fleet ダッシュボード sigil-manager を見る →

コマンド一つで、わかる。

無料・オープンソース。データを送信することは一切ありません。

GitHub で Sigil を入手 インストールガイドを読む X でシェア