何が起きたか
2026年6月23日に発表され、GAは6月29日に予定されているSnyk Evo ADSは、エージェント実行ループ内に3層の強制プレーンを追加します。(1)エージェントサプライチェーンセキュリティ — MCPサーバー、スキル、および外部ツールを発見およびスキャンしてプロンプトインジェクションと悪意のあるパターンを検出してからエージェントが接触する前に検出します。(2)ランタイム動作ガバナンス — リアルタイムポリシー強制でエージェントの破壊的なアクションを実行前にブロックします。(3)信頼できる出力 — 作成時にAIが生成したコードの脆弱性をスキャンします。約9,700の開発者環境にわたるSnyk独自のテレメトリは、50%以上がライブMCPサーバー接続を持っており、1/12が高/重大な検出結果を持っていることを示しています。
なぜ重要か
これは、エージェント実行ライフサイクル全体を管理する主要なDevSecベンダーからの最初のGA軌道製品です。エージェントが取得するツールから、ランタイムで何を実行するか、そして配布するコードまでです。今週生成されたCVEの波を生じさせたMCPサプライチェーン攻撃の表面に直接対処し、APIゲートウェイと静的スキャナーが対応できないギャップを埋めます。
適用範囲
AI コーディングエージェント(Claude Code、Copilot、Cursor、Codex、Windsurf)を展開しているDevSecOpsおよびAppSecチームは、6月29日のGA前に評価する必要があります。開発者環境にMCPサーバーがあるエンタープライズにとって特に緊急です。