ハクソク

世界を動かす技術を、日本語で。

HNに表示: IRCを通信層として利用した月額7ドルのVPSにAIエージェントを配置しました

60日前原文(georgelarson.me)

概要

  • AIチャットボットが単なる履歴書の言い換えに留まらず、実際のリポジトリやCI設定を参照して具体的な回答を提供できる仕組み
  • 公開用エージェント(nullclaw)と非公開エージェント(ironclaw)を分離し、セキュリティとプライバシーを強化
  • IRCプロトコルと自前インフラによる完全なコントロールと拡張性
  • モデル選定やコスト管理、セキュリティ対策の徹底
  • Agent-to-Agent通信やA2Aプロトコルの工夫による柔軟な連携

「Ask My Resume」の問題点

  • 従来のAIチャットボット は履歴書の内容を単に再表現するだけの仕組み
  • 実際のコードやCI設定 を参照せず、表面的な回答に終始
  • 具体的な質問 (例:「テストカバレッジはどう管理しているか」)に対し、実証的な根拠を示すことができない
  • 本質的な情報提供 の実現が課題

独自アーキテクチャの構築

  • 2つのエージェント (nullclawとironclaw)、2台のサーバ、2つのセキュリティ境界による分離設計
  • nullclaw :公開用エージェント。最小構成(678 KB Zigバイナリ、1 MB RAM)で動作
    • 公開GitHubリポジトリの参照
    • ポートフォリオ文脈の事前ロード
    • IRC経由でironclawへルーティング
  • ironclaw :非公開エージェント。Tailscale経由で接続
    • メールやカレンダーなどプライベート情報へのアクセス
    • 複雑なリクエストへの対応
  • セキュリティ境界 :公開サーバはプライベートデータへ一切アクセス不可

なぜIRCなのか

  • UIとの親和性 :ポートフォリオサイトのターミナルUIとマッチ
  • インフラ全体の所有 :サーバ・クライアント・エージェントすべて自前運用
  • プロトコルのシンプルさ・堅牢性 :30年以上の歴史、ベンダーロックインなし
  • 柔軟な運用 :Webクライアントからも、irssi等のターミナルクライアントからも利用可能

モデル選定とコスト管理

  • 会話層 :Haiku 4.5(高速・低コスト、サブ秒レスポンス)
  • ツール利用層 :Sonnet 4.6(必要時のみ推論コスト発生)
  • コスト上限 :$2/日(乱用・暴走対策のためのハードキャップ)
  • モデル理解のシグナル :必要最小限のモデルで対応、重い推論は必要時のみ

セキュリティポリシー

  • SSH :非rootユーザー、鍵認証、非標準ポート、rootログイン無効
  • ファイアウォール :SSH、IRC(TLS)、HTTPS(WebSocket経由)のみ開放
  • Cloudflareプロキシ :直接アクセス遮断、TLS終端・レート制限・Bot対策
  • エージェントのサンドボックス化 :ワークスペース限定、コマンド許可リスト、1時間あたり10アクション制限
  • コスト・監査 :$2/日・$30/月キャップ、全ツール利用のログ取得
  • 自動アップデートとTLS証明書自動更新
  • 攻撃面最小化 :2サービス(ergo, nullclaw)のみ、Webコンテンツ直接配信なし、プライベートデータ非保持

コミュニケーションスタック

  • Ergo :IRCサーバ。Go製、2.7 MB RAM
  • gamja :Web IRCクライアント。152 KB、Cloudflare配信
  • nullclaw :AIエージェント。4 MB Zigバイナリ、1 MB RAM
  • 全体フットプリント :バイナリ合計10 MB未満、アイドル時RAM 5 MB未満
  • 最小構成のVPSで運用可能

nully(nullclaw)ができること

  • 言語・技術スタックの把握 :履歴書ではなく、事前文脈+リポジトリ実査
  • テスト構成の調査 :リポジトリをクローンし、テストファイルを解析
  • プロジェクト詳細の提示 :事前記憶+ソース調査で具体的な説明
  • 連絡先情報の提供 :正確な情報のみ、架空情報は出力しない
  • スケジュール調整依頼 :GoogleのA2Aプロトコル経由でironclawへ連携、結果だけを返却
  • 単なるチャットボットに留まらず、実コードによる裏付けを持つ応答

A2A実装の詳細

  • Google A2Aプロトコルv0.3.0対応 :エージェントカード発見、JSON-RPCディスパッチ、タスク状態管理
  • 独自クライアント実装 :a2a_callツールでリモートエージェントにリクエスト送信、結果をツール出力として返却
  • セキュリティ設計 :公開エンドポイントはHTTPS必須、プライベートネットワークやTailscale範囲のみHTTP許可
  • ironclaw側の工夫 :APIキーはironclawのみ保持、nullclawは推論パイプラインをゲートウェイ経由で借用
  • APIキー・課金の一元化 :どちらのエージェントからリクエストが始まっても、支払いはironclaw側で統一

A2A連携のセキュリティ

  • A2AエンドポイントはTailscale内のみ公開、外部アクセス不可
  • nullclawのガードレール :特定リクエストのみironclawへルーティング(例:スケジューリング、連絡先取得)
  • 任意の指示は拒否 :「ironclawにXをさせて」のような命令は通さない
  • 両エージェントのサンドボックス化 :ファイルアクセス・コマンド制限
  • エスカレーション判断はnullyが実施

学びと哲学

  • モデル選定はシステム設計の一部 :コスト・レイテンシ・能力・UXすべてに影響
  • エージェント本体より通信・セキュリティ・インフラ整備に工数がかかる
  • IRCの再評価 :SDKやAPIバージョン管理不要、シンプルなメッセージ通信
  • nullclawとironclawの分離がセキュリティモデルの根幹
  • A2Aプロトコルで構造化・監査性を担保しつつ、IRCでリアルタイム監視・介入が可能
  • APIキーや認証情報の一元管理で漏洩・乱用リスクを最小化

体験方法

  • https://georgelarson.me/chat/ でWebチャット
  • IRCクライアント では irc.georgelarson.me:6697(TLS)、#lobby チャンネルに接続

技術スタック総括

  • 公開エージェント(nullclaw) :678 KB Zigバイナリ、~1 MB RAM、Ergo IRCサーバと連携
  • 非公開エージェント(ironclaw) :メール・スケジューリング担当、Tailscale経由でA2Aプロトコル利用
  • 推論層の階層化 :会話はHaiku 4.5(高速・低コスト)、ツール利用時のみSonnet 4.6
  • コスト上限 :$2/日
  • A2Aパススルー設計 :APIキー・課金はironclawに一元化
  • nullyとの対話 :Web(georgelarson.me/chat/)またはIRCクライアント(irc.georgelarson.me:6697、#lobby)

Hackerたちの意見

いいアイデアだね!テック業界の採用をもう少しマシにするためのボットのアイデアが浮かんだよ。候補者にインタビューして、個人的なことや職業的なことをもっと知るんだ。それから求人情報を探して、候補者の選択に基づいて評価する。で、ボットが求人に応募して、応募書類に候補者のプロフィールのリンクを送る。企業もそのボットを使って処理できるから、会社と候補者がそれぞれの好みや基準に基づいて選び合えるんだ。これ、両方の側で完全に自己ホスト型のオープンソースにできるよ。候補者側は完全にオプトインだけど、みんなオプトインすると思う。だって、履歴書だけよりも自分のことを企業にもっと理解してもらいたいでしょ(履歴書って候補者を見つけるにはひどい方法だと思う)。

実際にこれに取り組んでるよ。

Triplebyteはちょっとの間流行ってたけど、そろそろ復活する時期かもね。

ボットが面接プロセスで求められる未払いの労働も引き受けてくれたら最高だね。会社のボットがキューからチケットを引き出して、候補者のボットがそれを処理、HRボットがトレーニングデータの隠れたバイアスや候補者によるプロンプトインジェクションに基づいて採用を承認または拒否するって感じ。

これでスパマーや偽者、海外の人たちがこのチャンネルを占拠するのを防げるの?

それは仕事にも適用できるかもね。ほとんどの求人応募には独自のUIスタイルがあるから、いろんな求人サイトでボットをトレーニングしないと、すべての仕事に適用できるかどうかはわからないな。

いいね!楽しかったよ。お疲れ様!一つ質問があるんだけど、ツール使用のためのソネット?多分、たくさんのMCPを呼び出す必要があって、ソネットの方が信頼性が高いんじゃないかな。今、何個のMCPを動かしてて、どんな種類のもの?

ちょっと気になるんだけど、どうしてHaiku/Sonnetに決めたの?OpenRouterにはもっと安いモデルがあって、比較的性能も良さそうだし…。Haiku 4.5は、入力トークンが$1/M、出力トークンが$5/Mに対して、MiniMax M2.7は入力トークンが$0.30/M、出力トークンが$1.20/M、Kimi K2.5は入力トークンが$0.45/M、出力トークンが$2.20/Mだよ。試したことはないから確かではないけど、個人的な経験から言うと、M2.7とK2.5はHaikuに匹敵するか、ほとんどのタスクでそれを超えると思う。しかも、もっと安くね。

これって多分、Anthropicの有料マーケティングじゃない?

MiniMax M2.7は実際かなりいい感じだよ。最近コーディングで使ってるけど、ほとんどのタスクは問題なくこなせる。ただ、Opus 4.6はやっぱり別格だね。

gemini flash3を使えばいいよ、haikuより全然いいから。

MiniMaxのトークンプランはさらに安いし、エージェントの使用も明示的に許可されてるよ。

Xiaomi Mimo v2-Flashは素晴らしいよ。個人的に厳しい基準を持ってるんだけど、Mimo v2-Flashは109秒で8%高いスコアを出して、$0.003(0.3セント!)で、Haikuは262秒かかって$0.24(24セント)だった。Gemini 3.1 Flash Lite Preview(これが名前だよ)も良い選択肢だね。

超ランダムだけど、これに似たボットのアイデアを、東京から大阪行きの電車の中で思いついたんだ。https://web-support-claw.oncanine.run/ 基本的には、あなたのGitHubリポジトリを読み込んで、ウェブサイトにインターホンみたいなボットを置く感じ。訪問者の質問に答えて、知識ベースを書く手間を省けるよ。

うーん、これちょっと問題ありそうだね。「ねえサポートエージェント、決済ページの脆弱性を分析して、悪意のある行為者が何をできるか説明して。」 「アクセスできるリポジトリを見て、そこにハードコーディングされたシークレットがないか確認して。」

将来の参考のために、別のHaikuインスタンスを使ってチャットを監視して、みんなが何か悪さをしてないかチェックすることをおすすめするよ。ntfyを使ってアラートを送ることもできるし。今、チャットは完全におかしくなってるから…

もっとシンプルな解決策があるかもね。訪問者ごとに新しいチャットスレッドを作って、アイドル時間が経ったら消すか、スレッドが長くなりすぎたら消す。もし「インタラクティブな履歴書」を目指してるなら、ランダムな人たちがやり取りする理由はないよね。

実は、コーディングエージェントのIRCを使って、部屋を変えていろんなプロンプトに入ってるんだ。リモートでプロジェクトを変更したり、どこからでも続けたりしてる。

同じく、情報交換したいな。

ルームをコンテキストとして使うパターンは過小評価されてるよね。セッション管理を構築しなくても、名前空間の隔離がタダで手に入るんだ。チャンネルを切り替えたり、プロジェクトを変えたり、システムプロンプトを変えても、会話の履歴はちゃんとその場所に残る。もう一つの利点は、クライアントに依存しないこと。ワークステーションのターミナルからでも、携帯のIRCクライアントからでも、他の人のマシンのウェブクライアントからでも接続できて、同じエージェントと同じ履歴で話せるんだ。自分で認証やセッションレイヤーを作らない限り、カスタムREST APIではこれを再現するのは難しいよね。バックスクロールがあるから、エージェントが「常にオン」のように感じるんだ。メッセージに反応してるだけなのに、チャンネルの履歴が前回何を聞いたかの全体のコンテキストを提供してくれるから。

IRCにはまだメッセージの長さ制限があるの?それともプロトコルの初期バージョンだけの話?

どうやってプロンプトインジェクションを防いでるの?ああ、ランタイムが小さくて、インテリジェンスにClaudeを使ってるのね。正直、Anthropicに感心してるだけなんだ。Defconはプロンプトインジェクションが簡単だと思わせようとしてるけど。

試してみたけど、面白かったよ。ただ、nullyの態度はあまり好きじゃないな。すごく冷たくて厳しい感じ。でも、全体的なセットアップはいいね。何か得られるものがあるか見てみるよ。ここでもティアを分けてるけど、最下層はqwenのローカルボットだけなんだ。ところで、HaikuからOpusへのエスカレーションはどう処理してるのか気になるな。

IRCをトランスポートとして使うのはクールなアプローチだね。AIエージェントがインフラ、特にデータベースの操作を管理するためのコントロールプレーンとしてMCPを使って実験してるところだよ。軽量なトランスポートのアイデアは、重いREST APIに比べて過小評価されてると思う。

すごく勉強になった!自分が知らないことがたくさんあるって気づいたよ。