AIコーディングエージェントが依存パッケージを選ぶたびに、ソフトウェア供給網のリスクが積み上がっています。JFrogは2026年6月10日、AnthropicのClaude Code向け公式プラグインを即日公開しました。開発の最中から脆弱性スキャンやライセンス遵守、provenance(出所)検証をエージェントに組み込めるのがポイントです。
この記事でわかること
- JFrog PlatformプラグインがClaude Codeに追加する機能
- AIエージェント時代の供給網リスクとJFrogの解決策
- インストール手順と自然言語での使い方
- CursorやVS Code Copilotとの位置づけ
AIエージェントが抱える「供給網の盲点」
Claude CodeのようなAIコーディングエージェントは、依存関係の選定、ビルド、デプロイまで自律的に判断します。一方で、多くのエージェントはソフトウェア供給網の文脈を持たないまま動いています。JFrog共同創業者兼CTOのYoav Landman氏は、プレスリリースで次のように指摘しています。「AIエージェントはソフトウェア供給網の当事者だが、供給網の文脈なしに動いている。悪意あるパッケージや脆弱性、統制されていないAIアセットが本番に入り込む典型例だ」と述べています。
Anthropicも、エージェントの能力が高まるほど攻撃面が変化し続けると警告しており、エージェント固有のセキュリティ姿勢への共同投資が必要だと訴えています。JFrogの新プラグインは、このギャップを埋めるための統合です。
JFrog Platformプラグインの概要
JFrogはソフトウェア供給網プラットフォームの提供企業です。今回公開した「JFrog Platform plugin for Claude Code」は、Claude Code上で動くAIエージェントに、JFrog Platformのガバナンス機能を直接つなぐ公式プラグインです。Anthropicとの協業で開発され、全Claude Codeユーザーが即日利用できます。
プラグインの目的は、供給網を意識した「統制付きAIコーディングエージェント」を動かすことです。エージェントが消費するアーティファクトや依存関係を、開発フローの中でスキャン・選別・保護します。JFrog Platform Skillsにより、自然言語でプラットフォーム操作も実行できます。
背景には、AIコーディングエージェントが生み出すバイナリの急増があります。JFrog Platformが管理するアーティファクトは180億件超で、前年比136%増です(JFrog公式プレスリリース)。発表当日のJFrog株(NASDAQ: FROG)は2.5%上昇しました(Investing.com)。
主な機能と変更点
プラグインは、最近発表されたJFrog MCP RegistryやAgent Skills Registryと連携します。主な提供価値は次の4点です。
リアルタイムの上流ガバナンス
ガバナンス、パッケージセキュリティ、ライセンス遵守、provenance検証を、リリース後ではなくコードを書く段階で実行します。エージェントがポリシーをコード作成と同時に適用するため、手作業の引き継ぎによる遅延とリスクを減らします。
MCPとAgent Skillsの統制
MCP(Model Context Protocol)は、AIエージェントが外部ツールやデータに接続するための標準プロトコルです。プラグインはJFrog AI Catalogを通じて、エージェントが使えるMCPサーバーとAgent Skillsを許可・ブロックリストで管理します。検証済みのMCPだけを使わせ、社内データへの不正アクセスや未承認操作を防ぎます。
DevOps作業の自動化
リポジトリ管理、プロジェクトのプロビジョニング、ルーティン操作をJFrog Platform Skills経由でエージェントに任せられます。開発者は設定作業から解放され、実装に集中しやすくなります。
監査可能性の強化
ソースコミットからビルドアーティファクトまでのトレーサビリティを提供します。インシデントや監査時に、セキュリティチームが短時間で根拠を示せます。
Artifactory経由でアーティファクトを取得する際、組織のセキュリティ・コンプライアンスポリシーに基づくスキャンと検証が走ります。脆弱性スキャン、provenance検証、キュレーションチェックに加え、リポジトリ作成や権限管理といった管理タスクも自然言語で依頼できます。
インストールと使い方
前提条件はClaude CodeのインストールとAnthropicアカウントへのサインインです。CLIは npm install -g @anthropic-ai/claude-code で導入し、デスクトップアプリやVS Code・JetBrains拡張、Web版(claude.ai/code)でも利用できます。
インストール手順は次のとおりです。
- Claude Code内で
/plugin marketplace update claude-plugins-officialを実行し、公式マーケットプレイスを更新する - ターミナルで
claude plugin install jfrogまたはclaude plugin install jfrog@claude-plugins-officialを実行する - Claude Codeの
/pluginsのInstalledタブで、JFrogプラグインがバージョン0.1.1以上であることを確認する
認証後は、いつも通り自然言語でClaude Codeと対話します。JFrogに関連するリクエストはプラットフォーム経由で処理されます。Anthropicのプラグインページでは、次のようなプロンプト例が紹介されています。
- 「package-nameのX.Y.Zへのアップグレードは安全か」
- 「過去7日間のキュレーション監査イベントを表示して」
- 「repo-nameのartifact-nameを生成したビルドはどれか」
- 「インストール可能なMCPはどれか」
- 「新規プロジェクトを作成し、ローカルNPMリポジトリを用意して」
複数ステップのワークフローも可能です。例えば「利用可能なリポジトリを表示し、repo-nameからpackage-nameをダウンロードして脆弱性を確認して」と依頼できます。
企業向けには、Claude.ai管理コンソールのManaged Settingsで組織全体にプラグインを強制適用する方法も用意されています。JFrog Agent Guardプロキシ経由でMCPを制限し、開発者が個別にポリシーを上書きできない運用が可能です。
他のAIコーディング環境との関係
JFrogは単一のエージェントに縛られない方針を打ち出しています。Claude Code向けプラグインに加え、CursorやVS Code Copilot向けのエージェントネイティブプラグインもサポートします。3層構造で接続します。
- JFrog Platform Skills: 脆弱性スキャンやprovenance検証など、ドメイン固有の操作を自然言語で実行
- JFrog MCP Tools: セキュリティ・コンプライアンス・アーティファクトデータへの標準化されたアクセス
- エージェントネイティブプラグイン: 各IDEやエージェント環境にJFrog Platformを直接組み込む
どのエージェントを選んでも、ガバナンスとprovenance、セキュリティが開発者に追従する設計です。Claude Codeユーザーにとっては、Anthropic公式マーケットプレイスからワンコマンドで導入できる点が実務上のメリットになります。
導入を検討する際の注意点
プラグイン自体は全Claude Codeユーザーが無料で入手できますが、JFrog Platformの機能をフルに使うには、組織がJFrogのSaaSまたはセルフホスト環境を運用している必要があります。MCP統制やAgent Guardの活用は、エンタープライズ向けの設定作業を伴います。
AIエージェントに供給網の文脈を与えることで、開発速度とセキュリティのトレードオフを緩和する試みです。Claude Codeで本番向けコードを書くチームは、依存関係の選定段階からJFrogのポリシーを通す導入を検討する価値があります。