Skip to content
← ブログ
エンジニアリング

すべてのAIプラットフォームがエージェントにコード実行を許可しています。管理者が承認できるのは1つだけです。

AIエージェント向けのコード実行はコモディティ化しています。差別化要因はエージェントがコードを実行できるかどうかではありません。誰がどのコードを実行するかを決めるかです。

JT
JieGou Team · · 1 分で読めます

AIエージェントがコードを実行できるようになりました。Anthropicはサンドボックスランタイムを提供しています。OpenAI Codexは分離されたワークツリーを提供しています。E2BとModalは専用のサンドボックスインフラを提供しています。AIエージェント向けのコード実行はどこにでもあります。

しかし、誰も問いかけていない質問があります:AIエージェントが実行するコードを誰が承認しますか?

リスクの表面

AIエージェントがコードを実行すると、以下のことが可能です:

  • アクセスすべきでないデータにアクセスする
  • 合理的な範囲を超えたリソースを消費する(CPU、メモリ、ネットワーク)
  • 本番システムに影響を与える副作用を生み出す
  • ネットワーク呼び出しや出力チャネルを通じて情報を流出させる
  • 規制データを承認されていない方法で処理してコンプライアンス要件に違反する

開発者のサンドボックスでは、これらのリスクは管理可能です。規制データ、顧客PII、コンプライアンス義務のあるエンタープライズ本番環境では?致命的です。

競合他社のコード実行の扱い方

Anthropicのサンドボックスランタイム

Anthropicはベータでサンドボックスランタイムを提供しています — コンテナのオーバーヘッドなしのファイルシステムとネットワークの分離。開発者ワークフロー向けに設計されています:コードを実行し、結果を確認し、反復します。管理者承認ゲートはありません。サンドボックスを実行する開発者が、どのコードを実行するかを決めます。

OpenAI Codex

OpenAI Codexは、分離されたワークツリーとレビュー可能なdiffを持つ並列エージェントを提供しています。コード生成とレビューのための開発者ツールです。分離はワークツリーレベルです — 各エージェントが独自の作業ディレクトリを取得します。エンタープライズ管理者承認ワークフローはありません。

E2B、Modal、サンドボックスプロバイダー

E2B、Modal、同様のサービスは汎用のサンドボックス実行環境を提供しています。ガバナンスではなくインフラです。ホストシステムからコード実行を分離しますが、そもそもどのコードを実行するかを承認するメカニズムは提供していません。

ガバナンスギャップ

これらのソリューションはすべて「どのようにコードを安全に実行するか?」という質問に答えています。より難しい質問「誰がどのコードを実行すべきか決めるか?」には答えていません。

エンタープライズの文脈では、答えは「AIエージェントが決める」でも「開発者が決める」でもありません。「管理者が決める」です。コンプライアンス、セキュリティ、運用リスクに責任を持つ人は、以下が必要です:

  1. AIエージェントが利用可能なコードテンプレートをレビューする
  2. エージェントが使用する前に新しいコードテンプレートを承認する
  3. 完全な入出力ログですべてのコード実行を監査する
  4. リソース消費(CPU時間、メモリ、出力サイズ)を制限する
  5. コードテンプレートが問題を引き起こした場合に承認を取り消す

JieGouのアプローチ:ガバナンス付きコード実行

JieGouのコードステップは、コード実行を開発者サンドボックスではなくガバナンス付きワークフローステップとして扱います。仕組みは以下の通りです:

管理者コード承認

AIエージェントがコードテンプレートを実行する前に、管理者が承認する必要があります。コードテンプレートはレビュー、テストされ、承認済みパレットに追加されます。エージェントは承認済みテンプレートからのみ選択できます — 任意のコードを書いて実行することはできません。

リソース制限付きV8サンドボックス

コードは設定可能な制限付きのV8アイソレートで実行されます:

  • CPU時間:最大実行時間(デフォルト:5秒)
  • メモリ:最大ヒープサイズ(デフォルト:128 MB)
  • 出力サイズ:最大出力ペイロード

コードテンプレートがいずれかの制限を超えると、実行は即座に終了します。

監査ログ

すべてのコード実行が以下とともに記録されます:

  • 誰がコードテンプレートを承認したか
  • どのような入力が提供されたか
  • どのような出力が生成されたか
  • 実行にどれだけの時間がかかったか
  • どれだけのメモリが消費されたか

これにより、コンプライアンスレビューのための完全な監査証跡が作成されます。

ガバナンス統合

コードステップはJieGouの10層ガバナンススタックに適合します。以下を遵守します:

  • 段階的自律性:「監視」モードでは、コードステップは実行ごとの承認が必要
  • RBAC:適切な権限を持つユーザーのみがコードテンプレートを作成または承認可能
  • 部門スコーピング:コードテンプレートを特定の部門にスコープ可能

誰にとって重要か

組織でAIエージェントのコード実行の承認を求められているCISOまたはコンプライアンスオフィサーの方は、プラットフォームベンダーに以下の質問をしてください:

  1. エージェントが使用する前にコードテンプレートをレビューして承認できますか?
  2. コード実行は完全な入出力監査証跡とともにログされますか?
  3. コード実行にリソース制限を設定できますか?
  4. コードテンプレートの承認を取り消せますか?
  5. コード実行は既存のガバナンスフレームワークと統合されますか?

これらのいずれかの答えが「いいえ」なら、ガバナンス付きコード実行ではありません。誰かが本番に入れようとしている開発者サンドボックスです。

結論

問題はAIエージェントがコードを実行できるかどうかではありません。今やすべてのプラットフォームがそれを提供しています。問題は誰がどのコードを実行するかを決めるか — そしてその決定を責任を持って行うためのガバナンスコントロールがあるかどうかです。

JieGouのガバナンススタックについて詳しく学ぶまたはガバナンス評価を受けるで、現在のセットアップがどのように比較されるかを確認してください。

code-execution governance security enterprise

Explore more

📖 What is AI Governance? ⚙️ Governance Score ⚙️ Enterprise Plan 🏢 Engineering Department
この記事をシェアする

関連記事

MCP ガバナンス:なぜ10層が1層に勝るのか

Microsoft、OpenAI、Zapier、JieGou はすべて MCP を介して AI をツールに接続します。10層ガバナンスを提供しているのは1社だけです。なぜそれがエンタープライズ AI 導入にとって重要なのかを解説します。

エージェント脅威検出 — 現実世界でアクションを実行するAIのセキュリティ

本番AIエージェントは任意の入力を受け取り、ツールを使い、アクションを実行します。JieGouの4つのインライン脅威検出器 — プロンプトインジェクション、データ流出、権限昇格、リソース悪用 — は実行中に攻撃をブロックします。

MCPはどこにでもあります。MCPガバナンスはありません。

誰もがMCPツールを接続します。誰もガバナンスしません。JieGouの3層MCP認証 -- Verified、Certified、Enterprise-Ready -- がMicrosoft、Zapier、Googleが放置しているガバナンスギャップを埋めます。

この記事はお役に立ちましたか?

ワークフローのヒント、製品アップデート、自動化ガイドをメールでお届けします。

No spam. Unsubscribe anytime.

← すべての記事に戻る