AIの話をしていると、つい「どれだけ賢くなったか」に目が行きます。
文章がうまい。コードが書ける。資料を読める。複数のツールを使える。たしかに、それはすごいことです。でも、AIがagentとして動き始めると、もっと地味で、もっと大事な問いが出てきます。
それは、「そのAIに、どこまでやらせるのか」です。
AnthropicがClaude周辺で進めているtool permission制御や、Claude Codeのauto mode、Managed Agentsのような流れを見ると、AI開発の重心が少し変わってきたように感じます。これから重要になるのは、「何を生成できるか」だけではなく、「どこで止まれるか」「どこから先は人間に聞くか」という設計です。
これは、けっこう生活に近い話です。家の鍵を誰に渡すか、職場の共有フォルダをどこまで開けるか、子どもに包丁を持たせるときに何を教えるか。便利な道具ほど、使い方だけでなく、境界線が大事になります。
Claudeのtool permissionが示していること
Anthropicの公式情報では、Claude Codeのauto modeについて、すべてを自動許可するのではなく、安全な操作、確認が必要な操作、止めるべき操作を分ける考え方が示されています。
たとえば、ファイルを読む、コードを検索する、計画を立てるといった比較的安全な行為と、ファイルを削除する、外部サービスに情報を送る、認証情報を探しにいく、検証を飛ばして実行する、といった行為は同じではありません。
ここが大事です。
AIが「やれそうだからやる」のは、人間から見るとかなり怖い。本人は親切のつもりでも、勝手に机の引き出しを開けて、書類を整理して、ついでに古そうなものを捨ててしまうようなものです。善意でも困ることがあります。
「賢いAI」より「止まれるAI」
これまでAIの性能は、答えの質や処理速度で語られることが多かったと思います。
でもagent化が進むと、AIは文章を返すだけでは済まなくなります。ファイルを読む。コードを書く。外部APIを呼ぶ。ブラウザを使う。社内データに触れる。チケットを更新する。場合によっては、実際の業務フローを動かす。
そうなると、必要なのは「何でもできるAI」ではありません。
むしろ、「できるけれど、勝手にはやらないAI」です。
人間でもそうです。仕事ができる人ほど、確認すべきところで確認します。強い人ほど、力の使いどころを選びます。AIも同じで、能力が上がるほど、ブレーキの設計が価値になります。
権限は、小さな鍵束のようなもの
tool permissionは、少し大げさに聞こえますが、生活に置き換えると鍵束に近いです。
玄関の鍵、車の鍵、金庫の鍵、職場の鍵。全部をひとまとめにして、誰にでも渡す人はあまりいません。用事に応じて、必要な鍵だけ渡す。それが普通です。
AIにも同じ感覚が必要になります。
メールを読めるAIに、送信まで許すのか。ファイルを編集できるAIに、削除まで許すのか。社内データを検索できるAIに、外部共有まで許すのか。ここを曖昧にすると、「便利だったはずのもの」が、急に落ち着かない道具になります。
agent化で怖くなるのは、回答ミスだけではない
AIのリスクというと、まず思い浮かぶのは「間違った答えを出すこと」かもしれません。
もちろん、それも大事です。けれどagentの場合、問題はもう少し踏み込みます。間違った答えだけでなく、間違った行動をする可能性が出てきます。
しかも、AIは疲れません。ためらいもありません。指示を受けると、良くも悪くもまっすぐ進もうとします。
人間なら「これ、勝手に消していいのかな」と一瞬止まるところを、AIが「古いファイルの整理」と解釈して削除しにいく。人間なら「この情報、外に出していいんだっけ」と気にするところを、AIがデバッグのために外部サービスへ送ろうとする。
そういうことが起きないように、権限の境界を先に作っておく必要があります。
長時間実行するAIには、生活臭いリスクがある
AIが短い質問に答えるだけなら、問題が起きても会話の中で止められることが多いです。
でも、AIが長時間動くagentになると話が変わります。朝に指示して、昼まで作業する。複数のツールをまたぐ。途中で判断する。エラーが出たら別の方法を探す。こうなると、AIはだんだん「作業者」に近づきます。
作業者には、権限が必要です。
ただし、権限を広げすぎると、事故の範囲も広がります。これは会社だけの話ではありません。個人でも、クラウドストレージ、メール、家計簿、写真、SNS、予定表など、AIに触らせると便利なものはたくさんあります。
だからこそ、「便利だから全部つなぐ」は、少し雑です。
財布を机の上に置いたまま、玄関も開けっぱなしにして、「でも家族だから大丈夫」と言っているようなものです。信頼と無防備は、似ているようで違います。
組織で差が出るのは導入速度より制御設計
今後、AIを導入する会社はさらに増えると思います。
ただ、差がつくのは「どのAIを入れたか」だけではないはずです。むしろ、「どの業務に、どの権限で、どこまで任せるか」を決められる組織が強くなります。
これは地味です。派手なデモ動画にはなりにくい。でも、現場ではかなり効きます。
誰が承認するのか。ログは残るのか。外部送信は止められるのか。削除や課金や公開を伴う操作は、人間確認を挟むのか。ミスが起きたときに戻せるのか。
こういう設計がないままAIを広げると、最初は便利でも、あとで現場が怖がります。人間は、コントロールできない道具を長く信頼できません。
OpenAIとAnthropicの流れは、同じ方向を向いている
OpenAIのAgents SDKやResponses APIの流れを見ても、AIは「一問一答のモデル」から、「toolを使い、状態を持ち、複数ステップの仕事を進める仕組み」へ寄っています。
Anthropicも、Claudeのtool useやManaged Agents、MCP、sandbox、permission制御といった方向を強めています。
言い換えると、競争の中心が少し変わっています。
以前は、「どちらのモデルが賢いか」が前面に出ていました。もちろん今でもそれは重要です。ただ、agent時代になると、それだけでは足りません。
どの記憶を残すか。どのツールを見せるか。どの操作は許すか。どの操作は止めるか。どの環境で実行するか。どこにログを残すか。
このあたりが、AIの実用性を左右していきます。
memory、tool orchestration、permissionは一つの話
memory管理、tool orchestration、permission制御は、別々の技術用語に見えます。
でも、生活者目線で見ると、これは全部「AIにどこまで任せるか」という一つの話です。
memoryは、AIに何を覚えさせるか。
tool orchestrationは、AIにどの道具をどう使わせるか。
permission制御は、AIにどこまで行動させるか。
つまり、AIの性能だけでなく、AIとの距離感を設計する話です。
ここを間違えると、AIは便利な助手ではなく、気が利きすぎる同居人のようになります。勝手に片づける。勝手に連絡する。勝手に判断する。悪気はない。でも、こちらの生活の境界線を踏み越えてくる。
人間関係でも、仕事でも、道具でも、境界線がないところには疲れがたまります。AIも例外ではないと思います。
今日できる小さな一手
AIエージェントの権限管理というと、ずいぶん専門的に聞こえます。
でも、今日できることは小さいです。
今使っているAIツールや自動化ツールについて、「読むだけ」「編集できる」「削除できる」「外部に送れる」の4つに分けて見直してみる。それだけでも十分です。
特に、メール、クラウドストレージ、顧客情報、社内資料、家計や金融に近い情報は、便利さだけでつなげない方がいいです。つなぐなら、何ができて、何ができないのかを一度見る。
AIは、これからもっとよく働くようになると思います。
だからこそ、こちら側も「任せ方」を少しずつ覚える必要があります。全部を疑う必要はありません。でも、全部を開け渡す必要もありません。
鍵は、必要な人に、必要な分だけ渡す。
AIエージェント時代の安心感は、たぶんそのくらい地味なところから始まります。
参考情報
- Claude Code auto mode: a safer way to skip permissions
- Tool use with Claude
- New in Claude Managed Agents: self-hosted sandboxes and MCP tunnels
- Code w/ Claude London 2026: Rethinking how we build
- Agents SDK | OpenAI API
- AI Risk Management Framework | NIST
免責事項
この記事は、公開されている公式情報とAI技術動向をもとにしたニュース雑感です。特定のAIサービス、企業、導入方法を推奨するものではありません。実際に業務へAIエージェントを導入する場合は、社内の情報管理ルール、セキュリティポリシー、法務・情報システム部門の確認を前提にしてください。
AI利用開示
この記事の作成には、構成整理、下書き作成、表現調整のためにAIを利用しています。最終的な公開前には、出典URL、事実関係、表現の妥当性を人間が確認する前提です。