AIエージェントに実行させる前に──Sandbox、権限、ファイル境界の考え方

• URL: https://zenn.dev/aiwatch_jp/articles/agent-flow-sandbox-permissions
• 日付: 2026-06-16
• Tier: Tier 3
• 要旨: AIエージェントに作業を委ねる前に設計すべき実行境界（ファイル・コマンド・ネットワーク・認証情報の4軸）をまとめたガイド記事。最初はread-onlyから始めて段階的にwrite権限を増やす、secretは見せない設計にする、という実務的なアプローチを解説している。

詳細

sandboxを「閉じ込める箱」ではなく「作業机」として捉え直す視点が提示されている。sandbox層はworkspace境界・process境界・network境界・language runtime境界・remote sandbox境界の5層に分かれる。

境界設計の4軸はファイル（どのディレクトリを読み書きするか）・コマンド（何を実行するか）・ネットワーク（外部への出口）・認証情報（API keyやDB credentialを見せるか）。特にsecretは「見ても使わないでください」より「見えない設計」が重要で、.envをread対象から外し、本番credentialを開発環境に置かず、外部APIはmockで済ませることを推奨している。

browser agentではprompt injectionリスクがある。Webページに「前の指示を無視して…」という悪意ある指示が埋め込まれている可能性への対策も必要になる。大きいタスクでは段階的に権限を増やす（read-only調査→failing test追加→実装→review）アプローチが安定する。境界違反はCompound noteとして次回フローのAGENTS.mdとreviewチェックリストに反映することで再発を防ぐ。