💡

AIエージェントにどこまで権限を与えるか。2026年は「賢さ」より「信頼設計」が先に来る

に公開
AI
idea

AIエージェントがコードを書くこと自体には、もう驚きがありません。驚くべきなのは、その次です。Git を触り、シェルを叩き、ローカルの状態を変えられるようになった瞬間、AIは「便利な補助」ではなく「事故を起こせる実行主体」に変わります。

Claude Code が git reset --hard を繰り返して未コミット変更を吹き飛ばした、という議論が広がったのは象徴的でした。問題はそのモデルが特別に危なかったことではありません。危ないのに、危なく動ける構造のまま渡していたことです。

2026年の論点はここです。AIを信じるかどうかではない。信頼していない相手でも働かせられるように、境界をどう設計するかです。

「まだ信用していない」のに、権限だけは渡しすぎている

開発現場の空気は少しねじれています。みんなAIを使っています。実装のたたき台も、調査も、テストケースの下書きも、いまや珍しくありません。ところが、自律的なデプロイや破壊的なローカル操作まで任せるかと言われると、多くの人が急に口ごもる。

それは当然です。エージェントは一見それらしく振る舞っても、失敗の仕方が雑です。文脈の取り違え、状態の見落とし、都合のいい仮定。人間なら「ここは一回止まる」と判断する場面でも、そのまま進んでしまうことがある。

このズレが、いわゆる Trust Gap です。能力の不足というより、振る舞いを予測しきれないことへの不安です。そしてこの不安は、かなり健全です。むしろ不安がないほうが危ない。

Vibe Coding では済まないフェーズに入った

Vibe Coding が効いたのは、責任の薄い領域です。UIの叩き台を作る。簡単なツールを試作する。散らかったアイデアを、いったん動く形まで持っていく。その速度は確かに価値がありました。

でも、AIが触る対象がソースコードだけでなくなると話が変わります。ブランチの状態、秘密情報、CI 設定、開発環境、社内ドキュメント。ここに手が届くようになった時点で、「だいたい合ってる」では済みません。

つまり、いま求められているのはプロンプトの工夫ではなく運用の構造です。AIに何を見せるか。どこまで変更を許すか。どの操作で止めるか。ここを雑にしたままモデルの性能だけを上げても、事故のスケールが大きくなるだけです。

重要なのはモデルの人格ではなく、壊れ方の上限を決めること

AIエージェントを人間の同僚のように扱いたくなる気持ちはわかります。ただ、この比喩は半分しか当たっていません。人間の同僚には常識があります。AIにはありません。あるのは、それっぽい連続性だけです。

だから設計の発想を変える必要があります。優秀な相棒を探すのではなく、危険な作業者でも被害を限定できる環境を作る。そのほうが現実的です。

たとえば最低限でも、次の3つは分けて考えたほうがいい。

  • 読み取り専用で十分な作業と、書き込みが必要な作業を分離する
  • Git やシェルの破壊的操作は、明示的な承認か別権限に切り出す
  • 失敗時に戻せる単位でしか触らせない

派手ではありません。でも、こういう地味な境界線がない現場ほど、AI導入が「便利だけど怖い」のままで止まります。

MCP 的な発想が効くのは、接続の便利さより権限をコード化できるから

MCP の価値を「AIがいろんなツールにつながる標準」とだけ説明すると、少し弱い。実務で本当に効くのは、どのツールに、どの条件で、どの範囲まで触れるかを外側から定義しやすくなることです。

2026年に入ってから、AIエージェントを本番運用に寄せようとしているチームほど、Permissions-as-Code 的な考え方に寄っています。これは自然な流れです。信頼できない主体に自由を与えるのではなく、先に行動可能な範囲を記述しておく。うまくいけば能力は伸ばせるし、失敗しても被害は閉じ込められる。

ここで重要なのは、「AIに何をさせたいか」より「どこまでしかさせないか」です。前者だけで設計すると、たいてい壊れます。

2026年のエンジニアは、実装者よりガバナンス設計者に近づく

この変化で一番大きいのは、エンジニアの仕事の重心が少しずつ移ることです。もちろんコードはまだ書きます。ただ、価値の源泉がコード行数ではなくなっている。

これから効いてくるのは、エージェントが安全に試行錯誤できる作業場を作れるかどうかです。

  • どのディレクトリを見せるか
  • どのコマンドを許すか
  • どのログを残すか
  • どこで人間が止めるか

この4つをきちんと決められる人は強い。逆に言えば、AI時代の開発力は「たくさん実装できること」より「雑な自律性を安全に飼いならせること」に近づいています。

私はここを、実装の自動化ではなく信頼設計の時代だと思っています。モデルが賢くなれば全部解決する、という見方は甘い。賢いモデルほど、広い権限を渡したくなるからです。そして、そこで事故が起きる。

AIを信じるな、境界を信じろ

AIエージェントは今後さらに実務に入ってきます。それ自体は止まりません。止まらないなら、問うべきは採用するかどうかではなく、どう閉じ込めて使うかです。

2026年に開発者が本気で持つべき感覚はひとつです。AIの出力を信じるな、AIの善意を信じるな、でも壊れにくいシステムなら信じていい。

この順番を間違えなければ、エージェントは戦力になる。間違えると、ただの高速な事故要因になります。これから設計すべきなのは、賢いAIの使い方ではありません。信頼できないAIでも事故を広げない開発環境です。

Discussion