agensby homulaデモ・お問い合わせ

Engineering · アーキテクチャ

agens のサンドボックス実行 — チャット型と実行型エージェントを分けるもの

AIが『提案』で止まらず実際に業務を『実行』するには、タスク単位で隔離された使い捨ての作業環境=サンドボックスが要る。これがチャット型と実行型を分ける決定的な差です。

要点

  • チャット型は提案・下書きを返すまで。実行型はツールを操作して業務そのものを完了させる。
  • 自律的に実行するには、隔離された安全な作業場(サンドボックス)が不可欠。
  • agens はタスクごとにサンドボックスを起動し、MCP で必要なツールにだけ接続。終了後は破棄する。
  • 成果は会社の資産(Folders / Files)として残り、全操作は監査・巻き戻しできる。
  • 2026年、Anthropic も OpenAI も実行環境を隔離する設計に収束。サンドボックスは“実行型の前提”になった。
  • サンドボックスはオンプレミス/国内リージョンでも動かせる。

なぜ『実行』は難しいのか

多くのAIは、質問に答え、文章や下書きを返すところまでで止まる。だが実務は『請求書を処理する』『データを更新する』『レポートを作って共有する』——ツールを操作して初めて終わる。

難しいのは安全性だ。会社のツールへの権限をAIに渡しっぱなしにすれば、何をされるか分からない。かといって人がコピペで実行するなら自動化の意味は薄い。この『自律的に、でも安全に実行する』を成立させる仕組みが、サンドボックスです。

チャット型と実行型は何が違うのか

チャット型エージェントあなたAI「こうしてはどうですか」提案・下書きを返す人がコピペして実行AI はここで止まる実行型エージェント(agens)あなたAI🛡 サンドボックスツールを操作して実行SlackDrive基幹DB成果 = 会社の資産監査・巻き戻し可最後までやり切る
チャット型は提案で止まり、人が手で実行する。実行型(agens)はサンドボックス内でツールを操作し、成果を会社の資産として残す。

サンドボックスとは何か

サンドボックスは、AIがタスクを遂行するための『隔離された使い捨ての作業環境』です。タスクごとに起動し、その中だけでツールを操作し、終わったら破棄する。

鍵は『標準権限を渡しっぱなしにしない』こと。必要なツールに、必要なときだけ、必要な範囲で——MCP ゲート経由で限定的に接続します。

サンドボックスの中身

🛡 サンドボックスタスクごとに起動・終了後に破棄AI の実行計画 → 操作作業領域中間ファイル・下書きMCP ゲート限定接続会社のツール・データチャット(Slack 等)ストレージ(Drive 等)基幹システム / DB最小権限・限定隔離 — 他の作業に影響しない最小権限全操作を監査巻き戻し可能
隔離された環境から、MCP ゲート経由で会社のツールに最小権限で接続。全操作は監査され、巻き戻せる。タスク単位なので1つの作業が他に影響しない。

タスクが実行されるまで

監査ログ全工程を記録巻き戻し可能1. 指示チャットで依頼2. 計画AI が手順を組み立て3. サンドボックス起動隔離環境を用意4. ツール実行MCP で操作5. 成果を会社資産へFolders / Files
指示から成果まで一気通貫。すべての工程が監査ログに残り、必要なら巻き戻せる。

2026年、実行はサンドボックスが前提になった

サンドボックスは agens 固有の工夫ではなく、実行型AIの“前提”として業界に定着しました。Anthropic は2025年10月、自社の Claude Code でファイルとネットワークの両方を隔離する仕組みを公開——許可したフォルダ以外は触らせず、許可したドメイン以外への送信を既定で遮断します。同社の報告では、こうした隔離によって人への確認(権限プロンプト)を約84%減らせたとしています。

OpenAI も2026年4月、エージェント基盤を更新し『ハーネスと実行環境(compute)を分離する』設計を打ち出しました。狙いは同じで、モデルが生成したコードを動かす環境に認証情報を置かない、という発想です。実行環境を外部の専用サンドボックス(E2B・Daytona・Modal・Cloudflare など)に委ねる構成も一般的になっています。

agens は、この“実行を閉じ込める”設計を最初から土台にしています。違うのは、実行環境だけでなく成果物・データ・ナレッジ(フォルダ)まで自社内に置ける点、そして国内リージョンやオンプレミスで完結できる点です。

🛡 なぜ安全に任せられるのか

『隔離』『最小権限』『全操作の監査』『巻き戻し』を前提に設計されているからです。AIに固定の強い権限を渡すのではなく、タスクごとに必要な範囲だけを与え、記録を残す。だから自律実行と統制を同時に満たせます。設計の詳しい層立ては「セキュリティ設計」で解説しています。

設計の意味:自律と統制の両立

サンドボックスは単なる技術的な隔離ではなく、『AIに業務を任せられるか』という信頼の土台です。実行を閉じ込め、権限を絞り、すべてを監査・巻き戻し可能にする——現場は自動化の速度を、情シス・経営は統制を、同時に得られます。

agens のサンドボックスはオンプレミスや国内リージョンでも動かせるため、データを外に出せない環境でも実行型エージェントを導入できます。

関連

概念を学ぶ(homula.jp)AIエージェントとは(定義・分類)製品で見る(homula.ai)Sandboxes & Folders(製品機能)

よくある質問

チャット型のAIとは何が違うのですか?
チャット型は提案や下書きを返すところまでで、実行は人間が行います。実行型の agens はサンドボックス内でツールを操作し、業務そのものを完了させます。
AIに権限を渡して安全なのですか?
固定の強い権限を渡しっぱなしにはしません。タスクごとのサンドボックスで必要な範囲だけに接続し、全操作を監査ログに記録、必要なら巻き戻せます。実行環境に認証情報を置かない設計は、Anthropic・OpenAI など主要各社にも共通する考え方です。
他社のAIツールと、サンドボックスの何が違うのですか?
多くのツールはアプリだけを自社内に置きますが、agens は“実行”と“成果物・データ・ナレッジ”まで自社内で完結できます。実行環境だけでなく出力の置き場所まで囲える点が違いです。
オンプレミスや国内リージョンで動かせますか?
はい。サンドボックス実行はローカル環境や国内リージョンのクラウドでも動かせます。データを外部に出せない要件にも対応できます。
作業の成果はどこに残りますか?
会話の中に消えるのではなく、会社の資産として Folders / Files に残ります。再利用・共有・監査ができます。

最終更新: 2026-06

agens を実際に動かしてみませんか?

デモ・お問い合わせagens を詳しく見る他の技術解説を見る