なぜ権限設計が重要か
AI エージェント(Claude Code、Devin、Operator、Replit Agent など)は LLM の判断結果をそのまま外部ツールに実行させる仕組みです。便利な反面、プロンプトインジェクションや LLM のハルシネーションが、そのまま「本番 DB の DELETE」や「全顧客へのメール送信」に直結するリスクがあります。
2025 年に MCP(Model Context Protocol)が普及し、エージェントが扱えるツール数は爆発的に増えました。だからこそ、最小権限とサンドボックスと人間承認の三本柱が必須です。
1. 最小権限(Least Privilege)
各エージェントには、タスクに必要な最低限のスコープだけ与えます。
- 読み取り専用キー:データ集計エージェントには SELECT 権限のみ。INSERT/UPDATE/DELETE は別エージェント。
- ディレクトリ制限:コーディングエージェントは特定リポジトリ配下のみ書き込み可。/etc や ~/.ssh は読めない。
- API スコープ:GitHub Apps なら repo:read だけにする。OAuth はユーザーごとに権限切り出し。
