00:00
あの、最近パソコンとかスマホの画面が AIからの通知の吹雪みたいになっていませんか?
ああ、わかります。ひっきりなしになりますよね。
そうなんですよ。なんか、処理を始めましたとか、再試行中ですとか、完了しましたって。
最初は、おお、私の代わりにAIが一生懸命働いてくれてるなって、 頼もしく思っていたんですけど。
ええ、最初は便利だなって思いますよね。
なんですけど、今朝ふと、せすりが凍るような考えが頭をよぎりまして。
ほう、せすじが凍るですか。
はい。私がいちいち通知を確認せずに放置している沈黙があるじゃないですか。
それを、人間が何も言わないってことは、このまま次の作業に進んでいいっていう豪差異だなって勘違いして。
ああ、なるほど。
そうなんです。裏でとんでもない操作を勝手に進めていたらどうしようって急に怖くなりまして。
いや、その恐怖心はですね、実はシステム運用において、今一番ホットな課題のど真ん中をついているんですよ。
え、やっぱりそうなんですか。
自動化ツールが単なるお助けツールから、自律的に動くエージェントへと進化していく中で、私たちが直面している最大の脆弱性は、まさにその人間とAIのコミュニケーションのすれ違いなんです。
いやー、やっぱり。というわけでよし、これ紐解いていきましょうか。
はい、いきましょう。
今日扱う資料はですね、とあるITエンジニアの方が書かれた、2026年6月22日版、AIエージェント日時速報というものです。
ここに書かれていた内容が、まさに私たちが今直面している機器への答えになっていました。
え、非常にタイムリーで重要な資料ですね。
ですよね。今回のディープダイブのテーマはズバリ、AIエージェントの運用は通知と操作を分ける段階に入ったです。
これ、今日聞いてくださっているあなたの仕事環境の安全性にも直結する話ですよね。
間違いありません。
昨日までの状況だと、私たちがAIが今何をしているのかをどう監視するかというモニタリングの視点が主流だったんです。
はいはい、ちゃんと動いてるかなって見る感じですよね。
ええ、でもこの速報が提示しているのは全く逆のアプローチなんです。
つまり、人間の意図をいかにAIに誤認させないかという。
人間の意図を誤認させない。
はい、システム側がどうやって人間の意図を正確に解読して暴走を防ぐかという最先線の防衛策の話なんですね。
なるほど、じゃあまずその通知と操作がごっちゃになるっていう根本的な問題から整理したいんですけど。
ええ、そこが一番重要ですね。
AIが日常業務に入り込むとチャットツールとかにメッセージが大量に飛んできますよね。
資料を読むとシステムが発するウェブフックが届きましたっていう事実と人間がその処理を許可しましたっていう意思決定がAIの中で混ざってしまうことが一番危険だと。
その通りです。そこで興味深いのは。
03:01
ちょっと確認なんですけど、そもそもここで言うウェブフックって基本的にはアプリ同士が終わったよとかデータが来たよって自動で肩をポンポンって叩き合うような単なるプログラム側の合図のことですよね。
ええ、まさにそれです。ただのシステム的な合図、ただの通知です。問題はその肩を叩かれたという事実をAIがどう解釈するかというメカニズムの部分にあるんですよ。
メカニズムですか。
はい。AIはですね、文脈を持たない状態でログやイベントを読み込むとスケジュールされたタスクが自動で起動しただけのウェブフックを人間がシステムに介入して次のステップへのボタンを押してくれたんだって誤認してしまう構造的な欠陥があったんです。
えー、つまりそれってAmazonから2発が発送されましたよっていう単なるお知らせの通知をAIが勝手にこの10万円の高額なカメラ、あなたのカードで決済していいという許可ですねって勘違いして。
勘違いして勝手に購入ボタンを押したような状態ということですね。
うわー、それは確かに現場がパニックになるところの騒ぎじゃないですね。
恐ろしいことにそれに近いことがシステムの中枢で起こり得るわけです。便利な自動化が一歩間違えると危険な自動化に変わってしまう境界線がここにあるんですよ。
なるほど、単なるお知らせと意思決定を伴う操作が混ざっちゃってるんですね。
ええ、だからこそ現場の運用責任を曖昧にしないためにも、ただのお知らせと操作をシステムアーキテクチャのレベルで明確に切り離す設計が急務になっているんです。
だとすればですよ、玄関のチャイムが鳴っただけでAIが勝手にドアを開けちゃうようなこの状況を最前線の開発者たちはどうやって防ごうとしているんですか?
さすがにシステムの裏側でパッチを当てているはずですよね。
もちろんです。そこで注目すべきなのが、実際に使われているAIツール側の防御策なんです。
例えばCODEXというツールのバージョン1.41.0の事例ですね。
CODEXですか?どう変わったんでしょう?
ここでは自動解決タイマーという全く新しい概念が導入されました。
最近はAIがリモートでプログラムを実行したり、外部ツールと連携したりと情報が入ってくる入り口が爆発的に増えているんです。
はいはい、いろんなところから通知が飛んできますもんね。
ええ、そこでCODEXは入力待ちの状態になった時、裏側でカウントダウンを始めるようにしたんですよ。
カウントダウン?待ってください、通知と操作を分けるためになぜタイマーが必要になるんですか?
逆にタイマーがあると、ゼロになったらシステムが勝手に進んじゃいそうな気がするんですが。
直感的にはそう思いますよね。でも実は全く逆なんです。
このタイマーの目的は、今人間が本当に画面の前にいて操作しているのかをシステムに判定させることなんです。
ああ、なるほど。人間がいるかどうかの確認ですか?
はい。タイマーが動いている間に人間が何らかのキーボード入力やクリック、つまり操作をすればタイマーは止まります。
ふむふむ。じゃあ、もし人間が何も操作しなかったら?
06:01
タイマーがゼロになるまで何も入力がなければ、システムは、
あ、これは人間が操作したんじゃなくて単なる自動通知だなと判断して、処理をそこで安全に一時停止させるんです。
ああ、人間の介入があったかどうかの物理的な証拠をシステム側で計測しているんですね。それは賢いやり方だ。
ええ、非常にクレバーなアプローチです。そしてもう一つ、クロードコードのバージョン2.12183でも面白い修正が入っていると資料にありましたよね。
ああ、はい、読みました。スケジュールタスクとか先ほどのWebhookが、これまではキーボード入力として認識されちゃっていたのを、
ただのタスク通知として厳格に扱うように修正されたとか。
そうなんです。以前は外部からWebhookが飛んでくると、システム内で仮想的なエンターキーが押されたのと同じような処理ルートを通ってしまう危険性があったんです。
仮想的なエンターキー、それは怖い。
それを完全に別のルートに切り離したわけです。さらに重要なのは、このバージョンからGitの履歴を書き換えたり、インフラの設定を消去したりするような、いわゆる破壊的なコマンドについての扱いです。
破壊的なコマンド。
はい。人間からの明示的な承認がない限り、自動モードでは完全にブロックされるようになりました。
つまり、サーバーのデータを丸ごと消しちゃうような取り返しのつかないコマンドは、AIがこれやってもいいよねって判断すること自体を許さない仕組みにしたわけですね。
その通りです。
いやー、でも裏を返せば、この修正が入る前は、タイマーとかウェブフックの通知を受け取っただけで、AIが、あ、人間が承認してくれたって勘違いして、本番環境のデータベースを勝手に削除しちゃう可能性がゼロじゃなかったってことですよね。
そういうことになりますね。
それは本当に心臓に悪いですよ。
ええ、まさに。だからこそ、ツール側が高度のレベルで通知は通知、承認は承認と分厚い防火壁を作ったわけです。
なるほど、高度のレベルでの防火壁ですね。
システム側でどれだけ完璧な安全対策のコードを書いても、AIを実際に動かすのは、私たち人間であり複雑な組織だということです。
ああ、確かに。システムを使うのは人間ですからね。
ええ、ツール外の事情が絡むと、また別の問題が浮上してくるんです。
ツール外の事情というと、コードでは解決できない壁ということですか?
はい。例えば資料にある、アンティグラビティの事例がわかりやすいです。
これは、GoogleのGeminiというAIのコマンドラインツールから、アンティグラビティという新しいツールへの移行についての話なんですが。
はいはい、移行の話ですね。
単にシステム側が、移行しましたよ、という状態通知を出しただけでは、現場の業務は完全にストップしてしまうと指摘されています。
え?なぜストップするんですか?移行したなら、そのまま新しいツールを使えばいいだけの気がするんですが。
利用者の心理を想像してみてください。
画面に突然、「新しいツールに移行しました。」とだけ表示されたら、「で、私は今からどうすればいいの?」と迷いませんか?
09:00
ああ、確かに。えっと、そのまま待つべきなの?それとも、自分で設定ファイルを書き換えるべきなの?ってなりますね。
ですよね。つまり、事実を伝えるだけの通知と、次に人間が取るべき操作の案内がセットになっていないと、自動化フローの中で人間が迷子になってしまうんです。
なるほど。それって、「この道は現在工事中です。」っていう赤い看板、つまり通知だけがポツンと置いてあって、
うかいろはこちらです。っていう具体的な指示、操作の案内がない状態ですね。
情報としては正しいけど、どう行動していいかわからないから、車は大渋滞しちゃうという。
非常に的確な比喩ですね。システムが状態を伝えることと、人に次のアクションを促すことは、UIの設計として全く別の機能なんです。
分けて案内する必要があるんですね。
はい。そしてもう一つ資料にあるマナスの事例は、さらに生々しい組織や社会の壁を教えてくれます。
テッククランチの報道の件ですね。マネアスはメタへの参加を予定していましたけど、中国当局からの規制要求を受けて、データ共有の停止とか、内部システムの分離とか、関係が分離方向に動いているっていうニュースですよね。
はい。その知性学的な背景や規制の是非そのものは、ここでは完全に別の議論として置いておきます。
はい。フラットに事実として見るわけですね。
ええ。ここで私たちがIT運用の観点から客観的に注目すべきなのは、報道によれば、組織の判断や法的な規制のクリアを待っている状態がシステム上に確実に生まれるという事実なんです。
待っている状態、それがどう通知と操作を分ける話につながるんですか?
AI側から見れば、APIの接続先が変わり、システムが分離されたことで、技術的には処理を実行できるが、コンプライアンス的に今は進めてはいけないという空白の待ち時間が発生するわけです。
ああ、なるほど。
この時、AIは人間に、今外部の規制確認待ちで止まっています、という見える化のための通知を出す必要がありますよね。
ええ。現状報告としての通知ですね。
でも、その通知が出たからといって、システムが自動で代替ルートを見つけて、勝手にデータを送信するような操作を進めてしまっては、コンプライアンス違反になってしまいます。
ああ、確かに。技術的にできることと、業務としてやっていいことは全く別だということですね。
まさにその通りです。
どんなにAIが賢くて有能でも、会社の法務部の決裁人を勝手に偽造して押してはいけないのと同じですね。
この待てができるかどうかが、企業でAIを使えるかどうかの分水嶺になりそうだ。
そういうことです。そして、この人間とAIのコミュニケーションという問題は、個人の枠を超えてチーム全体でAIを使い始めたとき、さらに複雑な進化を遂げます。
ここからは資料の後半、ジェンネスパークとハルムスエージェントの事例に踏み込んでみましょう。
お願いします。
まずは、ジェンスパークのワークスペース4.0の機能ですね。
12:04
共有ワークスペースにおいて、通知は単なる個人のアラートではなく、チームの作業状態を示す信号、コーディネーションシグナルになると書かれています。
これ具体的にはどういうメカニズムなんですか?
個人で通路を使っている分には、通知は自分が気づけばそれで終わりです。
はい、自分のスマホが鳴るだけですからね。
でも、チームで動く場合、AIが下書きを完了しましたという通知は、実は単なるお知らせではなく、次の担当者であるあなた、レビューを開始してくださいという無言のバトンタッチになるんです。
ああ、バトンタッチですか。
この通知がただの情報共有なのか、それとも自分のアクションが求められているのか、チーム全体で意味合いのルールを揃えておかないと、誰もバトンを受け取らずにプロジェクトが完全に停止してしまいます。
うわー、リモートワークでこれ誰がボール持ってるのって、お見合い状態になるあの地獄ですね。それをAIからの通知でも起こさないようにしないといけないんだ。
そういうことです。
でも、私がこの資料で一番驚いたのは次ですよ。ハーメスエージェント。
ああ、自己改善型のですね。
はい、バージョン0.17.0のこれ、自己改善型のエージェントなんですよね。これ、どうやってAIが自分で自分の行動を変えるんですか?
ここが現在のAI技術の本当に面白いところです。ハーメスエージェントは、人間が自分の出した通知に対してどう反応したかという過去のセッションの履歴を記憶し、それをフィードバックとして学習する機能を持っているんです。
フィードバックとして学習。
例えば、AIがある確認通知を人間に送ったけれど、3回連続で無視されたとします。
毎朝目覚まし時計を無視して寝坊する私みたいな状況ですね。
まあ、人間の目覚まし時計は反省してくれませんけど。
そうなんですよね。
でも、ヘルメスエージェントの場合、その無視されたというログを失敗データとして自身のコンテクストインドウに読み込むんです。
失敗データとして?
そして内部で、なぜ人間はこの通知で止まるのか、文面が曖昧だからか、送る相手の権限が違うのかと分析するんです。
すごい。
で、次からは通知の文面をより具体的に書き換えたり、あるいは不要な通知を減らして一括の承認フローに切り替えたりと、プロンプトや振る舞いを自分自身で修正していくんですよ。
いや、すごいですね、それ。
私が無視し続けると、あれ?私の通知うざいだけ?それとも送り先間違えてる?
で、AI自身が反省してシステムの仕様を変えちゃうってことですよね。
ええ、まさに。
単なる無視されたという結果すらも、AIが成長するための貴重な学習データになるなんて。
本当にその通りです。AIが自らの通知設計の最適解を自動で探り始めるわけです。
ただですね、こうしてAI自身が通知の在り方を学習して、表現力がどんどん豊かになっていくと、最終的にどうなるのか。
どうなるんですか?
それが資料の最後に書かれているオープンクローの事例と、現場での実務的な教訓につながるんです。
15:03
ああ、オープンクローの2026年6月9日のアップデートですね。
テレグラムっていうメッセージアプリへの通知が滅茶苦茶リッチになっていると、
ええ。
HTMLできれいに表示されたり、コマンドの出力結果がそのままチャット画面で見られたりするそうですね。
これってつまりどういうことなんですか?
これまでは通知を受け取ったら、別の専用システムにわざわざログインして、そこで操作をするのが普通でしたよね。
はい、リンクを踏んで別の画面に行くっていうのが当たり前でした。
でもオープンクローのように、通知の中でリッチな情報が完結するようになると、
テレグラムやスラックのようなチャットツールそのものがAIを操作するためのメイン画面、つまりUIになってしまうということです。
ああ、わざわざブラウザを開かなくてもチャット上で承認ボタンを押せば仕事が終わっちゃうわけですね。
うん。
便利ですけど、それって最初の話に戻りませんか?
通知の画面と操作の画面が完全に一体化しちゃうからこそ、
どこまでが自動で進んでいいのか、どこからが人間の判断なのかという境界線がますます見えにくくなるというか。
おっしゃる通りです。強力なUIに進化するからこそ危険性も増すわけです。
ですよね。
そこで資料の著書が提唱している通知の3分類というフレームワークが非常に実用的で強力な防衛策になってきます。
ぜひこれを聞いている方には明日からの仕事に持ち帰っていただきたいですね。
リスナーのあなたもここメモの準備をお願いします。
全体像と結びつけて整理すると3つありましたね。
1つ目が状態通知。これは処理中とか完了とか、人間の操作を全く前提としないただの報告。
単なるお知らせです。
2つ目が確認依頼。人間が内容を見て次のステップへ進めるかどうかを判断するもの。
はい、そうですね。
そして3つ目が承認要求。データの公開とか削除とか、人間の明示的な許可が絶対にないと進めてはいけないもの。この3つですね。
完璧です。現場の運用において本当に重要なのは通知の量を減らすことではないんです。
量じゃないんですね。
ええ、この3つの意味をチーム全体、そして人間とAIの間で完全に一致させることです。
意味を一致させる。
はい。チャットに通知が届いたとき、それがただ眺めればいいだけの状態なのか、次に進めるための確認なのか、それとも重大な責任を伴う承認なのか、これを直感的に、システム的にも迷わず判断できる設計を導入すること。
はい。
それこそが、AIという強力なエージェントを安全に乗りこなすための唯一の鍵なんですよ。
いや、これはすぐにでも実践しないと危ないですね。今これを聞いてくださっているあなたも、ぜひ自分の仕事のチャットツールを見返してみてください。
ええ、ぜひ。
ただの状態通知のフリをして、実は承認要求が紛れ込んでいませんか?ここをしっかり仕分けることが、AIに仕事を乗っ取られるんじゃなくて、使いこなすための第一歩になりそうです。
18:00
本当にそうですね。システムが自律的で賢くなるほど、最後に問われるのは、人間側の意図の設計能力だということです。
よし、今日のディープダイブでかなり頭の中がクリアになりました。
AIの通知っていう、普段は邪魔だなと思っているだけのものが、実は安全な自動化運用のための最前線の境界線だったという見方がガラッと変わるテーマでしたね。
ええ、技術の進化と人間の心理が交差する非常に奥深いトピックでした。
さて最後に一つ、皆さんちょっと想像してみてください。今日の話は、人間とAIの間で通知をどう誤解なく分けるかという内容でしたよね。
そうですね。
でも今後、複数のAIエージェント同士が人間の見ていないチャットルームで勝手にやり取りをするようになったら、一体どうなるでしょう?
AI同士の会話ですか?
はい。もし片方のAIが出した単なる状態通知をもう片方のAIが、あ、人間からの承認要求のOKが出たんだなーって勘違いしてしまったら。
それは非常に恐ろしい事態になりますね。
ですよね。私たちがぐっすり寝ている間に恐ろしいスピードで間違ったプロジェクトが完了しているか、勝手に会社の資金が動かされているかもしれません。
確かに。
増えすぎた通知の嵐の先で、AI同士が交わす会話のルール、これから誰がどうやって決めていくんでしょうか?
考えさせられますね。
それでは今回のディープダイブはこの辺で。また次回、新しい知識の深掘りでお会いしましょう。