一次情報読解 AI原典ノート
RSS 保存
2026-06-21 / OpenAI / OpenAI / Data Governance / OpenAI導入前に読む保持境界 2026-06-21 / Model Context Protocol / MCP / Authorization / MCP社内導入前に読む権限統制 2026-06-21 / Hugging Face / Open-source / Agent Architecture / agent設計前に読む実行責任 2026-06-21 / Anthropic / Claude Code / Settings / Claude Code導入前に読む秘密境界 2026-06-21 / Anthropic / Managed Agents / Configuration / managed agent導入前に読む設定資産化 2026-06-21 / Anthropic / Managed Agents / Outcome Evaluation / managed agent運用前に読む完了判定 2026-06-21 / Model Context Protocol / MCP / Security / remote MCP導入前に読む認可境界 2026-06-21 / Google AI for Developers / Models / Release Channel Policy / 本番運用前に読む model 固定 2026-06-21 / Model Context Protocol / MCP / Debug Workflow / MCP導入前に読む検査手順 2026-06-21 / OpenAI / Tools / Function Calling / 外部処理接続前に読む責務分界 2026-06-21 / Anthropic / Coding Agents / Permissions / repo運用前に読む権限設計 2026-06-21 / Google AI for Developers / Retrieval / Embeddings / 検索基盤導入前に読む意味検索の基礎 2026-06-21 / OpenAI / Retrieval / Managed File Search / 文書検索導入前に読む責務分界 2026-06-21 / Anthropic / Coding Agents / Hooks / repo運用前に読む強制境界 2026-06-21 / OpenAI / Agents / Sandbox Execution / agent実装前に読む実行境界 2026-06-21 / Anthropic / Evals / Infrastructure Noise / 評価導入前に読む infra 交絡 2026-06-21 / OpenAI / State / Conversations / 長期運用前に読む state 設計 2026-06-21 / Model Context Protocol / Specification / Resources / MCP導入前に読む参照面仕様 2026-06-21 / Google AI for Developers / Credentials / Migration / 本番前に読む鍵運用変更 2026-06-21 / OpenAI / Prompting / Migration / 本番前に読む prompt 運用変更 2026-06-21 / OpenAI / Identity / Credentials / 運用前に読む認証境界 2026-06-21 / OpenAI / Safety / Moderation / 本番前に読む制御順序 2026-06-21 / Google AI for Developers / Migration guide / Schema / 移行前に読む破壊的変更 2026-06-21 / OpenAI / Connectivity / MCP / MCP接続前に読む境界設計 2026-06-21 / OpenAI / Responses API / Job Control / 実装前に読む非同期設計 2026-06-21 / Model Context Protocol / Specification / Permission Boundary / MCP導入前に読む境界仕様 2026-06-21 / Google AI for Developers / Managed Agent / Security / 導入前に読む境界設計 2026-06-21 / Anthropic / Security / Engineering / 運用前に読む安全設計 2026-06-21 / OpenAI / Realtime API / Voice / 本日読むべきAPI更新 2026-06-21 / OpenAI / API / Agent / まず読むべき原典 2026-06-21 / Anthropic / Postmortem / 実装に効くニュース 2026-06-21 / Google AI for Developers / Release notes / モデル・API更新 2026-06-21 / Hugging Face / Open-source / Tutorial / 今週試したい開発者ツール 2026-06-21 / Model Context Protocol / Specification / Architecture / 英日AI用語集
repo運用前に読む強制境界 Coding Agents / Hooks Anthropic 2026-06-17

Claude Code hooks は「守ってほしいお願い」を実行境界へ移す

このノートは原文の代替ではありません。読むべきポイントと実装上の意味を整理し、原典への入口を示します。

要点

要点まとめ

  1. prompt に『この command は使わないで』『編集後に formatter を回して』と書くだけでは、必ず守られる保証にはならない。
  2. Claude Code hooks は、その弱さを埋めるために、禁止や必須処理を会話文ではなく決まった実行イベントへぶら下げる仕組みだ。
  3. `PreToolUse` は実行前に止める、`PostToolUse` は実行後に整える、という役割分担が明確で、permission mode を緩めても deny 側の制約を残せる。
  4. 日本語圏で起きやすい『丁寧なプロンプトを書けば安全』という誤解を崩し、instruction と deterministic enforcement を分けて考えさせる。
読解

何が変わったのか

この docs が示している変化は、customization の重心が instructions を増やすことから lifecycle event ごとに何を強制するかへ移ったことです。`UserPromptSubmit`、`PreToolUse`、`PostToolUse`、`Stop` などの event ごとに何を見て何を返せるかが整理され、特に `PreToolUse` は permission check より前に走ります。つまり hooks は単なる補助通知ではなく、LLM の善意や記憶に依らない deterministic automation を repo policy の位置まで引き上げる道具です。

日本の文脈

なぜ重要か

日本の coding agent 運用では、危険 command 禁止や必須 formatter を chat 内 instruction に載せたままにしがちです。しかしその設計では、再現性も監査性も弱い。hooks を理解すると、禁止系は実行前フック、整形や通知は実行後フック、と責務を分けて team workflow に埋め込めます。個人の好みメモと物理的な強制を混ぜないための一次情報としても重要です。

技術ポイント

技術的ポイント

  1. `PreToolUse` は tool 実行前、permission-mode check 前に走る。`permissionDecision: "deny"` を返せば権限設定が緩くても止められる。
  2. `PostToolUse` は実行後フックであり、起きた操作を取り消せない。整形、通知、ログ収集には向くが危険操作の遮断には向かない。
  3. prompt hook は hook input data だけで判定する軽量 LLM call、agent hook は subagent を起動して file read や command 実行まで使う検証型フックである。ただし agent hooks は experimental と明記されている。
  4. HTTP hook は shell command の代わりに event JSON を endpoint へ POST できるが、HTTP status code だけでは block できず返却 JSON の `hookSpecificOutput` が必要になる。
  5. 複数の `PreToolUse` hook が同じ tool input を `updatedInput` で書き換えると、parallel 実行のため最後に終わったものが勝つ。rewrite hook の多重定義は non-deterministic になりうる。
用語

英日キーワード

英語日本語補足
hooks フック 決まったイベントで自動実行される処理。会話内のお願いを実行境界へ移すための仕組み。
PreToolUse ツール実行前フック 実行前に block や書き換えを行うイベント。禁止系ガードレールはここに置く。
PostToolUse ツール実行後フック 実行後の整形、通知、監査向けイベント。危険操作の遮断には使えない。
permissionDecision 許可判断 hook が返す allow / deny の判定。permission mode を緩めても deny 側の制約は残せる。
deterministic automation 決定的自動化 LLM の気分に依らず必ず走る処理。禁止操作や必須後処理を instruction から分離する時に使う。
agent hook エージェントフック subagent で実状態を確認する実験的フック。強力だが production では安定性前提を置けない。
試す

試すなら

  1. まず『守ってほしいお願い』を棚卸しし、instruction で十分なものと hook に移すべきものを分ける。
  2. 危険 command、push、削除、外部送信のような禁止系は `PreToolUse` に寄せる。
  3. formatter、lint、secret scan、変更サマリ通知のような後処理は `PostToolUse` で試す。
  4. 実ファイルの状態確認が要る終了判定だけ agent hook を検討し、本番では experimental 前提の fallback を持つ。
注意

注意点

  • agent hooks は experimental で、docs 自体が production workflow では command hooks を優先すると書いている。強力だからといって主力に据えるのは早い。
  • `PostToolUse` は止血ではなく事後処理である。危険操作を後段 hook に置く設計は間違いだ。
  • hook を増やし過ぎると遅延や非決定性が増える。特に input rewrite を複数箇所で行う設計は避けるべきだ。
関連原典

関連原典

関連して読む

01 Coding Agents / Permissions Claude Code permissions は「承認が出るから安全」という雑な期待を壊す Anthropic / 公式ドキュメント上では公開日未記載 / 運用で事故を防ぐ 02 Agents / Sandbox Execution Sandbox Agents は「agent 本体」と「作業用 compute」を同じものとして扱う雑設計をやめさせる OpenAI / 公式ガイド上では公開日未記載 / 運用で事故を防ぐ 03 Identity / Credentials Workload identity federation は「OpenAI API key を配る前提」を崩す OpenAI / 公式ガイド上では公開日未記載 / 運用で事故を防ぐ 04 MCP / Authorization Enterprise-Managed Authorization は「各自で OAuth 接続」から「会社の権限設計でつなぐ」へ進める Model Context Protocol / 2026-06-18 / 運用で事故を防ぐ
原典を開く