一次情報読解 AI原典ノート
RSS 保存
2026-06-21 / OpenAI / OpenAI / Data Governance / OpenAI導入前に読む保持境界 2026-06-21 / Model Context Protocol / MCP / Authorization / MCP社内導入前に読む権限統制 2026-06-21 / Hugging Face / Open-source / Agent Architecture / agent設計前に読む実行責任 2026-06-21 / Anthropic / Claude Code / Settings / Claude Code導入前に読む秘密境界 2026-06-21 / Anthropic / Managed Agents / Configuration / managed agent導入前に読む設定資産化 2026-06-21 / Anthropic / Managed Agents / Outcome Evaluation / managed agent運用前に読む完了判定 2026-06-21 / Model Context Protocol / MCP / Security / remote MCP導入前に読む認可境界 2026-06-21 / Google AI for Developers / Models / Release Channel Policy / 本番運用前に読む model 固定 2026-06-21 / Model Context Protocol / MCP / Debug Workflow / MCP導入前に読む検査手順 2026-06-21 / OpenAI / Tools / Function Calling / 外部処理接続前に読む責務分界 2026-06-21 / Anthropic / Coding Agents / Permissions / repo運用前に読む権限設計 2026-06-21 / Google AI for Developers / Retrieval / Embeddings / 検索基盤導入前に読む意味検索の基礎 2026-06-21 / OpenAI / Retrieval / Managed File Search / 文書検索導入前に読む責務分界 2026-06-21 / Anthropic / Coding Agents / Hooks / repo運用前に読む強制境界 2026-06-21 / OpenAI / Agents / Sandbox Execution / agent実装前に読む実行境界 2026-06-21 / Anthropic / Evals / Infrastructure Noise / 評価導入前に読む infra 交絡 2026-06-21 / OpenAI / State / Conversations / 長期運用前に読む state 設計 2026-06-21 / Model Context Protocol / Specification / Resources / MCP導入前に読む参照面仕様 2026-06-21 / Google AI for Developers / Credentials / Migration / 本番前に読む鍵運用変更 2026-06-21 / OpenAI / Prompting / Migration / 本番前に読む prompt 運用変更 2026-06-21 / OpenAI / Identity / Credentials / 運用前に読む認証境界 2026-06-21 / OpenAI / Safety / Moderation / 本番前に読む制御順序 2026-06-21 / Google AI for Developers / Migration guide / Schema / 移行前に読む破壊的変更 2026-06-21 / OpenAI / Connectivity / MCP / MCP接続前に読む境界設計 2026-06-21 / OpenAI / Responses API / Job Control / 実装前に読む非同期設計 2026-06-21 / Model Context Protocol / Specification / Permission Boundary / MCP導入前に読む境界仕様 2026-06-21 / Google AI for Developers / Managed Agent / Security / 導入前に読む境界設計 2026-06-21 / Anthropic / Security / Engineering / 運用前に読む安全設計 2026-06-21 / OpenAI / Realtime API / Voice / 本日読むべきAPI更新 2026-06-21 / OpenAI / API / Agent / まず読むべき原典 2026-06-21 / Anthropic / Postmortem / 実装に効くニュース 2026-06-21 / Google AI for Developers / Release notes / モデル・API更新 2026-06-21 / Hugging Face / Open-source / Tutorial / 今週試したい開発者ツール 2026-06-21 / Model Context Protocol / Specification / Architecture / 英日AI用語集
導入前に読む境界設計 Managed Agent / Security Google AI for Developers 2026-06-10

Gemini API の managed agents は「sandbox がある」だけでは安心できない

このノートは原文の代替ではありません。読むべきポイントと実装上の意味を整理し、原典への入口を示します。

要点

要点まとめ

  1. Gemini API の managed agents は、1回の API call で Linux sandbox を起動し、その中で推論、コード実行、ファイル操作、web browsing まで進める agent harness として出てきている。
  2. 重要なのは agent 自体より、Google-hosted sandbox が OS level isolation を持ちながらも、default では unrestricted outbound network access で動くと明記している点。
  3. allowlist、credential scoping、review-before-rely を自前で置かない限り、『sandbox があるから安全』という理解は成立しない。
  4. 日本の開発者や PM にとっての論点はモデル比較ではなく、Google-hosted execution を使うなら、どの資格情報を渡し、どの外向き通信を許し、どの業務では人間レビューを外せないかである。
読解

何が変わったのか

Gemini API は単なる model inference API から、code/files/web を伴う managed execution まで抱える方向へ一段進みました。1回の API call で Linux sandbox を立ち上げ、agent が自律的にツールや web を扱うという整理は、利用者に『prompt を書く』以上の運用責任を返してきます。しかもこの overview は、sandbox の存在だけを売りにしていません。Public Preview であること、敏感な workflow では action と output を review すべきこと、外向き通信は default 開放で allowlist で縛ること、credential は sandbox 内に露出せずとも agent が使えるなら full scope を与えたのと同じだということを先に書いています。

日本の文脈

なぜ重要か

日本語圏では managed agent の話が出ると、性能比較や『コードも書ける』点だけが拡散されやすい。しかし実務導入では、どのベンダーがどの sandbox を持つかより、外向き通信の既定値、資格情報の注入経路、レビュー責任の残り方のほうが止血線になります。そこを読まずに PoC を進めると、社内データや第三者 API を触り始めた瞬間に止まります。創業者や PM にとっても、managed agent は実装速度を上げる一方で、リスク管理をベンダー任せに誤認しやすい点が重要です。

技術ポイント

技術的ポイント

  1. managed agents は Google-hosted の Linux sandbox 上で動き、推論だけでなく code execution、file management、web browsing を同じ harness の中で扱う。
  2. sandbox は OS level isolation だが、network は default で unrestricted outbound access である。したがって isolation と egress control は別問題として扱う必要がある。
  3. network allowlist で outbound traffic を domain や wildcard pattern 単位に制限できるが、allow した先で何ができるかまで含めて capability と見なすべき。
  4. credentials は egress proxy header transformation を通じて sandbox 内へ露出せず注入できるが、agent がその credential を使える以上、実質的にはその full scope を与えたのと同じである。
  5. docs 自体が sensitive workflow では action/output review を求めている。つまり human review は optional improvement ではなく、preview 段階の基本運用として読むべき。
用語

英日キーワード

英語日本語補足
managed agent マネージドエージェント ベンダーが実行環境ごと提供する agent harness。推論だけでなく code、files、web まで抱える場合は権限設計が本体になる。
Linux sandbox Linuxサンドボックス 隔離された Linux 実行環境。sandbox があっても外向き通信や資格情報の権限が自動で安全になるわけではない。
allowlist 許可先リスト 通信先を限定する設定。宛先を許すことは、その先の API 機能利用を認めるのと近い意味を持つ。
credential scoping 資格情報のスコープ制限 agent に渡す credential の権限を最小に絞る考え方。使える以上は full scope を与えたのと近い前提で設計する。
review-before-rely 依存前レビュー agent の行動や出力を、その結果に依存する前に人が確認する運用。特に sensitive workflow では省略しにくい。
試す

試すなら

  1. agent に最初から本番 credential を渡さず、読み取り専用かつ短命 token のみで sandbox を動かす。
  2. network allowlist を空から始め、必要な domain だけを段階的に追加する。wildcard は理由が説明できる場合だけ使う。
  3. 『agent が見てよい情報』と『agent が送ってよい宛先』を別表で整理し、sandbox があることを根拠に混同しない。
  4. sensitive workflow では action log と output を人が review する手順を先に固定し、自動化率より誤送信防止を優先する。
注意

注意点

  • このページは overview であり、隔離強度、tenant 分離、監査ログ保持、長時間実行の制約を網羅しているわけではない。高リスク用途では追加 docs の確認が必要。
  • Public Preview のため、挙動や制約は変わりうる。今の安全判断を固定仕様として扱わないほうがよい。
  • Google-hosted sandbox でも credential の権限設計を誤れば被害は防げない。sandbox の有無と権能の大きさは別軸で評価する必要がある.
関連原典

関連原典

関連して読む

01 Credentials / Migration Gemini API key の制限強化は、雑な PoC 鍵運用を 403 に変える Google AI for Developers / 公開日未記載(最終更新: 2026-06-10 UTC) / 運用で事故を防ぐ 02 Safety / Moderation Moderation を別APIの前処理で終わらせる時代が終わりつつある OpenAI / 公式ガイド上では公開日未記載 / 運用で事故を防ぐ 03 State / Conversations Conversations API は「前の response をつなぐだけ」の限界を超える state の器 OpenAI / 公式ガイド上では公開日未記載 / 実装前に読む 04 Prompting / Migration Prompt Objects 廃止は「prompt を管理画面で育てる運用」をやめる合図 OpenAI / 公式ガイド上では公開日未記載 / 評価・品質を見る
原典を開く