エージェントツールには今すぐサプライチェーン管理が必要だ

管理されていないエージェントツールが使われているリポジトリは、優れたプロンプトでは救えない。

コーディングエージェントは進化している。もはやチャットボックスの中に留まる存在ではない。指示を読み、ツールを呼び出し、マーケットプレイスに接続する。ファイル、プルリクエスト、内部APIに干渉するワークフロー内で動作するのだ。

もはや「モデルは十分に賢いか?」という問いではない。

真に問われるべきは以下の点だ:

  • 誰がこのツールをワークフローに許可したのか?
  • このツールは何にアクセスできるのか?
  • アクセス権限が変更された場合、どのように検知するのか?

これはプロンプトエンジニアリングではない。サプライチェーン管理である。

不適切な提案は一つの問題に過ぎない。しかし、シェル、リポジトリトークン、あるいはパッケージインストーラーへのアクセス権を持つ不適切な提案は、全く次元の異なる問題だ。モデルはもはや単にテキストを生成しているのではない。それは実行能力の前に位置しているのだ。

エージェントツールを依存関係(dependencies)として扱え。

「なんとなく」でパッケージをインストールしたりはしない。レジストリ、メンテナー、そしてバージョンを気にするはずだ。エージェントツールにも、それと同じレベルの疑いを持つべきである。

エージェントツールがリポジトリ、ファイルシステム、またはネットワークに影響を与える可能性がある場合は、以下のルールに従ってください:

• エージェントツールのインベントリを維持する。ソースと所有者を文書化すること。 • エージェントの指示をバージョン管理する。指示の変更はCI設定の変更と同様に扱うこと。 • ツールのソースを許可リスト(allowlist)化する。既知のマーケットプレイスを使用すること。 • 読み取り用ツールと書き込み用ツールを分離する。検索ツールには、編集ツールとは異なる権限が必要である。 • ツールの呼び出しを明確にログに記録する。人間が実際に読める監査証跡(audit trail)が必要である。 • リスクの高い機能(capabilities)を明確にする。シェルへのアクセスやファイルシステムへの書き込みは、レビュー時に一目でわかるようにしなければならない。 • 無効化ルートを作成する。ツールが失敗した場合、迅速に削除できるようにしておく必要がある。

目標は、「偶発的な信頼」から「意図的な信頼」へと移行することだ。

次なる大きな優位性を手にするのは、最も派手なプロンプトを操るチームではない。地味なインベントリ、地味な許可リスト、そして地味なログを管理しているチームである。

それこそが、実際のプロジェクトを生き抜くバージョンなのだ。

Source: https://dev.to/hefty_69a4c2d631c9dd70724/agent-tools-need-supply-chain-controls-now-1co2

Optional learning community: https://t.me/GyaanSetuAi