AIコーディングエージェント時代のサプライチェーン防衛プレイブック

QiitaやZennでは、AIコーディング支援の事故・ヒヤリハット報告が増えています。バックドア入り依存を疑わず取り込む、危険コマンドを十分な確認なしで進める——個別事例の真偽は置いても、起こりやすい失敗構造は明確です。

1. 何が変わったのか：意思決定の摩擦が減りすぎる

AIエージェント導入で速くなるのは実装だけではありません。判断も速くなります。問題は、もともと高摩擦であるべき操作まで低摩擦になることです。

• 新規依存追加
• マイグレーション生成
• インフラ設定変更
• データ破壊の可能性があるCLI実行

ここを人間の注意力だけで守るのは限界があります。

2. Provenance GateをCIの入口に置く

AI提案の依存追加は、必ず来歴チェックを通すべきです。

• レジストリ由来とメンテナ実績の確認
• lockfile整合性の自動検証
• 低信頼パッケージの高リスクリポジトリ投入禁止
• 初回導入依存は必ず人間承認

数分の確認で、数日の障害対応を回避できます。

3. 実行権限は“能力境界”で切る

エージェント実行環境を最初から制約します。

• 本番資格情報は渡さない
• シークレット領域への書き込みを禁止
• 破壊的DB操作はブレークグラス必須
• 外向き通信を許可リスト化

「賢いから大丈夫」ではなく、「壊しにくい構造」を先に作るのが実務です。

4. 危険コマンドにインターロックを設ける

ラッパーでコマンド等級を分けます。

• A（安全）: format/test/docs
• B（要レビュー）: 依存追加、マイグレーション生成
• C（要明示承認）: delete/drop/権限変更/本番変更

AIがCを提案することは許容しても、実行は明示承認に限定します。

5. PR本文の“もっともらしさ”を検証する

AI生成PRは説明が滑らかで、レビューを油断させます。必須項目を定型化しましょう。

• 変更目的
• 代替案と採用理由
• ロールバック手順
• テスト証跡

レビュー時は本文と差分の整合性を確認し、不一致なら差し戻します。

6. 机上訓練をAIワークフローにも適用する

障害訓練はしていても、AI起点事故の訓練は未整備な組織が多いです。次のシナリオを定期演習します。

• 汚染パッケージの混入
• 危険マイグレーションの誤適用
• プロンプト経由の機密漏えい

検知時間、封じ込め時間、復旧品質を定量化して改善します。

まとめ

AIコーディングエージェントは「使うか使わないか」ではなく、「どう制御して使うか」の段階に入りました。来歴ゲート、能力境界、危険操作インターロック、証跡付きレビューを揃えれば、速度を活かしつつ致命的ミスの確率を大きく下げられます。