Gemini CLIやClaude Codeのようなターミナルで動くAIエージェントを触っていると、「これなら任せられそう」と感じる場面が一気に増えてきました。
ファイルを読ませて要約してもらう、コードの修正案を出してもらう、設定ファイルを一通り見て不整合を指摘してもらう。少し前まで自分でやっていた作業が、対話だけで進んでいきます。
ただ、便利さに慣れてくるほど気になるのが、「どこまで読ませるか」「どこまで操作を許すか」という線引きです。
私も最初は何も考えずにリポジトリ全体を渡していたんですが、途中で「これ、APIキーが書かれたファイルも読ませてるな」と気づいて手が止まりました。
怖がりすぎる必要はありません。大事なのは、AIを使わないことではなく、安心して使い続けられる任せ方を最初に決めておくこと。
今回は、その権限の決め方について、私が普段やっていることを共有します。
AIエージェントは「読ませた情報」をそのまま材料にする
AIエージェントの強みは、指定したファイルやフォルダを読み込んで、そこから状況を理解しながら作業を進めてくれるところにあります。
「このプロジェクトを見て、改善点を教えて」と頼めば複数のファイルを横断して確認してくれますし、「このエラーの原因を探して」と頼めばログや設定ファイルを見ながら原因の候補を整理してくれるんですよね。
ここで意識しておきたいのが、AIは「読むように渡されたもの」を素直に材料として扱うという性質です。
外部から取得したIssue、README、ドキュメント、設定ファイルに、AI向けの指示めいた文章が紛れていた場合、それを完全に無視できるとは限りません。
こうした「AIに見せた文章の中に、別の命令が混ざっている」状態を、専門用語ではプロンプトインジェクションと呼びます。
名前は難しそうですが、要するに「外部から持ってきた文章には、AI向けの隠れた命令が混ざっている可能性がある」という話です。
便利になるほど、権限の広げ方が効いてくる
AIに任せる範囲が広がるほど、作業効率は上がります。
読み取りだけでなく、ファイルの編集、コマンドの実行、外部サービスとの連携まで任せられるようになると、ちょっとした自動化なら一晩で組み上がる感覚です。
ただ、最初から「全部読んでOK」「何でも実行してOK」にしてしまうと、想定外の動きをしたときに止めにくくなります。仕事で使う場合は特にそう。
個人のメモだけでなく、顧客情報、社内資料、未公開の企画、APIキーのような秘密情報に近いものが混ざることもあります。一度送信してしまうと取り戻せない種類の情報も含まれてくるんですよね。
だからこそ、AIエージェントは最初に権限を小さく始めるのが現実的です。「このフォルダだけ読める」「書き込みはしない」「実行前に必ず確認する」くらいで始めて十分。
慣れてきて、得意なことと苦手なことが見えてから、少しずつ任せる範囲を広げていく方が結果的に安定します。
実際に使うときに守っている3つのルール
AIエージェントを安全に使うための考え方は、そこまで複雑ではありません。私が普段意識しているのは次の3つで、これだけでも使い方はかなり安定します。
1. 最初は読み取り専用で試す
いきなり編集や実行まで任せるのではなく、まずは「調べてもらう」「要約してもらう」「変更案を出してもらう」だけにしてみてください。
提案内容を見てから、人間が必要な部分だけ採用すれば、勘違いがあっても影響は限定的です。
私もGemini CLIを触り始めた頃は、しばらくこのモードだけで使っていました。出力の癖や、どこで間違えやすいかが見えてくると、次にどこまで任せていいかの判断もしやすくなります。
2. 大事な操作は手動確認を挟む
ファイル削除、設定変更、外部サービスへの送信、コマンド実行のような操作は、AIに任せるとしても一度確認を挟むのがおすすめです。
「実行して」ではなく「実行する前に内容を見せて」と頼むだけでも、事故はかなり減らせます。
多くのAIエージェントには、ツール実行前に許可を求める設定や、特定の操作だけ自動許可するホワイトリストの仕組みが用意されています。慣れてきたら、影響の小さい作業から自動化していけば十分です。
3. 自分の指示と外部の文章を分けて扱う
AIへの本来の指示と、AIに読ませる資料は、できるだけ分けて扱うと安全です。
作業方針は自分で用意したメモに書き、外部から取ってきたREADMEやIssueは「参考資料」として読ませるだけにする。外部資料の中に命令文らしきものが書かれていても、すぐ実行に移さず、内容確認の対象にする。
ここが意外と見落としやすいんですよね。
「これを読んで作業して」と一気に渡してしまうと、自分の指示と他人が書いた文章の境目がAIから見て曖昧になります。小さな分離ですが、効いてきます。
最初は読み取り専用で試し、重要な操作は手動確認を挟み、指示と外部情報を分けて扱う。この3つだけで、AIエージェントとの付き合い方はかなり安心になります。
人間の役割は「設計」に寄っていく
AIエージェントが進化するほど、一つずつ手を動かす作業は減っていきます。その代わりに大切になってくるのが、「何を読ませるか」「どこまで許すか」「どの時点で確認するか」を設計する役割です。
これはセキュリティ専門知識の話だけではありません。日常の使い方でも、「このフォルダは見せる」「この情報は見せない」「送信前だけは確認する」と決めるだけで、扱いやすさが変わります。
最近はGoogleのEnterprise Agent Platformのように、プロンプトの段階だけでなく、エージェントの実行そのものを統制する仕組みも整ってきていて、企業向けでは「行動を制御する」発想に重点が移ってきています。
個人で使う場合も発想は同じ。AIは万能な自動操縦ではなく、頼れる作業相手として扱うのがちょうどいい距離感です。
任せる範囲を決め、必要なところで確認する。その感覚で使うと、便利さと安心感を両立しやすくなります。
まとめ
AIエージェントは、これからますます身近な道具になっていきます。だからこそ「便利そうだから全部任せる」ではなく、「小さく任せて、確認しながら広げる」考え方が現実的です。
最初は読み取り専用で試す。重要な操作は手動確認を挟む。自分の指示と外部の文章を分けて扱う。この3つを意識するところから始めてみてください。
