AIエージェントサンドボックス
AIコーディングエージェントを本番データベースに安全に向ける — スコープが限定され、監視され、巻き戻し可能。
AIエージェントサンドボックスは アルファ版で利用可能 です。
keon sandboxコマンド(cli-v0.1.31以降)と、ここで説明するコンソールのSandboxesビューは 稼働中です。機能は依然として成熟途上にあるため、粗削りな点があることをご了承いただき、 不具合があればぜひお知らせください。
Kisenonでは、コーディングエージェント(Claude Code、Cursor、あるいは独自のもの)に、 本番を危険にさらすことなく自由に変更できるデータベースを渡せます。サンドボックス とは、 スコープが限定された資格情報、ライブのアクションログ、そしてサーバー側のプロモートステップを 備えた、ブランチの実行ごとのフォークです。
なぜ安全なのか
2つの保証があり、いずれも決定論的です — 信頼の経路にLLMは存在しません。
- エージェントは本番に触れられません。 エージェントは、スコープが限定された
非スーパーユーザーの資格情報でフォークに接続します。
mainに書き込める資格情報を 保持することは決してありません。プロモーションはサーバー側で実行され、サンドボックスで すでに合格した変更のみを適用します。 - 何をしたかを正確に確認できます。 すべてのステートメントは帰属が記録され、 読み取り専用のコンソールにストリーミングされます — 要約ではなく、実際のSQLです。
ループ
keon sandbox run \
--migrate "alembic upgrade head" \
--verify "pytest tests/db"
# → green/red verdict + schema diff + a sandbox you can inspect
keon sandbox promote <id> # cp applies the validated changes to mainエージェントはループの制御を保ち続けます。安全性をもたらすのは、その境界です。
プロモート: セルフサービス、または人間による承認
各プロジェクトは promote_mode を選択します。
| モード | main にコミットする主体 |
|---|---|
self(デフォルト) | エージェントは、自身のチェックに合格すると — その境界の範囲内で — プロモートします。 |
human | エージェントは提案します。オーナー/管理者が差分とアクションログをレビューし、Approve をクリックします。 |
サンドボックスではないもの
- コードサンドボックスではありません — エージェントのプロセスではなく、あなたのデータベースをスコープします。
- LLMジャッジではありません — キャプチャ、リプレイ、レビューはバイト単位で決定論的です。
試してみる
kisenon.com でアルファ版を試し、 クイックスタート をご覧ください。