◈ Agents & Manager/2026-06-14上級

Managed Agents にクラウドで動いてもらうとき、資格情報をどう渡すか

Antigravity 2.0 の Managed Agents API は、手元を離れたクラウドでエージェントを走らせます。便利な反面、自分の端末では当たり前だった資格情報の扱いが急に難しくなります。長く生きるトークンを直接渡さず、実行ごとに発行して短く失効させるための設計をまとめました。

Managed Agents³ Antigravity²³³ 資格情報最小権限短命トークンセキュリティ設計クラウド実行個人開発⁷¹

✦ プレミアム記事

ローカルでエージェントを動かしているうちは、資格情報の話はあまり表に出てきません。自分の端末の環境変数に API キーが入っていて、エージェントはそれを読むだけ。鍵がどこにあるかは自分が把握していて、端末を閉じれば実行も止まります。

Managed Agents API でクラウド側にタスクを逃がした最初の日、私はこの安心が手元にしかなかったことに気づきました。クラウドで走るエージェントに、これまでと同じ感覚で本番デプロイ用のトークンを環境変数に流し込もうとして、手が止まったのです。

そのトークンは、自分の端末を離れて、自分の見えない場所で、自分が見ていない時間に使われます。もし途中で何かが漏れたら、被害が及ぶ範囲も、続く時間も、自分ではすぐに止められません。

クラウドにエージェントを逃がすことの本質は「実行が手元を離れる」ことです。だとすれば、資格情報も「手元を離れても安全な形」に作り替える必要があります。

長命トークンが手元を離れる怖さ

普段使っている資格情報の多くは、長く生きるように作られています。一度発行したら、明示的に取り消すまで有効。ローカルで自分だけが使う前提なら、これで困りません。

問題は、この性質がクラウド実行と相性が悪いことです。

長命トークンには三つの弱点があります。まず、漏れたときに被害が止まりません。失効させるまで何度でも使えるので、気づくのが遅れれば遅れるほど傷が広がります。次に、権限が広すぎます。「とりあえず動くように」と強い鍵を渡しがちで、エージェントが本来触る必要のないリソースまで届いてしまいます。そして、足跡が追えません。同じトークンを複数の実行で使い回すと、どの実行が何をしたのかが後から切り分けられなくなります。

ローカルではこの三つがほとんど顕在化しません。被害範囲は自分の端末に閉じ、権限が広くても自分の操作の延長で、足跡は自分の記憶で補える。けれどクラウドでは、この三つがそのまま運用上のリスクになります。

ですから設計の方針は単純です。長く生きる強い鍵は手元に置いたまま、クラウドへ渡すのは「短く生きて、狭くしか効かない」別の資格情報にする。これに尽きます。

実行ごとに発行し、終わったら捨てる

第一の柱は、トークンの寿命を実行の寿命に合わせることです。

エージェントを起動する前に、その実行のためだけのトークンを発行します。タスクが終われば、成功でも失敗でも、そのトークンを失効させます。次の実行はまた新しいトークンを受け取ります。こうしておけば、たとえ実行中にトークンが漏れても、有効なのはその実行が終わるまでの短い時間だけです。

仲介役を一枚挟む形になります。手元の強い鍵を持つのは仲介層だけで、エージェントには仲介層が発行した短命トークンしか渡しません。

# token_broker.py — 実行ごとに短命トークンを発行・失効する仲介層
import time
import secrets
from dataclasses import dataclass, field
 
 
@dataclass
class LeasedToken:
    value: str
    scope: tuple[str, ...]      # この実行で許す操作だけ
    expires_at: float
    run_id: str
 
 
class TokenBroker:
    """強い鍵は内側に隠し、外へは短命・狭権限のトークンだけを貸し出す。"""
 
    def __init__(self, master_key: str, default_ttl: int = 600):
        self._master_key = master_key      # 手元から出さない
        self._default_ttl = default_ttl
        self._active: dict[str, LeasedToken] = {}
 
    def issue(self, run_id: str, scope: tuple[str, ...], ttl: int | None = None) -> LeasedToken:
        ttl = ttl or self._default_ttl
        token = LeasedToken(
            value=f"agt_{secrets.token_urlsafe(24)}",
            scope=scope,
            expires_at=time.time() + ttl,
            run_id=run_id,
        )
        self._active[token.value] = token
        return token
 
    def authorize(self, token_value: str, action: str) -> bool:
        token = self._active.get(token_value)
        if token is None:
            return False
        if time.time() > token.expires_at:
            self.revoke(token_value)        # 期限切れは即座に無効化
            return False
        return action in token.scope         # 許した操作以外は拒否
 
    def revoke(self, token_value: str) -> None:
        self._active.pop(token_value, None)
 
 
# 使い方
broker = TokenBroker(master_key="本番の強い鍵はここに隠す")
 
def run_agent_task(run_id: str):
    # この実行に必要な操作だけを渡す
    token = broker.issue(run_id, scope=("read:articles", "write:draft"), ttl=300)
    try:
        dispatch_to_cloud_agent(run_id, token.value)   # エージェントへは短命トークンだけ
    finally:
        broker.revoke(token.value)                     # 成否を問わず必ず失効

要点は finally で必ず revoke していることです。例外で落ちようが、正常に終わろうが、トークンは実行の終わりで死にます。ttl を短く切ってあるのは二重の保険で、もし失効処理自体に到達できなくても、時間切れで自動的に効かなくなります。

エージェント側のコードは、自分が受け取ったトークンが短命であることを意識する必要すらありません。普通のトークンとして使い、実行が終われば自然に無効になる。複雑さは仲介層に閉じ込められています。

✦

ここまでお読みいただきありがとうございます。

この記事の続きを読む

この先には、実装コードやベンチマーク結果など、実務でお役に立てる内容をご用意しています。このサイトは広告を掲載しておらず、サーバーや開発にかかる費用はメンバーの皆様のご支援で成り立っています。もしお役に立てていましたら、ご支援いただけますと大変ありがたいです。

この記事で得られること

✦クラウド実行のエージェントに長命トークンを渡してはいけない理由と、実行ごとの短命トークンに置き換える設計

✦1つの強い鍵を、エージェントが触れる範囲だけに絞った最小権限トークンへ交換する仲介層の実装例

✦発行したトークンを実行終了で確実に失効させ、漏れても被害を時間で頭打ちにする運用パターン

Stripe による安全な決済 · いつでもキャンセル可能

✦

この記事を購入する

この先の内容をすべてお読みいただけます。一度のご購入で、いつでも何度でもアクセスできます。このサイトは広告を掲載しておらず、皆さまのご支援がサーバー費用などの運営を支えています。

または

メンバーシップなら全記事が読み放題 →

強い鍵を、狭い鍵に交換する

第二の柱は権限の幅です。寿命を短くしても、その短い間にあらゆるリソースを触れてしまっては、漏れたときの被害が大きいままです。

ここで効くのが、発行のたびに「この実行が本当に必要とする操作」だけを scope に入れる習慣です。先ほどの例で ("read:articles", "write:draft") としたのは、下書きを書くタスクには記事の読み取りと下書きの書き込みしか要らないからです。本番への公開も、課金情報へのアクセスも、このトークンではできません。

権限を絞るときに迷うのは「足りなかったらどうしよう」という不安です。私はこの不安に対しては、広く渡しておくのではなく、狭く渡して足りなければ足す、という順番を守るようにしています。広い権限は、使われない限りずっとリスクとして居座り続けます。狭い権限は、足りないとすぐエラーで分かるので、必要な範囲が運用の中で自然に見えてきます。

操作名を粗くしすぎないことも大事です。write のひと括りではなく、write:draft と publish:production を分けておくと、下書きエージェントに公開権限が紛れ込む事故が構造的に起きなくなります。authorize が許可リストとの完全一致で判定しているのは、このためです。「書き込み系だからまあいいか」という曖昧な許可を、コードのレベルで排除しています。

漏れても被害を時間で頭打ちにする

二つの柱を組み合わせると、最悪の事態でも被害が限定されます。

仮にクラウド実行のどこかでトークンが漏れたとします。長命トークンなら、これは深刻です。けれど短命・狭権限のトークンなら、攻撃者が手にするのは「あと数分だけ有効で、下書きの読み書きしかできない鍵」です。本番は無傷で、しかも時間切れで自動的に死にます。漏れたこと自体は問題ですが、被害の上限がはじめから設計で決まっています。

足跡が追える点も実運用で効きます。トークンを run_id に紐づけて発行しているので、どのトークンがどの実行のものかが一意に分かります。あとから「先週のあの自動実行は、何を触ったのか」を調べるとき、トークンを手がかりに実行を特定できます。使い回しの長命トークンでは、この切り分けができません。

# 失効ログを残しておくと、後からの追跡が楽になる
import logging
 
audit = logging.getLogger("token.audit")
 
class AuditedBroker(TokenBroker):
    def issue(self, run_id, scope, ttl=None):
        token = super().issue(run_id, scope, ttl)
        audit.info("issued run=%s scope=%s ttl=%ds", run_id, scope, int(token.expires_at - time.time()))
        return token
 
    def revoke(self, token_value):
        token = self._active.get(token_value)
        if token:
            audit.info("revoked run=%s", token.run_id)
        super().revoke(token_value)