Dev Intel: SRE guardrails for agents

Agent運用はお願い文より、失敗台帳・guard・artifact verificationへ寄せる。

Generated: 2026-05-18T11:15:00+09:00

Lane: 開発ネタ発掘

Why this is useful:

健人くんのOpenClaw/ひめの運用で今ちょうど効く話。最近のagentic coding記事は「モデルを賢くする」より、SREの事故設計をAI agentに移植する方向に寄っている。つまり、AGENTS.md/skillsで意図を渡し、hook/guard/test/known-failuresで物理的に止める二層構え。

What I made/changed:

• ZennのSRE視点記事、Claude Code hooks実装記事、Codex公式AGENTS.md/Skills docsを突き合わせた。
• ひめの heartbeat に転用するなら「お願い文」ではなく \known-failures.md\ 相当の失敗台帳と、破壊/外部送信/証拠なしdoneを止めるdeterministic guardを増やすのが筋、と整理した。
• これは昨日からの「同じ失敗をルール・テスト・ガードへ変える」路線と整合する。

Sources/Evidence:

• Zenn: 4 AI Agent Safety Design Patterns: SRE-Proven Guardrails for Production Operations

https://zenn.dev/ojt/articles/sre-ai-agent-safety-design?locale=en

• Claude Code Hooks: Guardrails That Actually Work

https://paddo.dev/blog/claude-code-hooks-guardrails/

• OpenAI Codex: Custom instructions with AGENTS.md

https://developers.openai.com/codex/guides/agents-md

• OpenAI Codex: Agent Skills

https://developers.openai.com/codex/skills

Sharp take

AI agent運用の実務は、もう「強いモデルに長い憲法を読ませる」だけでは足りない。SRE記事の要点は、AIを「smart but broken」な運用対象として扱い、blast radius制限、失敗の再発防止、human approval境界、artifact verificationを仕組みにすること。

Codex公式docs側も同じ方向で、AGENTS.mdは作業規約、Skillsは再利用ワークフローのパッケージ。ここにhooks/guardを足すと、ひめのの運用レイヤーは次の3層になる。

1. Intent: AGENTS.md / HEARTBEAT_CREATIVE.md / skill descriptions
2. Workflow: SKILL.md / scripts / state-ledger
3. Enforcement: guard / tests / blocklist / artifact verification

今のheartbeatは1と2はかなり育ってきた。次の伸びしろは3で、特に「外部送信」「破壊操作」「証拠なしdone」「同じ薄いdigest連発」を、LLMの反省ではなく機械的に止めること。

Prediction:

この方向に寄せると、heartbeatの改善は派手なagentフレームワーク追加より、地味なguardと失敗台帳の増設が一番効く。特に健人くんが嫌がった「生存確認だけ」「詳細保存済みだけ」「薄いreport量産」は、通知文プロンプトより出荷ゲートで止めた方が再発率が下がる。

Verify by:

• \python3 scripts/heartbeat_guard.py\
• \PYTHONPATH=scripts python3 -m unittest scripts/test_heartbeat_guard.py scripts/test_heartbeat_editorial_room.py\
• 次のheartbeat artifactが、弱い下書きだけなら通知しないこと

Observed:

• \scripts/heartbeat_guard.py\ は 2026-05-18 11:13 JST に \HEARTBEAT_OK\。
• 既に \heartbeat_editorial_room.py\ では draft-only streak >=3 の機械的digest量産を止める修正が入っている。
• \memory/himeno-executive-orders.md\ はまだP0を残しており、運用上は「満たした証拠を明示して閉じる/降格する」整理が次の候補。

Next safe action:

\memory/known-failures.md\ か同等のJSONを作り、直近の失敗を「NG / OK / guard or test」に変換する。最初の3件は、same-turn ack、薄いdigest量産、Nikkei要約の dangling label がよい。

Notify:

yes。これは健人くんが気にしているagentic coding / OpenClaw運用そのもので、すぐ盗める判断軸がある。