自律型 AI エージェントを管理するためのオープンソース・ツールキット:Microsoft が公開

Microsoft releases open-source toolkit to govern autonomous AI agents

2026/04/03 HelpNetSecurity — AI エージェントが人手による介在なしに実行できるものとしては、移動手配/金融取引実行/コード作成実行/インフラ管理などが挙げられる。LangChain/AutoGen/CrewAI/Azure AI Foundry Agent Service などのフレームワークにより、このような自律性の導入が容易となっているが、この自律性に対応するガバナンス基盤の整備は遅れている。このギャップを解消するために、Microsoft が公開したのが Agent Governance Toolkit である。

ツールキットの構成

Agent Governance Toolkit は Python/TypeScript/Rust/Go/.NET に対応する 7 つのパッケージで構成されている。それぞれのパッケージが、エージェント・ガバナンスにおける各種のレイヤを担当する。

  • Agent OS パッケージは、ステートレス・ポリシー・エンジンとして機能し、すべてのエージェント操作を、実行前にサブミリ秒レイテンシでインターセプトする。報告値では p99 レイテンシは 0.1 ミリ秒未満である。YAML ルール/OPA Rego/Cedar ポリシー言語をサポートする。
  • Agent Mesh は、分散識別子を用いる暗号アイデンティティを提供し、Ed25519 署名/エージェント間通信のための Inter-Agent Trust Protocol/0〜1000 スケールの動的信頼スコアリング (5 段階行動ティア) を備える。
  • Agent Runtime は、CPU 特権レベルをモデルとする実行リングであり、複数ステップ・トランザクションを管理する saga オーケストレーションや、緊急停止のための kill switch を導入する。
  • Agent SRE は、Service Level Objectives/エラーバジェット/サーキットブレーカー/カオスエンジニアリング/段階的デリバリなどのサービス信頼性の手法を、エージェント・システムへ適用する。
  • Agent Compliance は、ガバナンス検証を自動化し、EU AI Act/HIPAA/SOC2 などの規制フレームワークへのマッピングと、OWASP agentic AI リスク10分類に対応する証跡収集を提供する。
  • Agent Marketplace は、Ed25519 署名/マニフェスト検証/信頼レベルに基づく機能制御により、プラグイン・ライフサイクル管理を行う。
  • Agent Lightning は、強化学習ワークフローを制御し、ポリシー強制ランナーおよび報酬設計により RL 学習中のポリシー違反ゼロを目標とする。
フレームワーク統合

Microsoft の Imran Siddique は、「ガバナンス・ツールキットは、実際に使用されているフレームワークと連携しなければ意味がない。その一方、我々は初期の段階から、フレームワークに依存しない設計を用いている」と 説明する。

このツール・キットは、既存のエージェント・フレームワークと併用が可能であり、コード書き換えを必要としない。具体的には、LangChain のコールバックハンドラや、CrewAI のタスクデコレータ、Google ADK のプラグインシステム、Microsoft Agent Framework のミドルウェア・パイプラインにフックする。

複数の統合は、既に実装済みである。Dify はマーケット・プレイスでガバナンス・プラグインを提供する。LlamaIndex は TrustedAgentWorker 統合を含む。OpenAI Agents SDK/Haystack/LangGraph/PydanticAI も対応している。OpenAI Agents と LangGraph は PyPI 公開、Haystack は上流統合、PydanticAI は動作アダプタとして提供される。

セキュリティ・アーキテクチャとテスト・カバレッジ

このツールキットは、既存コンピューティングの設計をベースにしている。つまり、OS カーネルの特権分離/サービスメッシュの相互 TLS とアイデンティティ/Site Reliability Engineering における SLO ベースの運用を採用する。

OWASP agentic AI リスク Top-10 に対応する設計である。ポリシー・エンジンは、意図分類機能によりゴール・ハイジャックを防止する。Cross-Model Verification Kernel は、多数決によりメモリ・ポイズニングに対応する。さらに、リング分離/信頼減衰/自動 kill switch により不正エージェント挙動が制御される。

このプロジェクトの立ち上げに際しては、すべてのパッケージにおいて 9,500 以上のテストが実施され、ClusterFuzzLite による継続的ファジングが行われている。ビルド・パイプラインに含まれるのは、SLSA 準拠 Provenance/OpenSSF Scorecard/CodeQL スキャン/Dependabot 依存関係監視/暗号ハッシュ固定依存関係などである。また各パッケージに対して、20 のチュートリアルが提供される。

ライセンスとコミュニティ方針

このプロジェクトについては、将来的にコミュニティ主導の財団へ移管する意向であると Microsoft は示している。そのため、OWASP agentic AI コミュニティおよび関連組織と連携を進めている。

プロジェクトはモノレポ構造であり、7つのパッケージは個別にインストール可能であるため、段階的な導入が可能である。このツールキットは Python 3.10 以降で動作し、各パッケージは PyPI から取得可能である。

Azure 環境では、Azure Kubernetes Service 上でのサイドカー展開/Azure Foundry Agent Service とのミドルウェア統合/Azure Container Apps によるコンテナ展開をサポートする。

Agent Governance Toolkit は、GitHub 上で無償提供されている。

訳者後書:2026年4月3日に Microsoft が正式公開した Agent Governance Toolkit は、自律型 AI エージェントが人間の介在なしに金融取引やコード実行を行う際の “暴走” や “不正操作” などを防ぐための、包括的なオープンソース・フレームワークです。その背景にあるのは、LangChain や CrewAI といった便利な開発ツールが普及する一方で、それらが実行するアクションをリアルタイムで監視/制限するガバナンスの仕組みが追いついていないという問題です。

このツールキットの最大の特徴は、OS カーネル/サービスメッシュといった実績のあるコンピュータ工学の設計思想を、AI の世界に持ち込んだ点にあります。たとえば、Agent OS パッケージは 0.1 ミリ秒未満という極めて低い遅延で、エージェントの全操作を検閲します。Agent Runtime は、エージェントに与えられる CPU の特権レベルなどの権限を、リング分離して管理します。これにより、エージェントがプロンプト・インジェクションなどの攻撃を受けても、ホストシステムや機密データへの致命的なアクセスを、物理的に遮断することが可能になります。よろしければ、Prompt Injection での検索結果も、ご参照ください。