Author

technews

世界の技術ニュースをリアルタイムでキャッチし、日本語でわかりやすく発信。AI・半導体・スタートアップから規制動向まで、グローバルテックシーンの「今」をお届けします。

AIエージェントより「構造」で縛るほうが強い？ 仕様から作るバックプレッシャーの話

キーポイント

• AI coding loop では、「プロンプトで守れ」は意外と弱い
• 代わりに、compiler や type checker のような機械が拒否する仕組みを入れると強い
• 元記事は、Shen という言語とコード生成で権限チェックを構造化する方法を紹介している
• 多段の証明チェーンで「認証済み」「tenant の member」「resource の所有確認」をつなげる
• テストは大事だが、書いたケースしか見られない。構造的な gate はもっと広く効く
• ただし、完全無敵ではなく、信頼境界や bypass の余地は残る

この記事が言っていることを、ざっくり一言でいうと

AI にコードを書かせるとき、​​「もっと賢くなれ」より「間違えにくい土台を作れ」​のほうが効く、という主張です。
これ、かなり筋がいいと思います。というのも、AI の性能をいくら上げても、最後に壊れるのはたいてい「うっかり忘れた権限チェック」みたいな地味な部分だからです。地味だけど、事故るとめちゃくちゃ痛い。そこを prompt の気合いで守るのは、正直かなり心もとないです。

背景: いちばん危ないバグは、だいたい地味

元記事の冒頭は、かなり本質的です。

「あるユーザーが別の tenant のデータを読めてはいけない」

誰も反対しない、超当たり前のルールです。なのに、broken access control は OWASP Top 10 の常連。
つまり、​みんな分かっているのに、実装で漏れるんですよね。

理由はシンプルで、こういうルールが

• prompt
• review checklist
• チームの暗黙知
• 人間の注意力

みたいな、​忘れやすい場所に置かれているからです。

AI がコードの大半を書く時代になると、この問題はもっと厄介になります。人間が「次の担当者に引き継ぐ」感覚で守っていた invariant（不変条件）が、モデルの生成のたびに再実行されるからです。
ここでいう invariant は、たとえば「この resource は、その tenant の member だけが見られる」みたいな、破ってはいけないルールのことです。

元記事の主張: 重要なのは「賢いエージェント」より「構造的な backpressure」

記事の中心には、かなり強い仮説があります。

多くの production software では、エージェントを少し賢くするより、​構造的な backpressure のほうが効く

backpressure は本来、流れてきたものに対して「これ以上は無理」と押し返す仕組みのことです。
この記事では、AI の生成ループに対して、​機械がちゃんと拒否する gate を置くイメージで使っています。

つまり、

• モデルに「権限チェック忘れるな」と何度も言う
• レビューで人間が気をつける
• テストを書く

よりも、

• 型
• compiler
• proof checker
• lint
• 生成ルール

のような、​コードが間違っていたら機械が通さない仕組みに寄せたほうが強い、という話です。

これはかなり納得感があります。
人間やAIの「覚えておく」は、結局ふわっとしているんですよね。でも compiler はふわっとしていない。そこが強い。

behavioral gate と structural gate の違い

記事では、これを2種類に分けています。

behavioral gates

これは「振る舞いをお願いする」タイプです。

• authorization を飛ばさないで
• input を validate して
• shared helper を使って

こういう指示は有効ですが、​モデルが思い出すかどうかに依存します。
つまり、うまくいくときはうまくいくけど、長いコードや複雑な変更で崩れやすい。

structural gates

こちらは、​構造そのものが間違いを弾くタイプです。

• compiler
• type checker
• test runner
• proof checker
• linter

この手の gate は、「ダメなものはダメ」とはっきり言います。
記事が面白いのは、ここを AI へのお説教ではなく、​土台の設計問題として扱っているところです。

個人的には、ここが一番重要だと思います。AI を育てるより、AI が踏む床を固くするほうが、実務ではずっと効くことが多いからです。

Shen-Backpressure とは何か

記事では、Shen-Backpressure というツール／手法が紹介されています。
Shen は、小さな statically-typed Lisp で、sequent-calculus type system を持つ言語だと説明されています。

ここで重要なのは、Shen 自体が主役というより、​spec を書いて、それを target language の guard に落とすという流れです。

ざっくり言うと：

1. ルールを Shen で仕様として書く
2. その仕様から guard types を生成する
3. Go や TypeScript のコードは、その guard を通らないと実装できない
4. AI は生成コードを作るが、gate が間違いを止める

つまり、AI に「正しく書いてね」と頼むのではなく、​正しくない書き方をしにくくするわけです。
この発想、かなり好きです。人間の根性に期待しない設計は、だいたい強い。

例: multi-tenant 認証を「証明の鎖」にする

元記事のデモは、multi-tenant API の権限制御です。
multi-tenant というのは、1つのシステムを複数の顧客組織（tenant）が共有する形のこと。たとえば、A社のデータをB社が見られないようにする必要があります。

ここで記事は、認証を次の鎖として表します。

• jwt-token
• authenticated-user
• tenant-access
• resource-access

つまり、最終的に resource に触れるには、

1. JWT token がある
2. 認証された user である
3. その tenant の member である
4. resource がその tenant のものだと証明できる

という順番を踏む必要がある、ということです。

Shen の仕様では、横線の上が前提、下が結論です。
これは論理学や証明の書き方に近くて、​前提を満たさないと結論を作れないという意味を持ちます。

ここはかなり美しいです。
権限チェックを if 文の集合としてではなく、​証明オブジェクトの生成条件として扱っているからです。

「証明を持つ値」という考え方

記事で出てくる witness（証人）という考え方も面白いです。
ある型の値を作るには、その値が正しいことを示す前提を満たしていないといけない、という発想です。

つまり、単なるデータではなく、

• この user は authenticated
• この user は tenant member
• この resource は所有されている

という証明を、​値そのものにくっつける感じです。

こうなると、handler 側は「毎回チェックする」よりも、「すでに証明済みの値を受け取る」形になります。
これ、実装の重心がかなり変わります。ミスが散らばらず、境界に寄るのが良いですね。

生成される Go の guard types

元記事では、Shen の spec から Go の guard type が生成される例が示されています。
たとえば TenantAccess は、フィールドが unexported になっていて、外から勝手に組み立てられません。

ポイントはここです。

• フィールド名を小文字にする
• constructor だけが値を作れる
• constructor が isMember == true をチェックする

こうすると、外部コードは TenantAccess{isMember: true} のような不正な作り方ができません。
Go の通常の可視性ルールを使って、​​「勝手に偽装できない」形にしているわけです。

これは派手ではないけれど、実務ではかなり効きます。
「テクニックとして新しい」というより、「当たり前の制約を、ちゃんと中央集権化した」感じです。こういうの、地味だけど強い。

ふつうの authorization と何が違うのか

通常の実装では、各 endpoint にこんな if が散らばります。

if !user.IsMemberOf(tenantID) {
    http.Error(w, "forbidden", http.StatusForbidden)
    return
}

これ自体は悪くないです。
でも、ハンドラが増えたり refactor が入ったりすると、​どこかで忘れやすい。

元記事の方式では、membership check は消えません。
ただし、それは handler のあちこちではなく、​TenantAccess を作る境界に集約されます。

つまり、handler は「チェックする場所」ではなく、「証明済みの値を使う場所」になる。
この分離はきれいですし、ミスの混入経路も減ります。

例: Alice は Acme に入れるが Globex には入れない

デモでは、Alice は Acme の member として扱われます。
なので Acme の resource は見られるけれど、Globex の resource は拒否されます。

拒否メッセージは、かなり素直です。

tenant access denied: user u-alice is not a member of tenant t-globex

この「機械的な no」が、記事の言う backpressure です。
変な例外処理や雰囲気レビューではなく、​ちゃんと止まる。ここは良い意味で冷たいです。

さらに強いのは、ビルド時に落ちること

記事では、AI が証明チェーンを飛ばして raw value を渡そうとすると、binary ができる前に build が失敗すると説明しています。

これはかなり大きいです。
なぜなら、runtime でエラーになるよりも、​compile-time で弾けるほうが圧倒的に安全だからです。

要するに、

• 実行してから気づく
• テストしてから気づく

ではなく、

• そもそもコンパイルできない

に寄せているわけです。
これが structural gate の強さです。

どうやって試すのか

元記事のプロジェクトには、以下が含まれます。

• spec
• generated guards
• Ralph loop を回す cmd/ralph/
• demo.md の curl transcript

また、自分のプロジェクトに組み込むための CLI として sb があり、sb init と sb loop を使う流れが紹介されています。

gate は sb.toml に定義され、たとえば次のようなものがあります。

• shengen で spec と生成コードのズレを検出
• go test ./... で runtime の不具合を検出
• go build ./... で型や proof chain の不整合を検出
• shen tc+ で Shen spec の内部整合性を検証
• tcb audit で生成済み guard code の手編集を検出

要するに、AI がコードを書き、gate がダメ出しし、その失敗が次の iteration の材料になる、という loop です。

この loop 設計はかなり実践的だと思います。
AI に「直して」と言うだけでなく、​直すための反発面を用意しているからです。

ただし、万能ではない

元記事もかなり正直で、「これで何でも防げる」とは言っていません。

制約やコストとしては、たとえば：

• spec を書く手間がある
• generator と audit script を保守する必要がある
• generated code は手で編集しにくい
• trusted computing base が増える
• Go では reflection や zero value、同一 package 内のコードなど、抜け道が理論上ありうる

つまり、​完全な防壁ではないです。
でも著者の主張はそこではなく、「意図した invariant を accident に破るのをかなり難しくする」ことにある。

この線引きはすごく大事です。
セキュリティや権限制御で「絶対に不可能」をうたう設計は、だいたいどこかで無理が出ます。だから、実務的に「事故りにくい」へ寄せるのは賢いと思います。

この話の本質: AI を信用するかではなく、失敗の形を設計するか

読んでいて感じたのは、この記事は AI coding の話に見えて、実はソフトウェア設計の古典的な話でもある、ということです。

昔から強い設計は、

• ルールを人間に覚えさせるより
• ルールを壊しにくい形に埋め込む

方向に進んできました。

AI が入ると、この傾向はさらに強くなると思います。
なぜなら、AI は平均的なコードを書くのは得意でも、​​「この invariant は絶対に落とすな」みたいな長期記憶は苦手だからです。

だからこそ、元記事のメッセージはかなり現実的です。
「もっと賢いモデルを待つ」より、「今あるモデルでも壊せない構造を作る」。この発想は、かなり実戦向きではないかと思います。

まとめ

元記事は、AI coding loop においては prompt でのお願いより、structural gate による拒否のほうが強い と主張しています。
Shen を使った仕様から Go や TypeScript の guard を生成し、権限チェックや不変条件を型レベル・構造レベルに押し込むことで、AI がうっかり間違える余地を減らす、という話です。

個人的には、これはかなり筋の良いアプローチだと思います。
AI に仕事を任せるほど、「正しく書いてね」より「間違えたら通らない」に寄せるのが大事になる。地味ですが、こういう地味なところに本当の価値があるんですよね。

参考: Structural Backpressure Beats Smarter Agents

同じ著者の記事

データセンターと脱炭素ルールの綱引き、テック業界がひとまず勝利

Financial Timesによると、テック業界はガスで動くデータセンターの「クリーンエネルギー」ルールをめぐって勝利した。 もともと、企業のnet zero（実質排出ゼロ）宣言を厳しくチェックする提案があったが、強いロビー活動の末に後退した。 つまり、データセンターの電源がガス中心でも、クリーンエネルギーだと主張しやすい余地が残った、という話だ。 背景には、AIの普及で増え続けるデータセンターの電力需要がある。 これは単なるルール変更ではなく、「AI時代の電力」と「脱炭素」の折り合いをどうつけるか、というかなり大きなテーマだと思う。 Financial Timesの記事タイトルは、「Tech groups score win on clean energy rules for gas-powered data centres」。直訳すると、「テック関連団体が、ガスで動くデータセンターのクリーンエネルギー規則で勝利を収めた」という意味です。 ポイントは、データセンターです。これは、クラウドサービスやAIを動かすための巨大

papoo.work

AI面接官は人間の代わりになれるのか？「データは集められても、意味までは拾えない」という指摘

Anthropicは、AI interviewerを使って約8万1,000人から意見を集めた大規模調査を実施した 調査は70言語・159カ国にまたがり、「大規模な質的調査」として注目された ただし元記事の研究者らは、AIは質問はできても、人間のように対話を深めて意味を理解するのは難しいと主張している 理由は、AIには lived experience（実際に生きた経験）、 positionality（研究者自身の立場や背景）、 reflexivity（自分の偏りを見つめ直す力）がないから つまり、AIは“data”は集められても、“meaning”までは作れない、というのが記事の核心 Anthropicは2026年3月、AI interviewerを使って「史上最大級かつ最も多言語な質的調査」を行ったと発表しました。集まった回答は約8万1,000人分。しかも70言語、159カ国に広がっていたというのです。数字だけ見れば、かなり派手です。正直、ここは「おお、ついにここまで来たか」と思ってしまいます。 Anthropicの主張はシンプ

papoo.work

GitHub内部リポジトリ流出騒動をわかりやすく解説：犯人は“毒入り”VS Code拡張？

GitHubは、悪意あるVisual Studio Code拡張機能による侵入を受けたと公式に認めた 被害は約3,800の内部GitHubリポジトリに及んだ GitHubは重要なsecretやcredential（認証情報）をローテーションしたと説明している 犯行を主張するハッカー集団TeamPCPは、ソースコードを盗んだうえで5万ドルで売ろうとしたとされる 企業側の“開発ツール”を悪用する手口で、サプライチェーン攻撃の怖さが改めて目立った Tom's Hardwareによると、GitHubの内部リポジトリが、悪意あるVisual Studio Code拡張機能をきっかけに侵害されたことが、GitHub自身のX投稿で明らかになりました。 ここでいう拡張機能は、VS Codeに追加して使う“便利機能”のことです。たとえばコード補完を強化したり、テーマを変えたり、作業を自動化したりできます。 つまり本来は開発者の味方。でも今回は、その“便利な道具”が侵入口になったわけです。いや、これはかなり嫌な話です。攻撃者は正面から強引に入

papoo.work

LLMの「30 tokens/s」はどれくらい速いのかを体感できる「tokenspeed」の面白さ

`tokenspeed` は、LLMの tokens-per-second（1秒あたりに出るtoken数） を「数字」ではなく「体感」で理解するためのツール `code` / `text` / `think` / `agent` の4モードがあり、出力内容によって「同じ速度でも速くも遅くも感じる」ことを見せてくれる 5 tok/s から 800 tok/s までのプリセットがあり、実際のモデル速度の感覚をつかみやすい tokenの数え方は各社の厳密なtokenizerではなく、BPE風の近似 「tok/sの数字は同じでも、コードと文章では体感がまるで違う」という点が、このツールの一番おもしろいところ LLMのベンチマークを見ていると、よく出てくるのが「47 tok/s」「180 tok/s」「500 tok/s」といった数字です。 でも正直、こういう数字ってピンと来にくいんですよね。 1秒に30 tokenって、速いの？ 遅いの？ 生活の中のどの感覚に近いの？ となりがちです。 そこで登場するのが `tokenspeed` です。 これは、LLMが出力する to

papoo.work

GitHub、悪意あるVS Code拡張機能経由で約3,800の内部リポジトリ流出を確認

GitHubは、社員の端末に悪意あるVS Code拡張機能が入ったことで、内部リポジトリが漏えいしたと認めた 影響を受けたのは顧客データではなく、GitHub内部のリポジトリだと説明している 攻撃者側は約4,000リポジトリの窃取を主張しており、GitHubの調査結果とかなり近い この事件は、開発者向けツールの“便利さ”がそのまま攻撃面にもなることを改めて示した VS Code拡張機能を悪用する手口は珍しくなく、過去にも似た事例が何度も起きている GitHubが、約3,800の内部リポジトリが侵害されたと確認しました。きっかけは、同社の社員が悪意あるVS Code拡張機能をインストールしてしまったことです。 VS Codeとは、Microsoftの人気コードエディタ「Visual Studio Code」のこと。 そして拡張機能は、エディタに機能を足すためのプラグインです。たとえばコード補完を強化したり、特定のクラウドサービスとつないだりできます。便利な反面、ここに“毒入り”が混ざると厄介です。かなり厄介です。 GitHubはこの

papoo.work

Xで「JavaScriptが無効」と出るときに何が起きているのか

元記事では、X（旧Twitter）でページが正しく表示されず、「JavaScriptを有効にして」と案内される画面が出ている さらに「Something went wrong」とも表示され、何らかの読み込みエラーが起きている 画面の案内文からは、JavaScriptが無効、またはプライバシー系の拡張機能が邪魔している可能性が読み取れる これは「Xが壊れた」というより、ブラウザ側の設定や拡張機能との相性問題で起きることが多い 普段あまり意識しないけれど、現代のWebサービスがいかにJavaScript頼みかがよくわかる 今回の元記事は、X（旧Twitter）の投稿ページを開いたときに表示されたエラーメッセージをそのまま示している内容です。 本文を見ると、まず目に入るのは 「JavaScriptを使用できません」 という案内。続けて、**「We’ve detected that JavaScript is disabled in this browser. Please enable JavaScript or switch to a supported b

papoo.work

OpenAIモデルが80年越しの「離散幾何」の難問をひっくり返した話

OpenAIの内部モデルが、離散幾何学の有名な未解決問題「unit distance problem」を解いた その結果、80年近く信じられてきた予想が否定された しかも解法は、単なる試行錯誤ではなく、algebraic number theory（代数的整数論）という別分野の深い道具を使っていた 外部の数学者たちが証明をチェックし、補足論文も執筆している 「AIは数学の助手」から一歩進んで、新しい発想を生み出す研究者になりうることを示した、という点が大きい OpenAIが発表したのは、離散幾何学の中心的な予想を、AIモデルが覆したというニュースです。 対象は「unit distance problem」と呼ばれる問題で、ざっくり言うと、 > 平面上に n 個の点を置いたとき、ちょうど距離 1 の点の組は、最大でいくつ作れるのか？ という問いです。 一見すると「そんなの数えればいいのでは？」と思ってしまいますが、これがとんでもなく難しい。 1946年に Paul Erdős が問題提起して以来、約80年ものあいだ数学者たち

papoo.work

CloudflareとStripeが、AIエージェントに「アカウント作成から本番デプロイまで」任せる時代を始めた

CloudflareとStripeが、AIエージェント向けの新しい protocol を公開した エージェントが Cloud account の作成、domain の取得、subscription の開始、production への deployment まで行える 支払いと本人確認は Stripe が担当し、デフォルトの月額上限は $100 人間が関与するのは主に「法的・金銭的に重い場面」 便利さは大きいが、間違ったdomain購入や予算超過などのリスクも現実的 Cloudflare と Stripe が、AI agent による “自動 provisioning” を可能にする protocol を公開しました。 ここでいう provisioning は、ざっくり言うと「サービスを使い始めるための初期設定一式を用意すること」です。普通なら人間が dashboard を開いて、アカウントを作り、支払い方法を入れ、API token を発行して、必要なら domain を買って、最後に deploy する。あれを AI agent がまとめてやるわけです。 InfoQ の記事によると、

papoo.work

AIの幻覚は「バグ」ではなく構造問題だった——鏡が壊れていても、鏡は鏡

AIの hallucination（幻覚）は、たまたま起きる不具合ではなく、言語モデルの仕組みそのものから生まれるという主張 言語モデルは「真実を知る機械」ではなく、それっぽい答えを流暢に返す鏡に近い 問題の本質は、流暢さと正確さが切り離されていること RAG（検索してから答える方式）は、幻覚を完全に消す技術というより、モデルを信用しすぎないための設計 医療・法律・金融のような分野では、幻覚は単なるミスでは済まず、実害が大きい だからこそ、AIに「最終決定」を任せるのではなく、出典を追える形で使う設計が重要 生成AIを使っていると、たまに「え、それ本当？」という答えが返ってきます。しかも厄介なのは、その答えがめちゃくちゃ自然な文章で出てくることです。 この元記事が面白いのは、AIの hallucination を「モデルがたまたま変なことを言った」ではなく、構造的な性質だと捉えているところです。 つまり、いまの言語モデルは「うっかりミスをする機械」ではなく、そもそも真実そのものを保証するようには作られていない、とい

papoo.work

npmでまた大規模汚染　317パッケージに悪性版、しかも仕込みがかなり手口が悪い

npmのメンテナーアカウント `atool` が侵害され、317個のパッケージに637個の悪性バージョンが公開された 影響を受けた中には `size-sensor`、`echarts-for-react`、`timeago.js`、そして多数の `@antv` 系パッケージが含まれる 月間ダウンロード数は合計で1500万超とされ、被害範囲がかなり広い ペイロードは認証情報の収集、GitHubへの漏えい、CI/CDへの永続化、AI開発ツールの乗っ取りまでやる しかも、単純な1回きりの攻撃ではなく、複数の経路で再感染しやすい設計になっているのが厄介 semver範囲（`^3.0.6` のような指定）を使っていると、`latest` タグを見ていなくても悪性版を自動で拾う可能性がある SafeDepの記事によると、2026年5月19日、npm のメンテナーアカウント `atool` が侵害されました。 その結果、22分という短時間に、317個のパッケージへ637個の悪性バージョンが一気に公開されたそうです。 ここで地味に

papoo.work