LLM本来の能力を解き放つサンドボックス技術と AI民主化への適用 2026/06/09 - AI Engineering Summit Tokyo 2026 @yukukotani 

自己紹介 Yuku Kotani CTO @ Ubie, Inc. @yukukotani @yukukotani 

Vision Hello, healthy world. 世界80億人の健康寿命を延ばす挑戦 健康は、地域や文化、人種を問わず、全ての人にとって普遍的なテーマ。 Ubieは医療先進国である日本で育んだプラットフォームを世界に広げ、 地球上の80億人の健康寿命を延ばすことを使命としています。 目指すのは、健康がだれにとっても空気や水のように当たり前となる世界です。 Mission テクノロジーで、医療の願いを解き放つ 医療には、それぞれの立場の方の強い願いがあります。 患者さんの「治りたい」。医療者の「もっと一人ひとりに寄り添いたい」。研究者の「まだない治療を生み出 したい」。医療を届ける一人ひとりの「必要な人に届けたい」。立場は違えどその願いはすべて、誰もが健や かに人生を歩めることへ向かっています。 けれど今その願いは、行き渡らない情報、限られた時間、分断された知見などの中で、十分に叶っていませ ん。医療が持つ本当のポテンシャルは、まだ発揮されきっていません。私たちはテクノロジーでその制約をな くし、一つひとつの願いを解き放ちます。 医療に関わるすべての人と共に、その願いが向かう先へと、共に進んでいけるよう、取り組んでいきます。 

医療AIのパイオニアとして、日本の医療DXを牽引 

“頼れるAI”として一人ひとりの健康を支えています 

ヘルスケア領域におけるAI Safetyにも取り組んでいます ヘルスケア領域におけるAIセーフティ評価観点ガイド
 (JaDHAのWGリーダーとしてAISIと連携して公開) ヘルスケア事業者のための生成AI活用ガイド (JaDHAのWGリーダーとして公開) 

テーマ AI Agentの安全性と自律性・利便性の両立 

目次 1. Ubie社内のAI Agentの現在地 2. AI Agentの自律性を阻む壁 3. 安全に自律させるためのアプローチ 4. プロダクトへの適用 まとめ 

2023年5月から社内生成AI基盤を開発・運用 Prompt, Tool, Knowledge などを設定したエージェントを作成できる 

Slackからチームメンバーのように実行 デイリースクラムの自動進行など Ambientな振る舞いも実現 

浸透の壁はクリアしている。残るは問題解決の質 AIパートナー数 400+ AIパートナー利用率 100% AIパートナー作成率 81% 

AI Agent向けの透明性 データを「公開」するだけでなく「整理」「配信」することで実用レベルに Slack,Salesforce,カレンダー,議事録,組織図などあらゆるデータにアクセス可能 すべてをBQに集めるデータパイプラインを構築した Notionドキュメントにもセマンティックにアクセス可能 全フロー情報共通DBやタグの整備、DB階層化の禁止など 各データにAIのユースケースに合わせた事前加工やメタデータ付与 人事情報などのセンシティブデータも適切なアクセス制御の上でAIが読める 

リポジトリ横断でHITLを伴うような高度なエージェントも 

目次 1. Ubie社内のAI Agentの現在地 2. AI Agentの自律性を阻む壁 3. 安全に自律させるためのアプローチ 4. プロダクトへの適用 まとめ 

AIの進化が凄まじい件について 

約15時間のタスクを解けるレベルに https://metr.org/time-horizons/ 

/goal などのハーネスも自律性に大きく寄与 https://developers.openai.com/cookbook/examples/codex/using_goals_in_codex 

我々の現場はどうだろう？ 

長時間タスクを実行するには多くの壁がある 無限のパーミッション承認 情報アクセス制限 環境依存の競合 

無限のパーミッション承認 

コマンド単位で確認・承認しているとキリがない 数秒のコマンド単位でHITLしているようでは15時間級のモデル性能も意味がない 

とはいえYOLOモードでは容易に情報が流出する 

悪意のない流出パターンもありうる 

許可/禁止コマンドリストをメンテナンスするのも大変 パターンがありすぎて塞ぎ切ることは困難 エージェントがコード生成・実行するパターンはどう塞ぐ？ 一見無害なコマンドが実は危険なことも 例: find . -name "dummy" -exec rm -rf / \; 

情報アクセス制限 

長時間タスクは探索的な要素が多い 与えられた入力を直接的に処理するだけのタスクなら長時間にはならない。 自律的に情報収集・分析できるケイパビリティが必須。 15時間級タスクでは解決の道筋もAI Agentが立てるため、「必要最小限の情報」を 人間が決めるのも難しい。（AI Agentを惑わせない程度に）なるべく多くの情報に 触れられることが問題解決の質に直結する 

どこまで情報にアクセスしていい？ Slackからのアクセスなどを考慮すると、出力が多くの人の目に触れてしまう。 アクセスレベルの異なるメンバー（業務委託など）がいる場合、 そちら側に倒した権限になってしまい、大したことができない あるいは、AI Agentが他の人の目に触れないローカルに閉じてしまい、 せっかくの仕組みが浸透しない 

環境依存の競合 

複数のタスクがリソースを共有すると競合する 同じポート番号で開発サーバーを立てようとしたり... 同じDBにマイグレーションを走らせたり... 競合してつまづくと往々にして人間の介入が必要 

目次 1. Ubie社内のAI Agentの現在地 2. AI Agentの自律性を阻む壁 3. 安全に自律させるためのアプローチ 4. プロダクトへの適用 まとめ 

サンドボックス 

エージェントの副作用をサンドボックスに閉じ込める Shell, File Systemにアクセスするツールはサンドボックスを呼び出す形にする 

サンドボックス？ セッションごとに分離されたShell/File Systemを持つ環境。 専用のコンテナインスタンスが立つイメージ 典型的にはMicroVMで実現 Daytona, E2B, Modal, Cloudflare, Vercel などがマネージドで提供 UbieではE2Bと自作環境(GKEベース)の2系統を運用中 Cloud Run Instancesも検証予定 

クレデンシャルは必要なときだけ注入 Agent Loopがbash toolを実行する時にhookして、 直前に必要な認証情報だけをサンドボックスに注入し、直後にクリーンアップ 

ネットワークレイヤでも多層防御 mitmproxyベースでリクエストをペイロードまで検証し、漏洩を防止 

安心してYOLO的に任せられる リスク回避はハーネスに任せて、HITLは本質的な意思決定のためだけに使う サンドボックス内には必要最低限の情報だけ & ネットワークレイヤでも防御 → 漏洩パスがないことを決定論的に保証できる 万が一環境が壊れてもサンドボックスを捨てればよい → アプリケーション本体には影響がない 

Claude Managed Agentsでも採用 “Decoupling the brain from the hands” としてパターン化されている。 Brain = Agent Loop, Hands = Tools https://www.anthropic.com/engineering/managed-agents 

サンドボックス分離によって環境の競合も解消 MicroVMベースであればプロセス空間も分離されるため、 開発サーバーもデータベースも競合せずに建てられる クラウドかつ~1sで起動する軽量さなのでオーバーヘッドも気にならない 

権限モデル 

共有スコープに応じて権限を分離 Shared = Service Account, Personal = OAuth にそれぞれImpersonation。 個人Credential由来のデータを含むセッションは共有されず個人に閉じるように。 

最大限のデータアクセスと共有を実現 同じAgentを共有しつつ、動かす環境によって、 Service Accountでのベーシックなデータアクセス x セッション共有(Slack含) OAuthで個人レベルのより広いデータアクセス x クローズド の2系統を使い分けることができる 

目次 1. Ubie社内のAI Agentの現在地 2. AI Agentの自律性を阻む壁 3. 安全に自律させるためのアプローチ 4. プロダクトへの適用 まとめ 

サンドボックスの力はコーディングに留まらない 長く難しいタスクを解く上で、LLMはシェルやファイルシステムを上手に使う タスクの途中結果をファイルに書き出しておく pipe (`|`), sed, jq,head などを組み合わせてツールを効率的につなぐ オンデマンドにコード生成をして安定的なトライアンドエラーを実行する 

AnthropicやCloudflareも提唱 MCPをAgentが直接呼ぶのではなく、MCPを呼ぶコードを書かせるアプローチ https://www.anthropic.com/engineering/code-execution-with-mcp https://blog.cloudflare.com/en-us/code-mode-mcp/ 

軽量化が進んで組み込みやすくなっている インメモリでShell, File Systemをエミュレートするライブラリ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 const hello = defineCommand("hello", async (args, ctx) => { const name = args[0] || "world"; return { stdout: `Hello, ${name}!\n`, stderr: "", exitCode: 0 }; }); const upper = defineCommand("upper", async (args, ctx) => { // ctx.stdin is a ByteString — decode to text before string ops. return { stdout: decodeBytesToUtf8(ctx.stdin).toUpperCase(), stderr: "", exitCode: 0, }; }); const bash = new Bash({ customCommands: [hello, upper] }); await bash.exec("hello Alice"); // "Hello, Alice!\n" await bash.exec("echo 'test' | upper"); // "TEST\n" https://justbash.dev/ 

プロダクトとしてのAI Agentにも適用できる 高度な問題解決を行うエージェントを提供する場合、 環境データとドメイン特有のSkillを持たせてサンドボックスで自由に振る舞う方が、 良い結果になる可能性がある 特に普及を目指す上では甘い入力への対応が必須。 そこでAI Agentの自律性のレバレッジがカギとなる。 

目次 1. Ubie社内のAI Agentの現在地 2. AI Agentの自律性を阻む壁 3. 安全に自律させるためのアプローチ 4. プロダクトへの適用 まとめ 

安全性を理由に自律性・利便性を諦めない！ SOTAモデルの性能を活かすためには自律性を妨げないことが重要 サンドボックス技術を中核に据えた多層防御とアクセス制御によって、
 安全性と自律性・利便性の両立ができる プロダクトとしてAI Agentを提供する上でも重要な技術になる 

ありがとうございました🤩