Agents SDKのサンドボックス実行で見る、エージェントアプリの新しい最小構成

OpenAI の Agents SDK は、会話型アプリを作るためのSDKから、長い作業を進めるエージェントの実行基盤へ寄っています。2026年4月15日の発表で特に重要なのは、ファイル参照、コマンド実行、コード編集、サンドボックス実行が同じ設計の中に入ってきたことです。

最小構成は「モデル + 作業場 + 証拠」

エージェントアプリを作るとき、モデル名やプロンプトだけを先に決めると失敗しやすくなります。先に決めるべきなのは、エージェントが触れる作業場と証拠です。

type AgentJob = {
  workspace: 'read-only' | 'scratch' | 'repo-branch';
  allowedTools: string[];
  evidence: string[];
  stopWhen: string[];
};

この程度の型を最初に置くだけでも、設計の粒度が変わります。エージェントに渡すタスクは、回答ではなく、検証可能な成果物として扱うべきです。

サンドボックスに入れるもの

サンドボックスは「危険なことを閉じ込める箱」だけではありません。エージェントに集中させるためのコンテキスト境界でもあります。

• 入れる: 対象ファイル、テストデータ、仕様、許可コマンド
• 入れない: 本番認証情報、不要な巨大ログ、関係ないリポジトリ全体
• 出す: 変更差分、実行ログ、失敗ログ、根拠ファイル名

OpenAIの発表例でも、データルームのような限定ディレクトリを渡し、その中のファイルだけを根拠に回答させる構成が示されています。この考え方は、コード修正だけでなく、契約書レビュー、ログ調査、データ抽出にも使えます。

失敗時の設計が品質を決める

エージェントは、途中で失敗しても何かしらの文章を返せます。だから、アプリ側で「失敗したら止める条件」を持つ必要があります。

• テストが失敗したら、修正を続ける前に失敗ログを要約させる。
• 参照ファイルが不足したら、推測で埋めずに不足リストを返させる。
• 許可外コマンドが必要になったら、人間の承認待ちにする。
• 変更ファイル数がしきい値を超えたら、作業を分割させる。

プロンプトだけで安全性を作るのではなく、SDK、サンドボックス、ログ、レビューを組み合わせる。ここがエージェントアプリの実装力になります。

出典

• OpenAI: The next evolution of the Agents SDK