Claude Codeを使い始めた人の多くは、最初にその自由度に驚く。ファイルを読み書きし、シェルコマンドを実行し、外部APIを呼び出す——チャットボットではなく、環境に手を伸ばすエージェントとして動く。その自由度が生産性を生む一方で、あるタイミングで問いが訪れる。「このまま使い続けていいのか」と。
AIエージェントは最小権限で使う|Claude Code・MCP・VS Code拡張の安全な設定 は、その問いに具体的な答えを示している。OWASP「Top 10 for LLM Applications 2025」が定義する「Excessive Agency(過剰な権限)」リスクを起点に、プロンプトインジェクションの構造的な防ぎにくさを解説し、Claude Code の --allowedTools による権限絞り込みや MCP・VS Code 拡張の整理まで、実践的な設定を紹介している。基本方針は「全部許可してから困ったら制限する」ではなく、「最小で始めて必要な権限を足す」だ。
最小権限が「使える場所」を広げる
最小権限の原則を「制約」として読むと、生産性とのトレードオフに見える。承認ステップが増え、ツールが絞られ、スピードが落ちる——そういう印象が先に来やすい。
だが別の角度がある。エージェントに「何ができて、何ができないか」を明示することは、そのエージェントを信頼して使える文脈を増やすことでもある。
たとえば、シェル実行を制限したエージェントなら、チームの新メンバーへの展開時の懸念が下がる。読み取り専用モードに固定されたエージェントなら、本番に近い環境でも試験的に走らせられる。MCPの接続先を絞れば、外部サービスへの影響範囲を明確に保ったまま自動化パイプラインに組み込める。
権限の範囲を狭めることで、「使える場所」が広がる。この逆説は、ソフトウェア設計においてインターフェースを明確にするほど利用側が安心して組み込めるのと同じ構造だ。
「完全に信頼できる」より「信頼できる使い方を設計できる」
プロンプトインジェクションの問題は、SQLインジェクションと異なり構造的に防ぎにくい。LLMはデータと命令の間に堅牢な境界を持てないため、外部コンテンツを読み込む際に意図しない操作が起きうる。これはAIエージェントが「完全に信頼できるコンポーネント」ではない、という現実を示している。
しかし、コンポーネントが完全に信頼できなくても、信頼できる使い方の設計はできる。最小権限はその設計の中心にある。
個人ツールとして使う段階なら、全権限で動かすほうが速い。だがチームに広げる、複数プロジェクトに展開する、CI/CDや自動化フローに組み込む——そのステップが視野に入っているなら、権限設計への投資は今から始めたほうがいい。
最小権限で使うから、AIエージェントはより広い文脈で動かせる。その順番を意識することが、活用の射程を決める。
関連記事
参考文献
コメント