Vegas Engineering by FORBIS 記事一覧
← 記事一覧へ戻る
AI ・ 第9回

AIに基幹を任せる — preview→confirm→履歴→revert で作る安全なエージェント連携

全操作がWebAPIだから、AIは受注から出荷まで実行できる。暴走させないための"試す・承認・記録・戻す"の設計。

Vegas 開発チーム ・ 2026-07-03 ・ 読了 8分

PREMISE基幹が「全部API」であることの意味

通販基幹エンジンでは、受注登録・在庫引当・販促適用・出荷確定といった業務操作が、すべて単一ゲートウェイのWebAPIとして開かれている。人がGUIで押すボタンの裏側と、外部システムが叩くエンドポイントは同じ入口を通る。この均質さが、AIエージェント連携の前提になる。

操作がAPIで揃っていれば、それぞれをLLMの関数呼び出し(function calling)やMCPツールとして薄く包める。ラッパは薄くてよい。認証やバリデーションは基幹側に既にあるので、ツール定義は「名前・説明・引数」を宣言するだけで済む。結果として、AIエージェントは受注を自分で登録し、在庫を引き当て、販促を適用し、確定まで一連の業務を"自律的に"実行できるようになる。

SAFETY暴走させないための4段構え

AIに実行権を渡すなら、失敗を前提にした安全弁が要る。ここでは4段の設計を組み合わせる。

GUARDAIを信じすぎない — 冪等キーと基幹バリデーション

エージェントの出力は非決定的で、時に雑になる。同じ指示を二度実行したり、整合しない値を渡したりする。そこで各API呼び出しには冪等キーを持たせ、同一キーの再実行は結果を重複させない。加えて、値の検証はプロンプト側ではなく基幹側で行う。AIがどれだけ丁寧でも、最後の砦は業務ロジックに置く。

この二重の守りにより、二重受注や不正データは入口で弾かれる。「AIを賢くして防ぐ」のではなく「AIが間違っても壊れない」構造にするのが要点だ。

①AIが提案 function calling ②preview 本番影響なし ③人が承認 confirm ④無停止で反映 確定 履歴に記録・いつでもrevert
図:安全ループ。提案→preview→承認→無停止反映の一方向フローに、履歴とrevertの戻り線を重ねる。

USECASEユースケース — 自然言語から自動受注まで

典型は自然言語の運用指示だ。「来週の在庫過多の商品に販促を組んで」に対し、AIは既存の設定を読み、衝突しない整合的な設定案を組む。それをpreviewで検証し、担当者が承認して反映する。人はゼロから作らず、AIの下書きを吟味する側に回る。

もう一つは自動受注だ。音声・チャット・メール・EDIといった多様な入口をAIが解釈し、受注APIへ橋渡しする。入口の形式に依存せず、後段は同じAPIと同じ安全ループを通る。

tools/create_order.jsonJSON
{
  "name": "create_order",
  "description": "受注を登録する。previewモードでは本番に確定せず効果のみ返す。",
  "parameters": {
    "type": "object",
    "properties": {
      "customer_ref": { "type": "string", "description": "顧客参照キー" },
      "lines": {
        "type": "array",
        "items": {
          "type": "object",
          "properties": {
            "sku": { "type": "string" },
            "qty": { "type": "integer", "minimum": 1 }
          }
        }
      },
      "idempotency_key": { "type": "string" },   // 二重実行を弾く冪等キー
      "mode": { "type": "string", "enum": ["preview", "confirm"] }
    },
    "required": ["customer_ref", "lines", "idempotency_key", "mode"]
  }
}

TRADEOFF払うべきコストと限界

この設計は万能ではない。previewは追加の計算と評価環境を要し、承認フローは運用者の手を挟むぶん即時性を犠牲にする。全自動の速さと、人が挟まる安全性は基本的にトレードオフだ。どこまで自動承認ルールに委ね、どこから人を要求するかの線引きが、運用設計の勘所になる。

さらに、プロンプトインジェクション対策・権限設計・監査ログの保全は、この4段とは別に必須で用意しなければならない。ツールにどの操作を露出するか、エージェントごとに権限をどう絞るかは、実行権を渡す前に決めておく。安全ループは"間違いを戻せる"仕組みであって、"悪意ある入力を防ぐ"仕組みではない。

TAKEAWAY

全操作がAPIなら、AIは基幹を自律実行できる。鍵は賢いAIではなく、preview・confirm・履歴・revertと冪等キーで「間違っても壊れない・戻せる」土台を先に作ること。速度と安全のトレードオフは、承認ルールの線引きで調整する。