無人で走るコーディングエージェントに「審査役」を仕込む──Cursorの6月SDK刷新が整えた自動化の足場
Cursorが6月に公開したSDK刷新は、人が見ていない場でエージェントを走らせる「無人運用」を現実にする更新だ。オートレビューの分類器、独自ツール、入れ子サブエージェント、JSONLストアが整えた自動化の足場と、その裏のリスクを整理する。
コーディングエージェントの話題は「対話でコードを書かせる」段階から、「人が見ていない場で自律的に走らせる」段階へと移りつつあります。Cursor が6月4日に公開したSDKの刷新は、まさにこの無人運用(ヘッドレス実行)を現実的にするための更新でした。翌6月5日のエディタ本体 v3.7 と合わせて、開発現場で何が変わるのかを整理します。
人が承認できない実行に、分類器という関門を置く
これまでエージェントにツール(ファイル削除やコマンド実行など)を呼ばせる際は、人が逐一承認するのが前提でした。しかしバッチ処理やCIのように人が介在しない実行では、その承認ステップが成立しません。かといって全許可にすれば暴走のリスクが残ります。
今回追加されたオートレビュー(local.autoReview)は、この板挟みに分類器(classifier)を挟む仕組みです。ツール呼び出しを一律に素通りさせるのではなく、「自動で実行してよいもの」と「保留して見直すもの」を分類器が振り分けます。判断基準は permissions.json に自然言語で書きます。
| 設定項目 | 役割 |
|---|---|
autoRun.allow_instructions | 自動実行に寄せたい操作を言葉で記述(例: ビルド成果物の読み取り) |
autoRun.block_instructions | 必ず保留したい操作を言葉で記述(例: 削除など破壊的な操作) |
「読み取り系は通し、破壊的な操作は止める」といった方針を、ルールを細かくコード化せずに自然文で指定できる点が実務的です。
6月4日SDKの主な変更点
独自ツールを別MCPサーバーなしで渡せる
関数定義を local.customTools として、エージェント生成時や送信ごとに渡せるようになりました。内部的には custom-user-tools という組み込みMCPサーバー経由で公開され、モデルは通常のツールと同じ経路で自作コードを呼びます。社内APIや業務ロジックを呼ばせるために、わざわざ独立したMCPサーバーを立てる手間が省けます。
サブエージェントが入れ子になる
サブエージェントが自分の配下にさらにサブエージェントを生成できるようになりました。レビュー担当が必要に応じてテスト作成担当に委譲し、その担当がさらに別の担当へ──という多段の分業が、各層ごとに固有のプロンプトとモデルを保ったまま成立します。有効化の操作は不要で、サブエージェントを定義していれば自動で入れ子が働きます。
状態をテキストで保存しバージョン管理できる
エージェントの実行状態は既定のSQLiteに加え、JSONLストアを選べるようになりました。追記専用のプレーンテキストで書き出されるため、差分を取ったりGitに含めたりできます。公開された LocalAgentStore インターフェースを使えば、インメモリやPostgres背後の独自実装に差し替えることも可能です。
エディタ側も自律実行に寄る(v3.7)
6月5日のエディタ本体 v3.7 では、UIを見ながら直接指示する「デザインモード」が強化されました。複数のUI要素をまとめて選択でき、エージェントは選択した要素のコード・周辺レイアウト・視覚的な関係をまとめて把握できます。音声入力にも対応し、エージェントが作業している最中でもマイクから次の指示を積んでおけます。
「使うAI」から「組み込むAI」へ
一連の更新が指し示すのは、Cursor を対話ツールとしてではなく、自前の自動化やシステムに組み込む部品として使う方向です。オートレビューは無人実行の安全弁、独自ツールは業務ロジックとの接続口、入れ子サブエージェントは複雑なタスクの分業、JSONLストアは実行履歴の監査・再現性を担います。これらは「コーディングエージェントを内製の仕組みに織り込む」ための足場と言えます。
ビジネス面では、夜間バッチや定型的な改修・調査をエージェントに任せる運用が現実味を帯びます。承認方針を permissions.json に集約できるため、チームでガードレールを共有・レビューしやすくなる点も、属人化を避けたい組織には効きます。
利便性の裏で増える「自律実行のリスク」
一方で、人の承認を外して機械が振り分ける以上、分類器の判断ミスや permissions.json の記述漏れがそのまま誤実行につながり得ます。自然言語での指定は柔軟ですが、解釈の曖昧さが残るのも事実です。破壊的操作を block_instructions で確実に止める、JSONLストアで実行ログを残して追跡できるようにするなど、「止める設計」と「後から検証できる設計」をセットで用意することが前提になるでしょう。自律性が上がるほど、与える権限の最小化とログの保全がこれまで以上に重要になります。
参照: Custom stores, custom tools, and auto-review for the Cursor SDK(Cursor 公式チェンジログ, 2026-06-04) / What's New in Cursor — Latest Updates & Release Notes(v3.7, 2026-06-05) / permissions.json Reference(Cursor Docs)
