コーディングエージェントに「檻」と「ルール」と「テスト」を──Build 2026でMicrosoftが整えた3つの足回り
Build 2026でMicrosoftが、AIコーディングエージェントを安全に動かすための3つの開発者基盤を発表。隔離する「MXC」、許可・禁止を定める「ACS」、振る舞いを自然言語でテストする「ASSERT」を整理します。
AIコーディングエージェントを実務に組み込むうえで、性能と同じくらい頭の痛い問題が「安全に走らせる仕組み」です。ファイルを勝手に消さないか、社外秘を外に送らないか、想定どおりに振る舞うか──。2026年6月2日に開幕したMicrosoft Build 2026で、この“足回り”をまとめて埋める開発者向けの基盤が3つ発表されました。エージェントを隔離する実行環境「MXC」、許可・禁止をファイルで定める「Agent Control Specification(ACS)」、振る舞いを自然言語で検証する「ASSERT」です。
エージェントをOSの中で隔離する「MXC」
MXC(Microsoft Execution Containers)は、WindowsとWSLにまたがる、ポリシー駆動の実行レイヤーです。開発者が「このエージェントはどのファイルやネットワークに触れてよいか」を宣言すると、MXCが実行時にその境界を強制します。隔離の強さは用途に応じて選べ、たとえば軽量な「プロセス分離」は、モデルが生成したコードを限定された権限のプロセス内で動かす用途に向き、開発の内側ループ(コードを書いて試す反復)を止めません。一方の「セッション分離」は、エージェントの実行を人間のデスクトップやクリップボード、入力デバイスから切り離し、UIの偽装や入力の差し込みを防ぎます。現在は早期プレビューで、GitHub Copilot CLIがすでにMXCのプロセス分離を採用。OpenAIやNvidiaも対応に名を連ねています。
「やってよいこと」を持ち運ぶ──ACS
Agent Control Specification(ACS)は、エージェントの許可・禁止をポリシーファイルとして定義するオープンソースの仕様です。「何をしてよいか」「何をしてはいけないか」「いつ人間の承認を挟むか」「後で監査するために何を記録するか」を、開発・コンプライアンス・セキュリティの各チームが記述できます。チェックはワークフローの複数地点──入力を受け取る前、ツールを呼ぶ前、ツールの結果が返った後、最終応答の前──で働き、許可・ブロック・機密情報の伏字・人間への承認依頼といった処理を選べます。狙いは、フレームワークごとにばらばらだった制御を共通の統治レイヤーへまとめること。設定したルールはエージェントとともに移動するため、「社外秘の文書を共有させない」「特定サイトに触れさせない」といった制約が、環境を移っても付いて回ります。
振る舞いを自然言語でテストする「ASSERT」
ASSERT(Adaptive Spec-driven Scoring for Evaluation and Regression Testing)は、AIの期待される振る舞いやポリシーを平易な文章で書くと、それを「許容できる振る舞い」と「許容できない振る舞い」の構造化された集合に変換し、問題シナリオやテストケースを自動生成して対象システムに走らせ、結果を採点するオープンソースの枠組みです。途中のツール呼び出しを含む実行経路も記録するため、どこで失敗したかを追えます。汎用的な評価では拾いにくい、アプリ固有の文脈・ポリシーに沿った振る舞いの検証を埋める道具という位置づけです。
「任せられるローカル環境」へ近づく開発現場
3つに共通するのは、エージェントを“賢くする”話ではなく、“安心して任せられるようにする”話だという点です。隔離(MXC)・統制(ACS)・検証(ASSERT)が揃うことで、ローカルで動くコーディングエージェントに対し、権限を絞り、ルールを持ち運ばせ、振る舞いを回帰テストにかける、という運用が標準的な開発フローに組み込みやすくなります。
ビジネス面では、AIエージェントの本格導入で各社が気にしてきた監査性とガバナンスの空白を、開発ツール層で埋める動きと言えます。仕様の多くがオープンソースで、GitHub Copilot CLIやOpenAI、Nvidiaが早期に関わっている点も、特定製品に閉じない共通基盤として広がる可能性を示します。一方でMXCは早期プレビュー段階であり、実運用での使い勝手や他プラットフォームへの展開はこれから見極める段階です。コーディングエージェントを「試す」から「業務に組み込む」へ進める企業にとって、評価対象に加える価値のある一手と言えるでしょう。
参照: VentureBeat「Microsoft launches MXC, an OS-level sandbox for AI agents」 / TechCrunch「Microsoft offers devs a better way to control AI agent behavior」 / TechCrunch「New Microsoft tool lets devs spin up AI behavior tests using text descriptions」 / Windows Developer Blog「Windows platform security for AI agents」
