PCAS（エージェント型システム向けポリシーコンパイラ）：依存グラフと宣言的ルールで認可ポリシーを決定的に強制する

TL;DR（結論）

• エージェント型 LLM を業務に入れると、承認フロー、データアクセス制限、顧客対応規程などの複雑なポリシーを守らせる必要がありますが、プロンプトに規則を書くだけでは強制力がありません。
• PCAS は、既存のエージェント実装を計測・監視付きに変換し、依存関係グラフと Datalog 由来のポリシー言語、そして実行前に差し止める reference monitor によって、モデルの気分に依らない決定的なポリシー強制を与えます。
• 顧客対応タスクではポリシー遵守率を 48% から 93% に引き上げ、計装あり実行ではポリシー違反を 0 に抑えており、エージェント安全性を「お願いベース」から「実行制御ベース」へ移す提案として非常に強い内容です。

なぜこの問題か

LLM ベースのエージェントは、メール送信、API 呼び出し、データベース参照、コード実行、複数エージェント間の連携など、すでに強い権限を持つ方向へ進んでいます。ここで求められるのは、単にタスクをこなせることではなく、組織や制度が要求する規範を破らないことです。顧客対応では勝手な返金や規約外の約束をしてはいけませんし、医療や研究では承認なしにセンシティブ情報へアクセスしてはいけません。現場で本当に怖いのは、モデルが少し賢くなることではなく、権限を持ったまま誤作動することです。

核心：何を提案したのか

提案の中心は PCAS、Policy Compiler for Agentic Systems です。名前の通り、既存のエージェントシステムとポリシー仕様を入力として受け取り、それを「ポリシー準拠が構造的に担保される計装済みシステム」へ変換します。重要なのは、セキュリティのためにエージェント本体を大きく書き直すことを前提にしていない点です。既存実装に observability と認可レイヤを差し込むことで、動作の外側から制御します。

続きはログイン/プランで閲覧できます。