自己検証型エージェントにおけるランタイム誤り訂正：監査可能なリプレイによるエラー流出の抑制

課題：自己検証と訂正の乖離

自己検証型のエージェントは、デモンストレーションでは説得力があるように見えても、本番環境で失敗することが少なくありません。その理由は単純です。出力を批判することと、変化を強制することは別物だからです。実際、エラーを特定できても、同じ制約下でツールを確実に修正、再試行、あるいは再実行できないエージェントでは、結局のところ、ユーザーに届く経路にミスが入り込むことを許してしまいます。

本稿で定義する「自己検証」には、エージェントによる「判定」プロンプト、ルーブリック（評価基準）に基づく批評、リフレクション・ループ（「ミスを振り返り、再度試行する」など）、あるいは独立した批評エージェントといった内部チェック機構が含まれます。これらは有用ではありますが、十分ではありません。正当性と弱くしか相関しない、自信に満ちた論理構成が生成されることもあります。また、システムが「修正」ではなく「観察」を目的として設計されている場合、修正には至りません。その結果、エージェントは「自分が間違っていることは分かっている」のに、一貫して自らを直すことができないという、見慣れた光景が繰り返されることになります。

これに対し、「ランタイム誤り訂正（Runtime error correction）」は、推論時に実行される強制的な救済措置です。これは、検証結果を制御アクション（制約付きの再プランニング、ガードレールを用いたツールのリプレイ、パラメータの修復、あるいは人間へのエスカレーション）へと変換する、エージェント・ランタイムの一部です。そして、ランタイム検証レイヤーは、何をログに記録し、何をチェックし、どのように再試行し、いつ停止するかを決定するインフラストラクチャです。端的に言えば、自己検証は「診断」であり、ランタイム訂正は「制御」なのです。

エージェントの導入が加速し、セキュリティやコンプライアンスへの期待が高まるにつれ、運用上の緊急性も増しています。ハードウェア関連のレポートによれば、中国では政府系コンピュータでのOpenClawの使用が禁止され、導入が過熱する中でセキュリティ指針の策定と懸念の表明が行われました。この特定の政策の詳細は本稿の範囲外ですが、そこから得られる教訓は広く適用可能です。すなわち、リスクの高い環境では、なぜそのツール呼び出しが行われたのか、モデルは何を判断したのか、そして誤りがあった際に何が変更されたのかを説明する能力が求められるということです。(tomshardware.com)

結論として、「自己検証」は制御システムへの入力として扱うべきであり、決して結果の保証と見なしてはなりません。検証結果が、決定論的に制約付きの訂正パスや監査可能なエスカレーションをトリガーできるよう、アーキテクチャを構築する必要があります。それがなければ、自信に満ちた批評が集まるだけで、エラーの流出を意味のある形で減らすことはできないでしょう。

振り分けるべき検証失敗モード

まず失敗の経路を設計し、それぞれの失敗クラスが特定の訂正メカニズムをトリガーするようにします。

1. 「修正不能」失敗モード 自己チェックは実行されるものの、ランタイムがそれに基づいた行動を拒否するケースです。編集がブロックされたり、新しいツール呼び出しが許可されなかったり、あるいは再試行の予算（リソース）がゼロまたは少なすぎたりする場合です。運用上、これは「制御を伴わない検証判定」となります。この解決策はアーキテクチャにあります。修正能力は、プロンプトの後付けではなく、ランタイムの契約（コントラクト）の一部であるべきです。ステートマシンは VERDICT_FAIL -> (REPLAY|REPAIR|ESCALATE) という遷移を許容しなければなりません。

2. 「判定モデル（Judge）の不信頼」失敗モード 判定モデルやルーブリックは脆弱な場合があります。表面的な流暢さを過大評価したり、否定語（「～ではない」）の扱いを誤ったり、ドメイン間で一貫性のない挙動を示したりします。重要なのは、判定が単に誤るということではなく、分類可能な予測可能な形で誤るということです。以下のような失敗クラスを定義してください。 ・フォーマットと判定の不一致（事実誤認を装ったスタイルの失敗） ・ドメインと否定の不一致（否定の範囲の誤認） ・エンティティ解決の不一致（エンティティの命名に起因するペナルティや承認） 各クラスについて、数値範囲のチェック、ツール出力とのエンティティ照合、スキーマ検証など、判定を上書きすべきエビデンスを定義します。

3. 「ツール呼び出しの死角」失敗モード 多くのループでは、最終的なテキストのみを評価し、上流で実際に何が起きたかと判定を紐付けていません。ツールの出力が誤っていたり、無視されたり、安全でない形に変換されたり、一部しか取り込まれていない可能性があります。つまり、判定モデルはエビデンスの「要約」を評価しているに過ぎないのです。解決策は、検証の決定をツール出力のエビデンスID（およびそれを生成したツール呼び出しパラメータ）に紐付けることです。トレースにツールのエビデンスが欠落している場合は、判定が「合格」であっても信頼度を低く設定します。

4. 「再試行予算の崩壊」失敗モード 訂正は許可されているものの、システムが無制限な挙動に陥るケースです。再試行のたびにプラン、ツール、パラメータ、プロンプトなど多くの変数が変更されると、それは「訂正」ではなく「新しい戦略」になってしまいます。解決策はスコープの制限です。各失敗クラスに対し、変更を許可する変数を限定します。 ・算術入力の再計算 ・検索クエリ文字列のみの調整 ・不足している必須スキーマフィールドの補完 ・ホワイトリストに登録された修復対象フィールド以外の引数は維持したまま、特定のツール呼び出しを再実行

「リフレクション（内省）」や「批評」をパターンとして強調するリソースは多いですが、実装上の鍵は、リフレクションを強制力のあるランタイムの挙動に翻訳することです。例えば、Reflexionパターンは将来の行動を改善するためにリフレクションを用いる反復サイクルを記述していますが、反復そのものが訂正ではありません。再試行のスコープを制限し、ツールの呼び出しを制御し、元の失敗を特定したのと同じチェック項目で修正後の試行を検証する「訂正ポリシー」が必要です。(https://agent-patterns.readthedocs.io/en/latest/patterns/reflexion.html)

ツールの失敗（検索、データベース、コード実行、チケット作成など）の頻度を考えれば、ランタイムの監査可能性の重要性は明白です。ツールの入出力をログに記録しなければ、後でモデルがなぜ誤った答えを出したのかを説明できません。再現性は重要です。マルチエージェントやエージェントのデバッグを目的としたプロジェクトは、トレースの検査なしには、失敗の原因が検証にあるのか、プランニングにあるのか、あるいはツール実行にあるのかを特定することが困難であるという現実を示しています。(https://github.com/debugmcpdev/mcp-debugger; https://github.com/VishApp/multiagent-debugger)

また、多言語設定では評価自体が劣化することがあります。ターゲット言語に合わせたルーブリックは、否定、法助動詞（「しなければならない」「すべき」「してもよい」）、敬語などの解釈が言語間で異なるため、対称的に機能しない場合があります。同じタスクでも言語が異なればエンティティの分布やツールのクエリパターンが変わり、判定モデルと実行モデルの系統的なミスマッチを引き起こします。単一言語でのみ評価して多言語展開した場合、オフラインテストは良好でも、本番環境でエラーが急増するリスクがあります。

要点： 運用マニュアルにおいて、検証の失敗を明示的に分類してください。各失敗クラスを、(a) 応答構造のみを変更する制約付き修正、(b) ホワイトリスト化されたパラメータのみを変更する制約付きツールのリプレイ、(c) エビデンスの欠落や判定信号の不信頼時のエスカレーション、のいずれかにマッピングします。

トレースを活用したランタイム検証の構築

ランタイム検証レイヤーは、後付けではなくインフラとして構築されるべきです。その背骨となるのがトレースログですが、これは単なる事後分析のためではなく、**「訂正のために設計されたトレース」**である必要があります。

エンドツーエンドで再現可能な、追記専用の記録を目指します。具体的には、(1) ユーザーの意図抽出、(2) 意思決定に関連する内部状態、(3) 引数を含むツール呼び出し、(4) ツール出力、(5) 最終回答の候補、(6) 検証の決定（合否とその理由）です。「何が起きたか」と「なぜ起きたか」の両方を、リプレイ可能な形式で保存します。

これを運用するために、エビデンスIDと不変条件チェックを含むトレーススキーマを導入します。

• エビデンスID： すべてのツール出力にアドレス可能なID（例：evidence.tool.search[call_3].output_hash）を付与します。ルーブリックによる評価は、必ずこれらのIDを参照するようにします。
• 不変条件チェック： 検証器は、判定モデルの流暢さに依存しない特性をチェックすべきです。
  • パラメータの不変条件：数値範囲、列挙型の妥当性、必須キーの存在。
  • エビデンスの不変条件：参照されたエンティティがツール出力内に存在すること（参照整合性）。
  • 変換の不変条件：モデルが「結果セットYの中にXが含まれる」と主張する場合、ランタイムが記録したツール出力のペイロードにXが出現することを要求する。
• 意思決定の出所（プロブナンス）： 検証結果には、自然言語による説明だけでなく、どのチェックが作動したか（例：check_schema_pass, check_reference_integrity_fail）を含めるべきです。

意味のある訂正を行う上で、ツール呼び出しの監査は不可欠です。「監査」とは、ツールの入出力を不変条件やポリシー制約と照らし合わせることを意味します。パラメータは許容範囲内か、必須フィールドは使用されたか、古いキャッシュを無視していないか、出力内容を正しく引用・取り込んでいるか。デバッグ指向のリポジトリが示すように、現実世界のデバッグは、最終的なテキストではなく、アクションと意思決定の連鎖を示す構造化されたトレースに依存しています。(https://github.com/VishApp/multiagent-debugger; https://github.com/debugmcpdev/mcp-debugger)

テスト時のルーブリックは、検証ロジックの成果物として扱い、絶対的な真実とは見なさないでください。ルーブリックは特定のカテゴリーにおける「正しさ」を定義するものですが、実際には一貫したスコアリングルールで実装され、バージョン管理され、ラベル付きサンプルで校正される必要があります。リフレクション・エージェントは反復サイクルで動作するため、ルーブリックが「実際に正しいかどうか」ではなく「判定モデルが好むかどうか」に過学習しやすくなります。(https://www.emergentmind.com/topics/reflection-agent; https://arxiv.org/abs/2404.00828)

多言語評価の落とし穴には、ランタイム検証における明示的な緩和策が必要です。言語ごとにルーブリックのバージョンを管理し、「失敗ラベル」を言語間で安定させます。また、判定モデルを使用する場合は、言語間での不一致（ある言語では合格、別の言語では不合格となるケース）を監視します。

要点： トレースとルーブリックをランタイムの第一級の機能として扱ってください。候補となる訂正試行を元のツールコンテキストでリプレイできず、検証結果がエビデンスIDに紐付いていないのであれば、エラー流出率を自信を持って下げることはできません。

制約付きランタイム訂正：リプレイによる修復

自己検証でエラーを特定したら、次は訂正ですが、新たなミスを生まないよう制約を設ける必要があります。

「制約付き再プランニング」とは、限定された範囲でプランニングのステップを再実行することです。計算ミスが原因であれば、プラン全体をやり直すのではなく、該当する数値の再計算パスのみを許可します。必須フィールドの欠落であれば、スキーマチェックを伴う構造化された補完ステップのみを許可します。制約を設けることで、検証が際限のない迷走した再試行の言い訳になるのを防ぎます。

「ガードレール付きツール・リプレイ」は、運用上最も価値のある訂正手段です。ツール呼び出しが失敗の原因である可能性が高い場合、同じ引数、あるいは検証された失敗クラスに対処するために最小限変更された引数セットで再実行します。例えば「エンティティの間違い」であれば、検証された不一致理由に基づいて検索クエリを修正し、ツールを再実行して再検証します。リプレイは監査可能でなければなりません。何が、なぜ変更され、修正後の試行が検証を通過したかを記録します。

変更内容を具体化するために、トレースに**パラメータ・デフ（parameter-diff）**オブジェクトを記録します。

• tool_name と call_id
• original_args（元の引数）
• repaired_args（ホワイトリスト内のフィールドのみ）
• 失敗クラスごとに許容される変更を規定する whitelist
• 各変更フィールドを特定の失敗チェックに紐付ける diff_reason

エスカレーション・ガバナンスによってループを閉じます。すべての訂正を自動化すべきではありません。リスクと検証の信頼度に基づき、人間を介在（human-in-the-loop）させます。リスクの判断基準には、エージェントがツールを通じて機密性の高いアクション（書き込み、アカウント変更、特権クエリなど）を実行したか、訂正がそれらのアクションを変更するか、失敗クラスが系統的な不信頼性を示しているか、などが含まれます。自動訂正はリスクが低く完全に監査可能な場合に適しており、不可逆的な害を及ぼす可能性がある場合やエビデンスが不十分な場合には人間の介入が必要です。

OpenClawに関連するセキュリティと監査の現実は、これを交渉の余地のないものにしています。政府での使用禁止やセキュリティ指針への懸念は、チームに対して挙動の正当化と、失敗時の制御ロジックの提示を強いています。エージェントが誤った際に何が起きるのか、それをどう検知し訂正するのかを説明する責任が組織には生じます。(tomshardware.com)

要点： ランタイム訂正レイヤーには、「検証」「失敗分類」「制約付きリプレイ/修復の適用」「再検証」の4つの明示的な状態を持たせるべきです。それ以外は運任せに等しいと言えます。

多言語の信頼性：言語別のルーブリック

多言語エージェントの信頼性は、エラー制御が疎かになりやすい領域です。多言語評価を、単なるルーブリックの「翻訳」として扱ってしまうのが典型的な罠です。ある言語で機能するルーブリックでも、否定の範囲や条件文の表現、エンティティの命名規則といった言語的特徴により、別の言語では判定が微妙に狂うことがあります。

エラー流出を抑えるには、言語ごとに校正されたテスト時ルーブリックを使用してください。校正とは、言語ごとにラベル付きデータセットを用意し、判定モデルの合否が正解（グラウンドトゥルース）とどの程度一致するかを測定することです。リフレクション・ループにおいて、批評に使う言語自体がモデルの修正内容を左右するため、多言語翻訳はそのループを不安定にする要因となります。(https://agent-patterns.readthedocs.io/en/latest/patterns/reflexion.html; https://www.emergentmind.com/topics/reflection-agent)

実用的な防護策として、可能な限り「言語に依存しない（language-agnostic）」二次検証器を併用することが挙げられます。これは、言語的な流暢さではなく、スキーマの妥当性、数値範囲のチェック、参照整合性などの構造化された制約に焦点を当てたものです。これにより、言語解釈のニュアンスに左右されない検証チャネルを確保できます。

要点： 多言語検証を独立した信頼性パイプラインとして扱ってください。検証がツールのエビデンスに紐付いていることを確認し、判定モデルの自信だけが防衛線にならないよう、構造化された言語依存のない検証器を少なくとも1つは含めるようにします。

訂正レイヤーが阻止すべき運用の失敗例

訂正レイヤーが何を防止するためのものか、具体的なケースで示します。

第一のケースは、OpenClawの政府利用禁止とセキュリティ指針です。詳細はこの記事の範囲外ですが、結論は明白です。セキュリティ上の懸念が表面化すると、運用のリスクは即座にガバナンス上の措置へと直結します。タイムラインと結果は、組織がエージェントの行動を制御できなければならないことを示しています。(tomshardware.com)

次に、トレースを通じてマルチエージェントの挙動を検査できるデバッグツールの台頭です。MCPデバッガーなどの存在は、エージェントが「何を言ったか」だけでなく「何をしたか」を理解する必要があるという運用上のニーズを反映しています。これは、ランタイム訂正を信頼できるものにするための前提条件です。(https://github.com/debugmcpdev/mcp-debugger; https://github.com/VishApp/multiagent-debugger)

第三のケースは、AutoAgentなどのリフレクションや反復的な改善行動を実装したシステムです。こうした実装の広まりは、リフレクション・ループが実用化されつつあることを示しています。しかし、訂正ポリシーを伴わないリフレクションはエラー流出を減らしません。目指すべきは「リフレクションが行われること」ではなく、「リフレクションが、制約付きの訂正、エビデンスに基づく再検証、そして必要な際のエスカレーションをトリガーすること」です。(https://github.com/HKUDS/AutoAgent)

要点： 訂正レイヤーは、(1) モデルのテキストの問題と誤認されがちなツール由来のエラー、(2) チームがアクションを説明・制御できないガバナンス上の失敗、という2つの大きな失敗カテゴリーを防止します。

ガバナンスを備えた本番環境のブループリント

単一の判定モデルに依存しない、実用的なブループリントを以下に示します。

ステップ1：失敗クラスの早期検知

検証出力を使用して、何が問題だったのか（事実の不一致、計算ミス、スキーマ違反、ツールの不整合など）をタグ付けします。目的は完璧なラベリングではなく、適切な訂正メカニズムへの正しいルーティングです。

ステップ2：堅牢なランタイム検証レイヤーによる妥当性確認

チェック項目をツール出力のエビデンスIDに紐付けます。可能な限り決定論的な基準を用い、構造化された検証器を併用します。トレースログにはルーブリックと判定モデルのバージョンを記録します。(https://agent-patterns.readthedocs.io/en/latest/patterns/reflexion.html)

ステップ3：制約付きのリプレイまたは修復による訂正

ツールに起因する場合はガードレール付きでリプレイし、形式の問題であればエビデンスを変えずにスキーマ修復を行います。再プランニングは限定的な範囲に留め、新たな失敗モードを生まないようにします。

ステップ4：監査証跡を伴うエスカレーション

影響の大きいアクションが変更される場合や、検証エビデンスが不十分な場合は、人間のレビューに回します。エスカレーション・パッケージには、トレースID、検証判定、トリガーとなったエビデンス、提案される修正内容、再検証結果を含めます。

ガバナンスのトリガーこそが成功の分かれ目です。どのツール呼び出しが自動リプレイの対象で、どれが人間の承認を必要とするかを定義してください。再試行の予算と停止条件も設定します。これらは信頼性向上だけでなく、安全のためのレバーでもあります。

要点： このブループリントを明示的なルーティングを持つステートマシンとして実装してください。検証が「何が失敗したか」を伝え、ランタイム検証が「それを裏付けるエビデンス」を示し、制約付き訂正が「最小限の修正」を行い、ガバナンスが「自動実行の可否」を決定します。

予測：次四半期のランタイム訂正

多くのチームが「判定モデルを追加した」段階で停滞しています。次のステップは、ランタイム訂正パスと測定可能な監査信号の実装です。今後3ヶ月で、以下の3つのマイルストーンを優先してください。

• マイルストーン1：トレースのリプレイ化 ツール呼び出しの入出力や検証決定を含む、回答生成コンテキストを完全に再構築できるようにします。(https://github.com/debugmcpdev/mcp-debugger; https://github.com/VishApp/multiagent-debugger)
• マイルストーン2：エビデンスに紐付いた検証の構築 検証結果を最終テキストだけでなく、ツールのエビデンスIDに依存させるようにします。
• マイルストーン3：ガバナンストリガーの導入 低リスクな形式の問題には自動訂正を、高影響なツールアクションには人間によるレビューを割り当てます。

政策的な推奨事項として、本番環境のすべてのエージェント・ワークフローに対し、アプリケーション・レイヤーで強制される「ランタイム検証レイヤー契約」と「エスカレーション・ポリシー契約」の同梱を義務付けるべきです。

90日以内にリプレイ可能なトレースとエビデンス紐付け検証を実装したチームは、失敗クラスごとのエラー流出低減を定量化する制御されたパイロット運用が可能になるでしょう。180日以内には、それを主要な多言語ルートに拡大し、言語別のルーブリック校正を追加することで、多言語評価の落とし穴による判定のドリフトを食い止めることができるはずです。

意識と管理の転換が最後のステップです。リフレクション・ループを「成功基準」ではなく「入力」として扱いましょう。真の成功基準は、強制力のある訂正アクション、エビデンスに基づく検証、そして正当性を証明できない際に行われる監査済みのエスカレーションであるべきです。