コードがどこで動くか、認証情報がどこに保存されるか、誰が何を承認したか
業務プロセスをAIに任せる前に、これらの疑問をはっきりさせておく価値があります。このページでは項目ごとに回答し、各項目はプラットフォームですでに実現されている仕組みに対応しています。
各防御ラインは実現済みの仕組みに対応しています
6枚のカードがそれぞれ1つの事柄を担い、各項目は製品の現在の実装から取られています。
- コードステップはDockerサンドボックスで実行され、実行のたびに新しいコンテナになります
- 各言語は専用の実行イメージを使います
- コンテナの外部通信は制御され、デフォルトのタイムアウトは30秒です
- 認証情報はAES-256-GCMで暗号化して保存されます
- 暗号化キーはローテーションに対応します
- Claude Pro / ChatGPTはサブスクリプションログインを利用でき、API Keyを貼り付ける必要はありません
- 14種類のOAuth / OIDCログイン方式に対応し、自前のOIDCを含みます
- API Keyは6種類の最小権限のスコープに沿って発行されます
- 実行のトリガー、結果の読み取り、承認への応答は、それぞれ別のKeyを使えます
- manual_approvalを付けたステップは実行を一時停止し、通知はApp内、メール、APIの3つの経路を通ります
- 承認リストの数値は直接変更でき、例えば入札を変更してから承認できます
- タイムアウトすると自動的に却下し、時間は設定可能です
- 実行タイムライン、各ステップのログ、token使用量とコストを都度記録します
- 実行の過程はJSON / YAMLでエクスポートできます
- Enterpriseプランは監査ログを提供します
- 並列実行数はプランに応じて制限されます。1 / 5 / 15 / 50
- 実行履歴はプランに応じて保持され、Teamプランは180日です
- AIアシスタントの利用量には1日あたりの上限があり、Proプランは20回/日です
7種類の言語のコードステップは、すべてサンドボックスで動作します
python、javascript、typescript、bash、ruby、lua、cli。どの言語であっても、本番環境のコードステップはDockerコンテナ内で実行されます。
コードステップはワークフローの中で最も強力な部分であり、最も境界を必要とします。スクリプトがAIアシスタントによって生成されたものであれ、自分で手書きしたものであれ、実行時には同じサンドボックスに入ります。
- コンテナは実行のたびに作成され、終了すると破棄されます
- 各言語には専用の実行イメージがあり、コンテナの外部通信は制御されます
- ワークフロー変数はWF_VAR_*環境変数として注入されます
- デフォルトのタイムアウトは30秒です。成果物は独立した経路でエクスポートされ、実行の詳細からダウンロードできます
# per-run sandbox profile (illustrative) container: lifecycle: ephemeral # create, run, destroy image: dedicated-per-language # 7 runtimes network: controlled-egress timeout: 30s # default env: WF_VAR_*: injected artifacts: export: artifact-channel # fetch from run detail
サンドボックスの挙動を説明するためのサンプル設定であり、製品内の実際のファイルではありません。
あなたの認証情報は、あなたが設定した呼び出しにのみ使われます
クラウドではBYOKを使い、モデルのトラフィックはあなたが選んだプロバイダーに直接つながります。より強い境界が必要なら、プラットフォーム一式をあなたの環境に配置します。
LLMの呼び出しには自分の認証情報を使い、あなたが設定したプロバイダーに直接送られます。プラットフォームはtoken使用量とコストを都度記録し、認証情報はAES-256-GCMで暗号化して保管します。
- 15社以上のプロバイダーから自由に選べ、1つのワークフロー内で各Agentに異なるモデルを使えます
- Claude Pro / ChatGPTはサブスクリプションログイン方式での接続に対応します
- ローカルのOllama / LM Studioに接続でき、モデルの呼び出しはあなたのマシン内にとどまります
Enterpriseプランはプラットフォーム一式をあなたの環境に配置し、データはあなたの境界の外に出ません。
- ワークフロー定義、実行ログ、認証情報はすべてあなたのインフラ内に保存されます
- 複数インスタンスによる水平スケールで、Prometheusのメトリクスを既存のモニタリングに接続します
- SSOと自前のOIDCであなたのID基盤と連携します
データに関する権利を製品機能にしています
エクスポート、削除、同意の記録の3項目には、いずれも製品内の機能への入口があります。
製品内でセルフサービスにより個人データをエクスポートでき、データポータビリティの権利に対応します。
アカウントと関連データの削除は製品内から開始でき、忘れられる権利に対応します。
Cookieの同意と認可の判断には記録が残り、時点までさかのぼれます。