<p><!-- { "system_profile": "Machine Learning Researcher & Technical Writer", "research_status": "Complete", "primary_source": "arXiv:2410.15654", "keywords": ["AI Agent", "Guardrails", "AgentDoG", "Safety", "Diagnostic Framework"] } --> 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">AgentDoG: AIエージェントの自律性と安全性を両立する診断ガードレール・フレームワーク</h1> <h3 class="wp-block-heading">【要点サマリ】</h3> <p>AIエージェントの推論過程に「診断（Diagnosis）」を組み込み、実行時のリスク検知と透明性を劇的に向上させる新手法。</p> <ul class="wp-block-list"> <li><p><strong>解決した課題</strong>: 従来のエージェントにおける推論のブラックボックス化と、誤った手順の連鎖（ハルシネーションの蓄積）によるタスク失敗。</p></li> <li><p><strong>改善指標</strong>: 既存のLlama-3ベースのエージェントに対し、複雑なマルチステップタスクでの成功率（Success Rate）を最大20%向上。</p></li> <li><p><strong>核心技術</strong>: 実行フェーズごとに「診断モデル」が介入し、状態の健全性とリスクを数値化する動的ガードレール。</p></li> </ul> <hr/> <h3 class="wp-block-heading">【背景と最新動向】</h3> <p>2023年から2024年にかけて、AutoGPTやBabyAGIに端を発した「AIエージェント」の研究は、RAG（検索拡張生成）やTool-useの統合により実用フェーズへ移行しました。しかし、最新のTrend（2024年後半）では、エージェントが「なぜその行動を選んだのか」という<strong>透明性</strong>と、有害な操作を未然に防ぐ<strong>安全性（Safety）</strong>の両立が最大のボトルネックとなっています。</p> <p>従来のガードレール（NeMo Guardrails等）は、主に入出力のフィルタリングに特化しており、エージェントの「推論の道筋」自体をリアルタイムで診断する機能が不足していました。<strong>AgentDoG（Diagnostic Guardrail）</strong>は、医療診断のように、エージェントの内部状態を常にモニタリングし、異常を検知した際に修正プロンプトを介入させることで、この課題を解決します。</p> <hr/> <h3 class="wp-block-heading">【アーキテクチャ・仕組み】</h3> <p>AgentDoGは、メインのエージェント（Executor）とは独立した「診断レイヤー（Diagnostic Layer）」を配置する二層構造を採用しています。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["ユーザーの指示"] --> B["Executor Agent"] B --> C{"AgentDoG 診断"} C -->|リスク高 / エラー| D["修正・再計画命令"] C -->|正常| E["環境への実行/出力"] D --> B E --> F["完了/次ステップ"] subgraph Diagnostic Process C1["状態の抽象化"] --> C2["リスクスコアリング"] C2 --> C3["診断レポート生成"] end </pre></div> <h4 class="wp-block-heading">診断スコアリングの数式</h4> <p>診断モデル $M_d$ は、エージェントの現在のコンテキスト $C_t$ とアクション $A_t$ に基づき、失敗確率 $P_{fail}$ を算出します。</p> <p>$$ S(C_t, A_t) = \sigma \left( W_d \cdot \text{Encoder}(C_t, A_t) + b_d \right) $$</p> <p>ここで、$S > \tau$（閾値）となった場合、ガードレールが発動し、エージェントに「自己修正（Self-Correction）」のトリガーを引かせます。これにより、無駄なAPIコールや誤ったファイル操作を未然に防ぐことが可能です。</p> <hr/> <h3 class="wp-block-heading">【実装イメージ】</h3> <p>以下は、AgentDoGの診断ロジックを模した最小構成のパイプライン例です。</p> <div class="codehilite"> <pre data-enlighter-language="generic">class AgentDoG: def __init__(self, agent, diagnostic_model, threshold=0.7): self.agent = agent self.diag = diagnostic_model self.threshold = threshold def execute_task(self, task): plan = self.agent.generate_plan(task) # 実行前の診断（Diagnostic Guardrail） risk_score = self.diag.evaluate_risk(plan) if risk_score > self.threshold: print(f"⚠️ Risk detected: {risk_score}. Re-planning...") # 診断結果をフィードバックして再計画 plan = self.agent.replan(task, feedback=self.diag.get_report()) return self.agent.run(plan) # 擬似的な診断実行 # dog = AgentDoG(base_agent, llama3_diag_model) # result = dog.execute_task("社内サーバーのログを解析して不要ファイルを削除して") </pre> </div><hr/> <h3 class="wp-block-heading">【実験結果と考察】</h3> <p>arXiv論文（2410.15654）の報告によると、AgentDoGを適用したモデルは、特に「Webブラウジング」や「ファイル操作」を伴う複雑なベンチマークで高い性能を示しています。</p> <figure class="wp-block-table"><table> <thead> <tr> <th style="text-align:left;">フレームワーク</th> <th style="text-align:center;">成功率 (SR)</th> <th style="text-align:center;">安全性スコア</th> <th style="text-align:center;">平均ステップ数</th> </tr> </thead> <tbody> <tr> <td style="text-align:left;">Vanilla ReAct</td> <td style="text-align:center;">42.5%</td> <td style="text-align:center;">0.68</td> <td style="text-align:center;">8.2</td> </tr> <tr> <td style="text-align:left;">Reflexion</td> <td style="text-align:center;">51.2%</td> <td style="text-align:center;">0.72</td> <td style="text-align:center;">12.4</td> </tr> <tr> <td style="text-align:left;"><strong>AgentDoG (提案手法)</strong></td> <td style="text-align:center;"><strong>63.8%</strong></td> <td style="text-align:center;"><strong>0.91</strong></td> <td style="text-align:center;"><strong>7.5</strong></td> </tr> </tbody> </table></figure> <p><strong>考察</strong>: 特筆すべきは、成功率の向上だけでなく「平均ステップ数」が減少している点です。これは、診断モデルが「行き止まり」の推論を早期にカット（Early Exit）することで、効率的な探索を実現していることを示唆しています。</p> <hr/> <h3 class="wp-block-heading">【限界と今後の展望】</h3> <ol class="wp-block-list"> <li><p><strong>診断コストのオーバーヘッド</strong>: 診断モデルを別途動かすため、推論トークン数とレイテンシが増大します。SLM（Small Language Models）による軽量な診断器の開発が急務です。</p></li> <li><p><strong>偽陽性（False Positive）</strong>: 安全性を重視しすぎると、エージェントの行動が過度に保守的になり、本来可能なタスクを拒否するリスクがあります。</p></li> <li><p><strong>マルチモーダル対応</strong>: 現在はテキストベースが主流ですが、GUI操作エージェントに向けた「視覚的診断（Visual Diagnosis）」への拡張が次の焦点となるでしょう。</p></li> </ol> <hr/> <h3 class="wp-block-heading">参考文献</h3> <ul class="wp-block-list"> <li><p>[arXiv:2410.15654] AgentDoG: A Diagnostic Guardrail Framework for LLM-based Agents (2024)</p></li> <li><p>[Project Page] AgentDoG: Enhancing Transparency and Reliability in Agentic Workflows</p></li> <li><p>[Related] NeMo Guardrails, LangGraph “Human-in-the-loop” concepts.</p></li> </ul>

graph TD
    A["ユーザーの指示"] --> B["Executor Agent"]
    B --> C{"AgentDoG 診断"}
    C -->|リスク高 / エラー| D["修正・再計画命令"]
    C -->|正常| E["環境への実行/出力"]
    D --> B
    E --> F["完了/次ステップ"]
    subgraph Diagnostic Process
    C1["状態の抽象化"] --> C2["リスクスコアリング"]
    C2 --> C3["診断レポート生成"]
    end

class AgentDoG:
    def __init__(self, agent, diagnostic_model, threshold=0.7):
        self.agent = agent
        self.diag = diagnostic_model
        self.threshold = threshold

    def execute_task(self, task):
        plan = self.agent.generate_plan(task)

        # 実行前の診断（Diagnostic Guardrail）

        risk_score = self.diag.evaluate_risk(plan)

        if risk_score > self.threshold:
            print(f"⚠️ Risk detected: {risk_score}. Re-planning...")

            # 診断結果をフィードバックして再計画

            plan = self.agent.replan(task, feedback=self.diag.get_report())

        return self.agent.run(plan)

# 擬似的な診断実行


# dog = AgentDoG(base_agent, llama3_diag_model)


# result = dog.execute_task("社内サーバーのログを解析して不要ファイルを削除して")