多くの大学はAIの採用を意思決定したわけではありません。AIは自ずと到来したのです。教員はAIで文書を作成し、 学生はAIでコードを書き、研究グループはエージェントを共有研究室アカウントや部門データに組み込み、 そして中央のIT部門は後からそれを知ります。EDUCAUSEの調査(2025年)は、このギャップを率直に 描写しています。AIの利用はいまや高等教育の教員や職員に広く浸透している一方で、正式なAIガバナンスと 利用規定(AUP)のカバレッジは後れを取っている、と。誰の目にも見えず、何によっても施行されないポリシーは、 コントロールではありません — それは単なるPDFです。
このギャップはキャンパス特有のものではありませんが、キャンパスではより鋭く表れます。アカウントは設計上 共有されています。研究の誠実性は、何が何に触れたかを把握することに依存しています。そして、最も力を与えたい 相手 — 研究者 — は、まさに、強引なコントロールがあればシャドウツールへと追いやられてしまう人々なのです。
問題を具体的に
キャンパスのネットワークでは、次の3つが同時に成り立っていることが多いものです。
- 利用規定は存在するが施行されていない。 AIがどのシステムに触れてよく、何をしてよいかについての規則は あります。しかし、エージェントが行動を起こそうとするまさにその瞬間に、その規則を意思決定へと変換する ものは何もありません。
- 共有アカウントが帰属を消し去る。 ある研究室のエージェント群は、コネクションプールの背後で単一の サービスアカウントとして動作します。ネイティブ監査はそのアクセスをその資格情報に帰属させます — 実際にそれを行った人物やエージェントにではなく。
- 研究者は素早く動く必要がある。 彼らは、本番に近いデータに対して新しいエージェントを今日試したいの であって、チケットを起票して待ちたいのではありません。もしガバナンスが、頼み込んで通してもらわなければ ならないゲートであるなら、彼らはそれを迂回します。
これは、より広い市場が直面しているのと同じ構図です。AI関連の侵害を被った組織のうち、約97%は適切な AIアクセスコントロールを欠いていました(IBM Cost of a Data Breach 2025, Ponemon)。そしてGartnerは、 エージェント型AIプロジェクトの40%超が2027年末までに中止されると予測しています — ガバナンスの負債は その大きな理由の一つです。キャンパス版の問題は、エージェントがまだ少なく影響範囲が小さいうちに、早期に 解決するほうが安く済みます。
Olivares AIがどう役立つか
Olivares AIは、お客様のインフラ上のAIエージェントを発見し、それぞれが何を読み取り書き込めるかをマッピング し、そのアクセスをガバナンスし監査できるようにする、オープンでセルフホスト可能なプラットフォームです。 これはread-firstです。何かをゲートする前に、アウトオブバンドで観測し記録します。そしてゲートを行う ところではdeny-closed(拒否デフォルト)です。キャンパスにとってそれは、まず真実を見ることから始められ — そのうえで初めて、何を施行するかを決められることを意味します。
利用規定をdeny-closedで施行する
ガバナンスレイヤーは、AUPを意思決定を生み出すポリシーへと変換します。そのABACエンジンはロールベースの アクセスの後で動作し、さらに制限することしかできません。deny-ruleに合致すれば拒否し、そうでなければ 既存の意思決定がそのまま維持され、不正な形式のポリシーはopen(許可)ではなくclosed(拒否)にフェイル します。したがって「いかなるAIエージェントも成績システムに書き込んではならない」あるいは「サンドボックス エージェントはSISに到達してはならない」といった規則は、メモ書きではなく、施行される拒否となります。
v1が何に合致するかについては正確に述べておきます。今日のdeny-ruleは、プリンシパル、パーミッション/動詞、 そしてリソース — 実際に評価器に届く属性 — をキーとします。リソースの機微度に基づいて分岐する規則 (例「FERPAタグが付いたもの全て」)には、リソース属性のシームが必要であり、それは文書化されたフォロー アップであって、まだ出荷されていません。ヒューマン・イン・ザ・ループが必要な場面では、プラットフォームは 承認リクエストと追記専用の意思決定証跡を記録するため、「このエージェントがそのデータセットに到達することを 誰が承認したか」を後から答えられます。
read-firstかつdeny-closedのモデル、そしてアクチュエーションがどこでライブでありどこがオンデマンドかに ついては、/docs/concepts/governanceをご覧ください。
共有アカウントをまたいで誰が何をしたかを帰属させる
これがキャンパスにとっての要となる能力です。アクセスマップは、正直な信頼度レベルと ともに、どのエージェントがどのリソースを読み書きするか、そしてそのアクセスが許可されたものか、それとも 単に観測されたものかを記録します。アイデンティティガバナンス(/product/identity)は、 エージェントを、その資格情報が提示する正規のアイデンティティに紐付けることで、アクセスを確実に帰属させられる ようにします。
ここでは正直さの原則が、他のどこよりも重要になります。帰属が確実なものとなるのは、エージェントごともしくは セッションごとのアイデンティティがアクセスに伝播されている場合に限られます。複数のエージェントが、プールの 背後で単一の共有研究室アカウントとして動作する場合、帰属はその単一のアイデンティティへと収束し — 製品は 人物を推測するのではなく、共有された紐付けをガバナンス上の指摘事項として表面化させ、そのことを明示します。 複数のエージェントに紐付けられたアイデンティティは、覆い隠されるのではなく、フラグが立てられます。対処は 運用上のものです。エージェントごとのアイデンティティを伝播させれば(たとえばコネクションのアプリケーション 名に組み込むなど)、帰属はより鋭くなります。私たちは、シグナルが裏付けられない名前を表示することはありません。
研究者向けのガバナンスの効いたサンドボックス
研究者は、モック化されたリソースに対して — 本番ではなく — エージェントのシナリオを隔離された一時的な 実行環境で動かせます。デフォルトのサンドボックスランナーは構造上隔離されています。お客様のストア、 ネットワーク、シークレットへのハンドルを一切保持せず、シナリオがモック化しなかったリソースを要求する ステップは、実在する何かに到達するのではなく、決定論的なmock-missマーカーを返します。実行は一時的です。 各実行は、実際のランナーと、それが隔離されていたかどうかを記録するため、劣化したバックエンドは隠されること なく可視化されます。より強固なOSレベルの隔離(ハードニングされたコンテナやmicroVM)は、セルフホスト 運用者が組み込むプラガブルなバックエンドです。
これにより、研究室は、実データに触れる前に新しいエージェントを安全に試せる場所を得られます — これこそが、 素早く動く研究者をガバナンスの内側に留め、迂回させないための方法です。実システムを実際にガバナンスする エージェントについては、同意でゲートされた防御的なレッドチームのバッテリー(プロンプトインジェクション、 ジェイルブレイク、情報持ち出し)が、エージェントの耐性を、OWASP Top 10 for Agentic Applicationsに照らして スコアリングしながら探ることができます。これは、お客様が所有し許可したエージェントに対してのみ実行されます — これは攻撃ツールではなく、テストスイートです。
研究の誠実性と監査のための証跡
評価(Evaluations)は、候補となるエージェントの出力を、バージョン管理されたゴールデンスイートに照らして スコアリングします — 研究グループが、エージェントがある基準を満たしたことを、実行のたびに再現可能な記録 として必要とする場合に有用です。判定器(judge)は正直です。スコアリングバックエンドが組み込まれていない 場合、実行はスキップとして記録され、決して暗黙のパスにはなりません。また、生の出力は決して永続化されず — 保存されるのは一方向ハッシュとスクラブされたラベルのみです。/product/evalsをご覧ください。
機関全体にとっては、コンプライアンスレイヤー(/product/compliance)が、プラット フォームがすでに観測し監査している内容を集約し、ハッシュチェーン化された台帳に固定された、封印済みで 追記専用の証跡パッケージへとまとめ上げます。裏付け証跡のあるコントロールは「充足」とマークされ、それのない ものはギャップとマークされ、決して偽りのパスにはなりません。これはEU AI ActやISO/IEC 42001といった フレームワークへの技術的なマッピングであり — 法的助言ではありません。また、製品は認証を主張するもの ではありません。
これが何であり — 何でないか
- これは、お客様のインフラ上のAIに対する、オープンでセルフホスト可能なガバナンスと観測のレイヤー です。コントロールプレーンはお客様自身のハードウェア上でオフライン/エアギャップで動作できるため、 帰属とポリシーのデータがキャンパスの外に出ることは決してありません。
- これはread-firstかつdeny-closedです。 広範に観測しガバナンスしますが、広範にアクチュエート しません。アクションを取れるところでは、そのサーフェスはライブ、オンデマンド、または宣言されたシーム のいずれかであり — モジュールカタログがどれであるかを明示します。
- これはpre-1.0です。 カタログは23モジュールで、そのうちおよそ20が結線済みです。上記の能力の一部は 現存し、一部はオンデマンドであり、一部は文書化されたフォローアップです。私たちはどれであるかをラベル付け します。
- これはお客様のモデルを実行するものではなく、エアギャップ推論でもありません。 エアギャップは コントロールプレーンに対するものです。オフラインで動作するのはセルフホストモデル(vLLM、Ollama)のみ であり、Claudeのようなホスト型モデルはそうではありません。
- これは認証ではありません。 SOC 2/ISO/EU AI Actの認証はありません — コンプライアンスマッピングは それらのフレームワークに「向けて設計された」ものであり、封印ではなく証跡を生成します。姿勢については /securityを、ガバナンスモデルについては/docs/concepts/governance をご覧ください。
採用は広く進んでいます。後れを取っているのは監督です(EDUCAUSE, 2025年)。正直な出発点は、お客様のAIが すでに何に触れているかを見て、それが何をしてよいかを決め、それを証明することです — その順序で。