コンテンツへスキップ

SRE・sysadminの方へ

インフラ上で稼働するAIエージェントのためのコックピット

ホスト上のAIエージェントを検出し、それぞれが何を読み書きできるかを把握し、エステート全体の停止をいつでも実行できる状態に保ちます。すべては、リクエストパス上に決して介在しない単一のセルフホスト型バイナリから提供されます。

セルフホストで始める 製品を見る

ホスト、キュー、データストア、リクエストパスなど、エステート上のその他すべてについては、 すでにダッシュボードを運用しているはずです。そこへ突然、コパイロット、MCPサーバー、 スケジュールジョブ、誰かが本番環境に接続したClaude Codeインスタンスなど、十数個のAIエージェントが 現れます。そして、運用者が最初に問う「何が稼働していて、それぞれが実際に何に到達できるのか」という 疑問に答えてくれる単一の場所が、どこにもありません。

これは管理されていないシャドウインフラと同じパターンですが、ワークロードが認証情報を保持し、 自律的に動作する点が異なります。AI関連の侵害を受けた組織のうち、約97%が適切なAIアクセス制御を 備えていませんでした(IBM Cost of a Data Breach 2025, Ponemon)。業界はその原因を表す言葉を すでに持っています。それが*エージェントスプロール(agent sprawl)*です。Gartnerは、agentic-AI プロジェクトの40%以上が2027年末までに中止されると予測しています(Gartner)。その多くは、 エージェントが増殖した後に誰も安全に運用できなくなったことが原因です。

運用者が得られるもの

Olivares AIは、エージェントが稼働する場所で動作するオープンでセルフホスト可能なプラットフォームです。 エージェントを検出し、それぞれが触れる対象の読み取り/書き込みのアクセスマップを 構築し、そのアクセスをガバナンスし監査するための制御機能を提供します。SREやsysadminにとっては、 機能リストよりも重要な5つの特性があります。

パッシブ — リクエストパス上に介在しない

検出は、テレメトリとソースネイティブの監査からアウトオブバンドで構築されます。ヘルスと信頼性の ビューは、お客様のインフラにソケットを開くプローバーではなく、イベントバスのコンシューマーです。 稼働状況は観測されたアクティビティから推測され、エミットを停止したエージェント自体が1つのシグナルと なります。Olivaresはエージェントの前段に立つプロキシやサイドカーではないため、Olivaresの障害が エージェントを停止させることはありません。インラインに介在する唯一の面は、お客様が組み込むことを 選択するオプションの作動ゲートであり、それらはクローズ側にフェイルします。

単一のセルフホスト型スタティックバイナリ

Webコンソールを組み込んだ単一のスタティックバイナリとしてデプロイされます。プッシュすべき エージェントフリートも、面倒を見るべきコントロールプレーンのKubernetes operatorもありません。 ストアはpure-GoのSQLite(マルチテナントの場合はPostgres)であるため、Cツールチェーンと格闘する 必要もありません。1つのファイルをインストールし、専用のサービスユーザーとして実行すれば、 コックピットが手に入ります。インストールとセルフホストをご覧ください。

コントロールプレーンは境界内で動作し、エアギャップ環境でも動作可能です。ガバナンスデータと 観測データが外部に出ることはありません。運用者が念頭に置くべき留意点が1つあります。これはオフライン AIではないということです。Claudeのようなホスト型モデルは依然としてプロバイダーのAPIに到達します。 エアギャップが意味するのは、エステートのデータが手元に留まることであり、モデルがローカルで動作する ことではありません。完全にオフラインで動作するのは、真にセルフホスト可能なモデル(vLLM、Ollama)の みです。詳細はセキュリティアーキテクチャをご覧ください。

OTelネイティブのインジェスト

インジェストパスは、OCSF、各種SIEMフォーマット、W3C Trace Contextと並んでOpenTelemetry GenAI semantic conventionsを軸としています。つまり、お客様がすでにエミットしているテレメトリが、 そのまま読み取られるテレメトリになります。正直に申し上げる1つの境界があります。Olivaresは ガバナンス対象イベントの台帳をW3C trace_idで相関させますが、完全なOTelスパンは保存しません。 トレースビュー上の所要時間とステータスは、台帳イベントのウィンドウであり、再構築されたスパン データではありません。完全なスパンは、本来あるべき場所、つまりお客様自身のOTLPコレクターに 留まります。Olivaresは誰が何に触れ、それが許可されていたかをお伝えするものであり、お客様の トレーシングバックエンドを置き換えるものではありません。(LiteLLM/Langfuseとの位置づけについては 比較ページをご覧ください。)

プローブとヘルス — 運用するどのサービスとも同じように

このバイナリは、お客様のオーケストレーターがすでに期待しているエンドポイントを公開します。

GET /livez     liveness  — is the process up
GET /readyz    readiness — is it serving (and not a cold standby)
GET /healthz   setup-exempt liveness for scrapers
GET /metrics   Prometheus exposition

/readyzは、バッキングストアに到達できない場合にハングするのではなく503を返すため、ロードバランサーは ノードをブラックホール化せずにドレインします。さらにmodule XXIIは、エージェントとMCPサーバー 自体のヘルス、SLA、稼働時間を追跡し、何が正常で、何が劣化していて、何が何に依存しているかを把握し、 down/degraded/recovered/SLA-breachのfindingsを既存のレール(Slack、PagerDuty、SIEM)にエミット します。シグナルを生成するものであり、お客様の通知システムになろうとはしません。

read-first、かつ実用的なエステート全体の停止を備える

Olivaresはデフォルトでdetective、かつdeny-closedです。広範に観測しガバナンスしますが、広範に 作動はしません。しかし、エージェントが午前3時に異常を起こしたとき、運用者には儀式を伴わずに 機能する1つのレバーが必要です。そのためキルスイッチは実用的であり、 使われることを前提に作られています。

  • 発動は安価です。 Admin層、必須の理由を1つ、ワンクリック。発動に承認ゲートやステップアップは ありません。定足数を待つ緊急停止は、停止とは言えないからです。エステート全体のスコープは、その テナントのガバナンス対象となるすべての作動面を拒否します。エージェントスコープは、名前を付け 得るあらゆる面で1つのエージェントを停止します。
  • 再有効化はそうではありません。 停止の解除にはdual-control(2人の異なる人間)が必要であり、 その後、関与していない第三者が署名しなければならない必須の事後レビューが続きます。 「エステートは停止したままにする」が安全な状態です。
  • クローズ側にフェイルします。 すべての作動ゲートは、呼び出しごとにライブの停止状態を参照し、 読み取りエラー時には拒否します。読み取れない停止状態が「進め」を意味することは決してありません。

スコープについては自分自身に正直になってください。停止は、組み込んだゲートの範囲までしか及びません。 Olivaresにシームのない面を凍結することはできません。これはread-firstシステムの意図的なトレードオフ であり、だからこそ検出とマップが最初に来るのです。

これが何であり — 何でないか

  • これはパッシブなセルフホスト型コックピットです。エージェントを検出し、その読み取り/ 書き込みアクセスをマッピングし、ヘルスを監視し、エステート全体の停止をワンクリックの距離に保ちます。
  • これはインラインプロキシ、トレーシングバックエンド、あるいはお客様のエージェントを密かに再配線 するシステムではありません。作動はオプトインかつオンデマンドで、deny-closedです。各シームは お客様が意図的に組み込みます。
  • これはpre-1.0かつopen-coreです。カタログには23個のcapability moduleが掲載されており、おおよそ 20個が現在組み込まれています。残りは設計段階またはpost-v1です。何がライブかは モジュールリファレンスに記載されています。
  • これは認証取得済みのシステムではありません。OlivaresはSOC 2、ISO/IEC 42001、EU AI Actに向けて設計されて いますが、これらの認証を保有しておらず、保有していると主張することもありません。正直な姿勢に ついてはセキュリティをご覧ください。
  • 忠実度は段階化され、そのように表示されます。 読み取り対書き込みのカバレッジは、ネイティブ監査を 備えるストアではclean、一部のドキュメント/ベクトルストアではlossy、パッシブに再構築できない 場合(Redis、SQLite、D1)はunknownです。エージェント単位の帰属は、シグナルがそれを裏付ける 場合にのみfirmであり、共有アカウントの背後ではapproximateです。推測は一切ありません。 忠実度をご覧ください。

どこから始めるか

ご質問

Olivares AIは私のエージェントのリクエストパス上に介在しますか?

いいえ。検出とアクセスマップは、テレメトリとソースネイティブの監査からアウトオブバンドで構築されるため、Olivaresの障害がエージェントを停止させることはありません。インパスとなる唯一の面は、お客様が明示的に組み込むオプションのdeny-closed型作動ゲートだけです。そこでは、停止状態が読み取れない場合は必ずクローズ側(拒否)にフェイルし、決してオープン側にはなりません。

エアギャップ環境で動作しますか?

Olivaresのコントロールプレーンは動作します。ガバナンスデータと観測データは境界内に留まります。正直に申し上げる留意点はモデル推論です。Claudeのようなホスト型モデルは依然としてプロバイダーのAPIに到達します。完全にオフラインで動作するのは、真にセルフホスト可能なモデル(vLLM、Ollama)のみです。

キルスイッチは実際に何を停止しますか?

エステート全体の停止は、そのテナントのガバナンス対象となるすべての作動面を拒否します。エージェント単位の停止は、1つのエージェントを拒否します。これは設計上read-firstであり、ゲートを組み込んでいない面には到達できません。発動は安価でワンクリックですが、再有効化にはdual-controlと必須の事後レビューが求められます。

ご自身のインフラでお試しください

Olivares AI はオープンコア(AGPL-3.0)かつセルフホスト型です。デプロイして、エージェントに何ができるのかをご確認ください。

セルフホストで始める 製品を見る