MCPとhooksを入れる前に決める、AIエージェントの安全境界

MCP と hooks は、AIエージェントを強くします。同時に、事故の範囲も広げます。外部ツールに接続し、ファイル編集やシェル実行の前後で自動処理を走らせられるからです。

Claude CodeのMCPドキュメントでは、MCPを通じてIssue tracker、monitoring dashboard、database、APIなどにアクセスできると説明されています。hooksドキュメントでは、PreToolUse、PostToolUse、UserPromptSubmit、Stop など多くのイベントが整理されています。

MCP

hooks

役割

外部サービスやデータへの接続を増やす

ツール実行の前後に処理を差し込む

主なリスク

読める情報・書ける対象が増える

誤った自動処理が繰り返される

最初の設計

読み取り専用から始める

PreToolUseとStopで止める

確認すべきもの

認証情報、ログ、アクセス範囲

危険コマンド、検証未実行、機密値

MCPは「便利な接続」ではなく「権限の追加」

MCPサーバーを追加すると、エージェントは外部の情報を読めるようになり、場合によっては書き込めるようになります。導入前に、少なくとも次を決めます。

• 読み取り専用か、書き込みありか
• 個人スコープか、プロジェクト共有か
• 認証情報をどこに置くか
• ログに何が残るか
• 失敗時に人間へどう通知するか

最初は読み取り専用で始めるのが安全です。Issue、PR、監視ログ、ドキュメントを読ませるだけでも、エージェントの文脈はかなり増えます。

hooksは「自動化」より「ブレーキ」から入れる

hooksは、整形や通知にも使えますが、最初に作るべきなのはブレーキです。

• PreToolUse: 危険なコマンドや編集対象を止める
• PostToolUse: 編集後にlintやschema checkを走らせる
• UserPromptSubmit: 機密値らしき文字列を含む依頼を止める
• Stop: 検証未実行のまま完了報告しそうなときに止める

エージェントは、権限を与えると作業が速くなります。ただし、止める仕組みがない自動化は、失敗も速くします。

最小の安全チェックリスト

MCPやhooksを入れる前に、次をREADMEかエージェント用指示ファイルに書いておくと運用しやすくなります。

1. 触ってよい外部サービス
2. 読み取り専用のサービス
3. 書き込み前に承認が必要な操作
4. 表示してはいけない機密情報
5. 実行してよいコマンド
6. 完了報告前に必要な検証

AIエージェントの安全性は、モデルの性格ではなく、作業環境の設計で作ります。MCPとhooksは、その設計ができているほど強い武器になります。

出典

• Claude Code Docs: Connect Claude Code to tools via MCP
• Claude Code Docs: Hooks reference