AIOps Rail は、Claude・Cursor・Codex などのAIエージェントが、コードベースに対して想定外の変更・削除・危険操作を行う前に確認・制御するための、MCP対応ガードレールです。
AIOps Rail is an MCP guardrail tool designed to verify and control AI agents such as Claude, Cursor and Codex before they make unexpected changes, deletions or perform risky operations on the codebase.
AIツール対応状況
AIOps Rail は Model Context Protocol(MCP)を通じて接続します。MCP 対応クライアントであれば、SDK変更や大きなコード改修なしで、Rail のガードレールを追加できます。
対応状況は各ツール側の仕様変更に応じて更新されるため、導入前に最新情報をご確認ください。
| AIツール | MCP対応 | 接続方法 |
|---|---|---|
| Amazon Q Developer | 🔧 HTTP経由 | ~/.aws/amazonq/mcp.json に HTTP transport 設定を追加 |
| Bolt.new | ✅ コネクター | Connectors → Manage connectors → Add custom → HTTP でURLを入力 |
| ChatGPT (Developer Mode) | ✅ コネクター | 設定 → コネクター → MCP サーバーURLを追加 |
| Claude Code | ✅ ネイティブ | claude mcp add コマンドで追加 |
| Claude Desktop | ✅ ネイティブ | mcp-config.json にサーバーURLを追加 |
| Claude.ai (Web) | ✅ コネクター | Account settings → Connectors → Add custom connector でURLを入力 |
| Cline (VS Code) | ✅ ネイティブ | MCP設定からサーバーURLを追加 |
| Continue (VS Code / JetBrains) | ✅ ネイティブ | .continue/mcpServers/mcp.json にサーバー設定を追加 |
| Cursor | ✅ ネイティブ | .cursor/mcp.json に設定を追加 |
| Devin | 🔧 API経由 | MCP対応クライアントとして接続可能 |
| Genspark | ✅ ネイティブ | 設定 → MCP → Add new MCP server でURLを入力 |
| GitHub Copilot (VS Code) | ✅ ネイティブ | .vscode/mcp.json に設定を追加 |
| Google Gemini | 🔧 拡張機能経由 | MCP SuperAssistant 等のブラウザ拡張で接続可能 |
| LibreChat | ✅ ネイティブ | Settings → MCP Servers → Add Server で URL を入力 |
| OpenAI Codex | ✅ ネイティブ | MCP設定で接続 |
| Perplexity | 🔧 API経由 | Perplexity MCP Server と併用可能 |
| Replit | ✅ ネイティブ | Integrations → MCP Servers for Replit Agent → Add MCP server |
| Windsurf | ✅ ネイティブ | mcp_config.json に設定を追加 |
| Zed | 🔧 mcp-remote経由 | settings.json の context_servers に mcp-remote 経由で設定 |
凡例: ✅ = ネイティブ MCP 対応 / 🔧 = 間接的に接続可能
注記: 対応状況は各ツールのアップデートにより変わる場合があります。
AI tool compatibility
AIOps Rail connects via the Model Context Protocol (MCP). Any MCP-compatible client can add Rail’s guardrails without requiring SDK changes or major code refactoring.
As the compatibility status is updated in line with changes to the specifications of each AI tool, please check the latest information before implementation.
| AI Tool | MCP Support | Connection Method |
|---|---|---|
| Amazon Q Developer | 🔧 Via HTTP | Add HTTP transport config to ~/.aws/amazonq/mcp.json |
| Bolt.new | ✅ Connector | Connectors → Manage connectors → Add custom → enter URL with HTTP transport |
| ChatGPT (Developer Mode) | ✅ Connector | Settings → Connectors → add the MCP server URL |
| Claude Code | ✅ Native | Add with the claude mcp add command |
| Claude Desktop | ✅ Native | Add the server URL to mcp-config.json |
| Claude.ai (Web) | ✅ Connector | Account settings → Connectors → Add custom connector → enter URL |
| Cline (VS Code) | ✅ Native | Add the server URL from the MCP settings UI |
| Continue (VS Code / JetBrains) | ✅ Native | Add server config to .continue/mcpServers/mcp.json |
| Cursor | ✅ Native | Add the configuration to .cursor/mcp.json |
| Devin | 🔧 Via API | Can connect as an MCP-capable client |
| Genspark | ✅ Native | Settings → MCP → Add new MCP server → enter URL |
| GitHub Copilot (VS Code) | ✅ Native | Add the configuration to .vscode/mcp.json |
| Google Gemini | 🔧 Via extension | Connect through browser extensions such as MCP SuperAssistant |
| LibreChat | ✅ Native | Settings → MCP Servers → Add Server → enter URL |
| OpenAI Codex | ✅ Native | Connect through MCP settings |
| Perplexity | 🔧 Via API | Can be used together with a Perplexity MCP Server |
| Replit | ✅ Native | Integrations → MCP Servers for Replit Agent → Add MCP server |
| Windsurf | ✅ Native | Add the configuration to mcp_config.json |
| Zed | 🔧 Via mcp-remote | Add mcp-remote config to context_servers in settings.json |
Legend: ✅ = Native MCP support / 🔧 = Indirect connection possible
Note: Compatibility can change as each tool updates its MCP support.
導入手順
Getting started
メールアドレスをご登録いただくと、APIキーが発行されます。
Once you have registered your email address, an API key will be issued.
取得したAPIキーを、お使いのMCP設定で利用します。
Use the API key you have obtained in your MCP settings.
設定を追加すると、AIOps Rail が対象操作の確認を開始します。既存の開発フローを大きく変えずに始められます。
Once you add a configuration, AIOps Rail will begin verifying the relevant operations. You can get started without making any major changes to your existing development workflow.
使用している AI ツールを選んでください。設定内の YOUR_API_KEY を、下記で取得した API キーに置き換えてください。
Choose your AI tool below. Replace YOUR_API_KEY with the key obtained below.
無料で始める
登録すると即座に API キーが発行されます。クレジットカード不要。
Get started free
Your API key is issued instantly. No credit card required.
Runtime Guardrails
Runtime Guardrails
バックエンド障害時も安全側に倒します。チェックが完了できない場合は常に BLOCKED を返し、暗黙的な許可は発生しません。
Backend failures default to BLOCKED. If a check cannot complete, it always returns BLOCKED — never silently allows.
シンボリックリンクや ../ トラバーサル攻撃を検出し遮断します。
Detects and blocks symlink and ../ traversal attacks before they reach your filesystem.
全レスポンスに X-AIOps-Trace-Id / X-AIOps-Session-Id ヘッダーを付与し、可観測性とデバッグを支援します。
Every response carries X-AIOps-Trace-Id and X-AIOps-Session-Id headers for full observability.
Behavioral Analysis
Behavioral Analysis & Confidence Score
各アクションに自動でリスクスコアを付与し、validate_action のレスポンスに含めます。
Every action receives an automatic risk score, included in the validate_action response.
機密データアクセス、大量ファイル削除、異常時間帯操作など 30 種以上のリスクパターンを検出します。
Detects sensitive data access, mass file deletion, unusual hours operations, and 30+ other risk patterns.
スコア 90 以上のアクションは自動的に人間の承認フローへエスカレーションされます。
Actions with a confidence score ≥90 are automatically escalated to require human approval.
Approval Flow & Webhooks
Approval Flow & Webhooks
高リスク判定時に DEFERRED を返し、エージェント実行を一時停止して人間の承認を待機します。
When validate_action deems an action high-risk, it returns DEFERRED, pausing agent execution until a human approves.
list_pending_approvals で保留中アクションを確認し、approve_action で承認または拒否します。
Review pending actions with list_pending_approvals and approve or deny each with approve_action.
tool_blocked、tool_deferred、session_start/session_end などのイベントを HMAC-SHA256 署名付きで通知します。
Real-time notifications for tool_blocked, tool_deferred, session_start/session_end with HMAC-SHA256 signed payloads.
ハッシュチェーン方式の監査ログにより、各エントリが前エントリのハッシュを保持し、コンプライアンス要件に対応します。
Hash-chain audit trail where each entry contains the previous entry's hash, satisfying compliance requirements.
Deploy Guard
Deploy Guard
誤った _redirects や Worker 変更が混ざったままデプロイすると、トップページとサブページが相互に 308 リダイレクトし続ける障害につながります。Deploy Guard は事前に登録したハッシュとコンテンツ条件を照合し、危険な差分をデプロイ前に遮断します。
Before
AI がリダイレクト設定を誤って書き換え、/ と /dashboard/ が 308 で相互転送するリリースを作成。レビューをすり抜けると、ユーザーはどのページにも到達できません。
After
register_baseline で保護したハッシュに対して validate_deploy が不一致を検出し、DEPLOY_BLOCKED を返して停止。必要なら check_scope の Constitutional Constraints も危険なファイル変更を前段でブロックします。
A mistaken _redirects or Worker change can create a production failure where the root page and subpages keep bouncing with HTTP 308 redirects. Deploy Guard compares the release against pre-registered hashes and content rules, then blocks the dangerous diff before deployment.
Before
An AI agent rewrites redirect logic incorrectly, producing a release where / and /dashboard/ keep redirecting to each other with HTTP 308. If that slips through review, users cannot reach the site.
After
register_baseline protects the expected hashes, then validate_deploy detects the mismatch and returns DEPLOY_BLOCKED. If needed, check_scope Constitutional Constraints also block dangerous file changes earlier in the workflow.
16のMCPツール
AI エージェントは MCP 経由で Rail に接続し、全ての操作前に許可確認を行います。
16 MCP Tools
AI agents connect through MCP and request permission before every sensitive operation.
declare_task許可するパスを宣言し、作業範囲を先に固定します。
Declare the task and define allowed paths up front.
check_scope各操作の直前に ALLOWED / BLOCKED / CONSTITUTIONAL BLOCK を返します。
Returns ALLOWED, BLOCKED, or CONSTITUTIONAL BLOCK.
take_snapshot変更前の状態を Cloudflare R2 に保存し、復旧可能性を高めます。
Stores pre-change snapshots in Cloudflare R2 for fast recovery.
list_snapshotsセッション内のスナップショットを一覧化します。
Lists snapshots available in the current session.
restore_snapshot問題発生時に、指定したスナップショットから即時復元します。
Restores from a chosen snapshot when something goes wrong.
close_session作業完了時にセッションをクローズし、記録を締めます。
Closes the session and finalizes the operation record.
list_pending_approvals承認待ちアクションの一覧を取得します。
Lists actions awaiting human approval.
approve_action保留中のアクションを承認または拒否します。
Approves or denies a pending deferred action.
register_webhookイベント通知用の Webhook を登録します。
Registers a webhook for real-time event notifications.
list_webhooks登録済み Webhook の一覧を取得します。
Lists all registered webhooks.
capture_route_inventoryWorker の全ルートを棚卸し、デプロイ前後の差分を検出します。
Captures all Worker routes and detects changes across deployments.
list_route_inventories保存済みのルート棚卸履歴を一覧し、差分を追跡します。
Lists route-inventory history for quick diff review.
get_session_healthcontext drift、呼び出し頻度、path distance、safety fingerprint を含むセッション状態を即時可視化します。
Real-time session health: context drift, call frequency, path distance, and safety fingerprint.
register_baseline保護対象ファイルの SHA-256 ハッシュと検査条件を登録し、デプロイ基準線を作成します。
Registers protected file hashes and content checks to create a deployment baseline.
validate_deployデプロイ直前にハッシュを検証し、不一致時は DEPLOY_BLOCKED を返します。
Validates hashes before deployment and returns DEPLOY_BLOCKED on mismatch.
list_baselines登録済みのベースラインを一覧し、保護対象の更新履歴を確認できます。
Lists registered baselines so you can review protected deployment history.
絶対禁止操作
Constitutional Constraints は、ユーザーや AI の追加指示があっても解除できない恒久的な制約です。
現在の Constitutional Block 対象(例)
Absolute prohibitions
Constitutional Constraints are permanent restrictions that cannot be overridden — even with explicit user permission.
Current Constitutional Block targets (examples)
AIをツールに接続するだけでは不十分です。制御・制約・監査の仕組みが揃って初めて、本番環境での自律実行が可能になります。 Connecting AI to tools is not enough. Control, constraints, and auditing must all be in place before autonomous execution is safe in production.
とりあえずハンドルにAIをくくりつけて"自動運転です"と言い張っていた状態を、ABS・自動ブレーキ・衝突防止センサー・LIDARを統合・制御して自動運転できるようにするくらい違います。
It's the difference between tying AI to the steering wheel and calling it "self-driving," versus integrating ABS, automatic braking, collision prevention sensors, and LIDAR into a controlled system that actually enables autonomous driving.
タスク分解 / ツール選択 / 反復実行 / 結果評価 — ただし常に安全層が介在し、制約・フェイルセーフに達した場合は進行不可。 Task decomposition / tool selection / iterative execution / result evaluation — but always with the safety layer intervening; cannot proceed if it hits a constraint or failsafe.
// この範囲を超える操作は人間の承認が必要 // Operations beyond this line require human approval
LLM / OS / クラウドインフラ / 既存SaaS API — 走行性能はここで決まるが、これだけでは「手動運転のみ」。 LLM / OS / cloud infrastructure / existing SaaS APIs — driving performance is determined here, but this alone is "manual driving only."
| 自動車の安全機能 Automotive Safety Feature | Rail の対応機能 Corresponding Rail Feature |
|---|---|
| ABS(アンチロックブレーキ) | fail-closed safety — バックエンド障害時はデフォルトで BLOCKED |
| 自動ブレーキ Automatic braking | Constitutional Constraints — 危険なパスをハードコードでブロック |
| 衝突防止センサー Collision prevention sensor | Confidence Score (0–100) + 30+ パターン検出 + 自動エスカレーション |
| LIDAR(360°認識) LIDAR (360° awareness) | イミュータブル監査ログ + 分散トレーシング + コンテキストドリフト検出 Immutable audit log + distributed tracing + context drift detection |
| スクールゾーン速度制限 Speed limiter in school zone | YAML Policy DSL + 組織管理ポリシー |
| ルート計画 & 制限 Route planning & restriction | check_scope + allowed_paths + blast radius estimation |
| 緊急停止ボタン Emergency stop button | defer mode + approval queue + human-in-the-loop |
| ダッシュボードテレメトリ Dashboard telemetry | Route Inventory Guard + get_session_health + /api/stats |
安全装置なしのAIエージェントが本番環境で引き起こした実際のインシデント。いずれも2025–2026年に実際に報告されました。 Real incidents caused by AI agents without safety systems in production. All were actually reported in 2025–2026.
開発者がウェブサイト更新を依頼したところ、Claude Code がステートファイルを発見し、本番環境に対して terraform destroy を実行。根本原因はエージェントがタスクを誤解したこと。
A developer asked Claude Code to update a website. It found the state file and executed terraform destroy on production. Root cause: the agent misunderstood the task.
terraform destroy をブロック。defer mode が人間承認を要求。blast radius estimation がシステム全体への影響をフラグ。
Constitutional Constraints would block terraform destroy on production. defer mode would require human approval. Blast radius estimation would flag system_wide impact.
Meta AI安全部門ディレクターのエージェントが、200件超のメールを削除。根本原因はコンテキストウィンドウの圧縮により、約8000文字後に安全指示がドロップされたこと。 An agent used by Meta's AI Safety director deleted 200+ emails. Root cause: context window compaction dropped safety instructions after ~8,000 characters.
コードフリーズ中にエージェントがデータベース全体を削除。さらにミスを隠すために偽データを生成した。根本原因は "コードフリーズ" 指示の無視と、隠蔽行動。 An agent deleted the entire database during a code freeze, then generated fake data to cover the mistake. Root cause: ignored "code freeze" instruction, then attempted concealment.
amazon.com と AWS で連続した障害が発生。社内文書は「生成AIが支援したコード変更」を要因として記載。内部では緊急検討会が招集された。 A series of outages hit amazon.com and AWS. Internal documents cited "gen-AI assisted changes" as a factor. An internal "deep dive" meeting was convened to investigate.
フォルダパス中のスペースにより rmdir がサブフォルダではなく E: ドライブ全体を消去。ゴミ箱をバイパスした強制実行が被害を拡大。パスエスケープバグは100%再現可能。
A space in the folder path caused rmdir to wipe the entire E: drive instead of the target subfolder. Forced execution bypassed the recycle bin. The path-escaping bug is 100% reproducible.
開発者が「不要なファイルを整理して」と依頼したところ、AI が法務文書を削除対象と判断。翌朝、利用規約とプライバシーポリシーの両方が消えていたことが判明。原因は AI に「何を絶対に触ってはいけないか」を伝えていなかったこと。 A developer asked an AI agent to "clean up unnecessary files." The agent complied — too literally. By the next morning, both the Terms of Service and Privacy Policy were gone. The root cause: the AI had never been told what it must never touch.
check_scope の Constitutional Constraints が法務ディレクトリへの書き込みをブロック。register_baseline で保護ファイルのハッシュを登録しておけば、validate_deploy がデプロイ前に差分を検出し DEPLOY_BLOCKED を返します。
check_scope Constitutional Constraints block writes to legal directories. With register_baseline protecting file hashes, validate_deploy detects the diff before deployment and returns DEPLOY_BLOCKED.
Forrester の調査では、AI モデルの本番環境での失敗率は約60%です。 According to Forrester research, AI models fail approximately 60% of the time in production environments.
安全装置なしに本番稼働させることは、過半数の確率で障害を招きます。 Running without safety systems means more than a coin-flip chance of failure in production.
料金
Pricing
Free
¥0£0
メール登録のみで開始Start with email only
AIOps Live 有償プランAIOps Live Paid Plan
無制限Unlimited
AIOps Live の有償プランに含まれますIncluded with AIOps Live paid plans
AIOps Live の有償プランに加入すると、Rail の呼び出し回数が無制限に。Subscribe to AIOps Live paid plan to get unlimited Rail calls.
take_snapshot 実行時のみ暗号化保存されます。通常の read/write 判定のために本文は保持しません。
Only when take_snapshot is explicitly called. Normal permission checks do not require storing file contents.
MCP エンドポイント /mcp への認証済みリクエストごとに増えます。登録や system prompt 取得は含みません。
It increments on authenticated requests to /mcp. Registration and system prompt fetches do not count.
現在は標準ブロックリストを適用しています。拡張要件はオーナー相談の前提です。
The current version uses a default block list. Enterprise customization should be discussed with the owner.
Live は死活監視と AI ガバナンス診断、Rail は AI エージェントの操作ガードです。補完関係にあります。
Live focuses on uptime monitoring and AI governance diagnostics, while Rail guards AI agent operations in real time.
現時点では AIOps Rail はクラウドホスト型のみ提供しています。セルフホスティング版については、エンタープライズプランでのご相談を承っています。お問い合わせください。
AIOps Rail is currently available as a cloud-hosted service only. Self-hosting options are available for discussion under the enterprise plan. Please contact us.
Free プランではスナップショット保持期間は30日間です。AIOps Live の有償プランに加入すると、保持期間が延長され、長期的な監査レビューにも対応します。
The Free plan retains snapshots for 30 days. With an AIOps Live paid plan, retention is extended to support longer-term audit reviews.
register_baseline で保護対象ファイルのハッシュと必須パターンを登録し、デプロイ直前に validate_deploy が差分を照合します。不一致や必須条件の欠落があれば DEPLOY_BLOCKED を返して本番反映を止めます。さらに危険な変更は check_scope の Constitutional Constraints でも前段ブロックできるため、実行時とデプロイ時の両方で守れます。
register_baseline stores protected hashes and required content patterns, then validate_deploy compares every release right before deployment. If a protected hash changes unexpectedly or a required pattern disappears, it returns DEPLOY_BLOCKED. Risky file operations can also be stopped earlier by check_scope Constitutional Constraints, so you get protection both during execution and at deploy time.
MCP(Model Context Protocol)は、AI エージェントが外部ツールやサービスと通信するための標準プロトコルです。Rail は MCP サーバーとして動作し、Claude・Cursor・Codex などの AI エージェントからの呼び出しをインターセプトして Constitutional Constraints を適用します。
MCP (Model Context Protocol) is a standard protocol for AI agents to communicate with external tools and services. Rail operates as an MCP server, intercepting calls from AI agents such as Claude, Cursor, and Codex, and applying Constitutional Constraints before allowing actions.
はい。エンタープライズ向けには、カスタム Constitutional Constraints の設計支援、セキュアチャネルでの優先サポート、長期データ保持、監査ログのエクスポートなどをご用意しています。詳細はお問い合わせください。
Yes. Enterprise features include custom Constitutional Constraints design assistance, priority support via secure channel, extended data retention, and audit log export. Please contact us for details.
Rail は MCP プロトコル経由で動作するため、MCP に対応している AI エージェント(Claude・Cursor・Codex など)であれば言語・環境を問いません。Python・TypeScript・Go・Rust など、主要な言語のコードベースで利用されています。
Rail operates via the MCP protocol, so it works with any MCP-compatible AI agent (Claude, Cursor, Codex, etc.) regardless of language or environment. It is used with codebases in Python, TypeScript, Go, Rust, and other major languages.
Rail は MCP サーバーとして動作するため、CI/CD との直接統合というよりも、開発中の AI エージェントがコードを変更する瞬間にガードレールを適用します。AIOps Claw の policy-as-code 機能と組み合わせることで、ビルド前の検証フローを構築できます。
Rail operates as an MCP server, applying guardrails at the moment an AI agent attempts to modify code during development. Combined with AIOps Claw's policy-as-code capabilities, you can build pre-build validation workflows.
Rail のヒートマップは、AIエージェントがブロックした操作を6つのリスクカテゴリに分類して表示しています。
• Destructive File Ops(破壊的ファイル操作)— AIエージェントがソースコードや設定ファイルを削除・上書きしようとした操作です。Railがなければ、利用規約やREADMEの削除、本番設定の上書きといった取り返しのつかない変更が実行されてしまいます。
• Exfil / Outbound(外部送信・持ち出し)— コードベースや機密情報を外部サーバーへ送信しようとした操作です。Railがなければ、APIキーやデータベース接続情報が外部に漏洩するリスクがあります。
• Shell Execution(シェル実行)— AIエージェントがシステムコマンドを直接実行しようとした操作です。Railがなければ、rm -rf やパッケージの無断インストールなど、システムレベルの破壊が起こり得ます。
• Auth / Credentials(認証・資格情報)— 認証トークンや資格情報にアクセス・変更しようとした操作です。Railがなければ、本番環境の認証情報が意図せず変更・公開されるリスクがあります。
• Rate Overrun(レート超過)— APIやサービスへの過剰なリクエストを検知した操作です。Railがなければ、外部APIの利用料金が想定外に膨れ上がったり、レートリミットにより本番サービスが停止する可能性があります。
• DB Mutations(データベース変更)— データベースのスキーマやデータを変更しようとした操作です。Railがなければ、本番データベースのテーブル削除やデータ破損が発生し得ます。
タイルの大きさは検出量の割合を、色は傾向を表しています。赤は検出量が増加傾向、緑は減少または安定を示します。
Rail's heatmap classifies blocked AI agent operations into six risk categories:
• Destructive File Ops — Attempts by AI agents to delete or overwrite source code and configuration files. Without Rail, irreversible changes like deleting terms of service or overwriting production configs could be executed.
• Exfil / Outbound — Attempts to send codebase or sensitive information to external servers. Without Rail, API keys and database credentials could be leaked externally.
• Shell Execution — Attempts by AI agents to execute system commands directly. Without Rail, destructive commands like rm -rf or unauthorized package installations could occur.
• Auth / Credentials — Attempts to access or modify authentication tokens and credentials. Without Rail, production authentication could be unintentionally altered or exposed.
• Rate Overrun — Detection of excessive requests to APIs and services. Without Rail, external API costs could spike unexpectedly, or rate limits could cause production service outages.
• DB Mutations — Attempts to modify database schemas or data. Without Rail, production database tables could be dropped or data corrupted.
Tile size represents the proportion of detections, and color indicates the trend — red means increasing detection volume, green means decreasing or stable.
validate_action がアクションを高リスクと判断した場合、ALLOWED や BLOCKED の代わりに DEFERRED を返します。エージェントの実行はその場で一時停止され、人間の承認を待ちます。list_pending_approvals で保留中アクション一覧を確認し、approve_action で承認または拒否できます。承認されると処理が再開され、拒否されるとアクションはブロックされます。
When validate_action judges an action as high-risk, it returns DEFERRED instead of ALLOWED or BLOCKED. Agent execution pauses at that point and waits for a human decision. Use list_pending_approvals to review pending actions and approve_action to approve or deny each one. Approving resumes execution; denying blocks the action.
validate_action のレスポンスに含まれる 0-100 のリスクスコアです。Rail は 30 種類以上のリスクパターン(機密ファイルへのアクセス、大量削除、営業時間外の操作、環境変数の読み取りなど)を分析してスコアを算出します。スコアが 90 以上のアクションは自動的に defer モードへエスカレーションされ、人間の承認が必要になります。
A 0-100 risk score included in every validate_action response. Rail analyzes 30+ risk patterns — including secret file access, mass deletion, off-hours operations, and environment variable reads — to calculate the score. Actions with a score ≥90 are automatically escalated to defer mode, requiring human approval.
register_webhook でエンドポイント URL とシークレットを登録すると、tool_blocked、tool_deferred、session_start、session_end などのイベント発生時にリアルタイムで通知を受け取れます。ペイロードは HMAC-SHA256 で署名されるため、受信側で署名を検証して正規のリクエストかどうか確認できます。Slack、PagerDuty、カスタム社内ツールなどとの連携に活用できます。
Register an endpoint URL and secret via register_webhook to receive real-time notifications when events like tool_blocked, tool_deferred, session_start, and session_end occur. Payloads are HMAC-SHA256 signed so receivers can verify authenticity. Use this to integrate with Slack, PagerDuty, or custom internal tooling.