GitHub が AI Agent の実行ワークスペースへ進化：Copilot コーディング Agent と独占 macOS Runner の協調 Runbook

過去 10 年、GitHub はコード、issue、PR、Actions、権限モデルを人間協働のためのグラフとして束ねてきました。人がコードを書き、PR を開き、PR をレビューし、CI がグリーンになったら人がマージする——この流れが標準でした。2025–2026 で大きく変わるのは「コードを書く」主体です。リポジトリは「コードの保管庫」から「Agent の実行サンドボックス」へ進化しつつあります。

この移行は 3 つのプロダクト形態が同時に推進しています。Copilot コーディング Agent（cloud agent）は Issue 割り当てや Chat プロンプトを起点に、Actions 上の専用 VM を起動し、RAG でリポジトリを検索し、タスクを計画し、draft PR に commit を push します。.github/agents/ カスタム Agent はチームが複数の専門ロール（パフォーマンス最適化、テスト作成、ドキュメント運用）を宣言できる仕組みです。Agentic Workflows（gh-aw、テクニカルプレビュー） は .github/workflows/ の自然言語 Markdown を Actions YAML へコンパイルし、Copilot / Claude / Codex をサンドボックス内で動かしてイベント駆動の常駐タスクを実行します。

3 層が重なることで、GitHub のプロダクト意味論は「人がコードを書く → リポジトリに保存する」から「人が目的を書く → Agent がリポジトリ内で実行する → 人が draft PR をレビューする → CI/CD がデプロイを起動する」へと変わりました。単一ツールを追うよりも、この移行そのものを理解することが重要です。それを支える算力契約（セルフホスト Runner、独占 Apple Silicon ノード）が新しい基盤となります。

Copilot コーディング Agent や Claude Code を GitHub-hosted Runner に直接ぶら下げて運用するチームは少なくありません。短期的には手軽ですが、長期的には次の 4 種類のコストが見えてきます：

• 分単位プール × Agent ロングジョブ：Agent タスクはコンパイル、テスト、セキュリティスキャンを繰り返し、1 ジョブが 30 分を超えることが多くなります。分単位課金に隣接ジョブのノイズが重なり、月次請求は非線形に増加します。
• 署名素材の露出リスク：共有 Runner では secrets が Agent 環境に注入されます。プロンプトインジェクションや悪意ある依存があった場合、署名証明書とプロビジョニングプロファイルに本物の流出経路が生まれます。GitHub の SafeOutputs MCP Gateway、Agent Workflow Firewall（AWF）、threat detection job は、まさに Agent の書き込み権限を実行環境から物理的に分離するために用意されています。
• 「人による draft PR レビュー」量が予測不能：Agent は一晩に数十件の draft PR を開くことがあります。AGENTS.md とカスタム Agent のガードレールが無いと、レビュー担当者は溢れます。GitHub は draft PR を人間が承認するまで CI/CD を走らせない設計を既定とし、「人間がループに残る」スイッチを保証しています。
• Apple Silicon リソースを軽く見積もりがち：iOS/macOS プロジェクトは Xcode、シミュレータ、TestFlight アップロードを Agent に任せます。DerivedData、署名 keychain、バージョン固定の Xcode が必要です。これらの要件は汎用クラウド macOS Runner では遅く高くつきます。独占ノードのほうが安く、監査もしやすくなります。

これらをレビューに持ち込めば結論は明確です。Agent 実行ワークスペースには専用算力と明示的なセキュリティ契約が必要であり、汎用 Runner で「とりあえず動かす」では済みません。

下表はよく混同される 3 つの概念を工学的視点で並べ、チームレビュー時に正しい入り口を選ぶための比較表です：

3 層は排他ではありません。成熟チームは Copilot コーディング Agent を「コードを書く」既定入り口に置き、.github/agents/ でロール（テスト Agent、性能 Agent、ドキュメント Agent）を絞り、Agentic Workflows でイベント駆動の常駐 Agent（CI 赤信号で分析、Issue 起票で自動トリアージ）を回します。これにより GitHub は「イベント → Agent → 制御された書き込み」の純粋な実行プレーンになります。

Agent にリポジトリを直接操作させる構成では、モデル選定よりもセキュリティ契約の方が重要です。GitHub Agentic Workflows はこの層を明示化しており、セルフホスト工程に持ち込んでも有効です：

• SafeOutputs MCP Gateway：Agent は GitHub API を直接呼び出しません。意図する書き込み操作を Gateway に宣言し、Gateway はそれを artifact としてバッファします。Agent が終了したのちに、書き込み権限を持つ別ジョブが検証・サニタイズ・レート制限を行ったうえで実行します。Agent 本体は常に読み取り専用、secrets を保持しない状態です。
• Agent Workflow Firewall（AWF）：Agent を独立コンテナに入れ、iptables ＋ Squid プロキシで egress を制御し、ドメイン allowlist のみ通します。プロンプトインジェクション後のデータ流出や外部 C2 を防ぎます。
• Threat Detection Job：Agent が出すパッチは適用前に、セキュリティ特化 Agent によりプロンプトインジェクション・クレデンシャル漏洩・悪意あるコードパターンをスキャンされます。疑わしい場合はワークフロー全体が fail します。
• Branch Protection ＋ 人間レビュー：Copilot コーディング Agent が push できるのは自分が作ったブランチだけです。draft PR は人間の承認が無いと CI/CD が走りません。デプロイラインの「人間」は依然として fail-safe の弁です。

OpenAI、Cursor、Jules、Amp、Factory が 2025 年に共同で策定した AGENTS.md 仕様は、Agent 実行ワークスペースの「人間側の契約」です。リポジトリのルートに「Agent 向け README」を置き、プロジェクト構成、ビルドコマンド、テストコマンド、スタイル制約、セキュリティ注意事項を予測可能な場所で提供します：

• 階層的な解決：サブディレクトリにも AGENTS.md を置けます。Agent は変更ファイルから最も近いものを採用します。OpenAI 本家リポジトリは現時点で 88 件の AGENTS.md を持ちます。
• Must-follow と Should の分離：「main へは直接 commit しない」「Xcode 16.2 を固定」のようなハードルールと、「Swift Testing を優先」のようなソフト指針を併記でき、Agent の振る舞いが収束します。
• README と相補：README は人間と外部コントリビュータ向け、AGENTS.md は Agent 向けです。ビルド手順、長文コンテキスト規則、セキュリティ上の落とし穴は AGENTS.md に置きます。
• Copilot CLI と互換：JetBrains と VS Code の Copilot CLI Agent はグローバル ~/.copilot/agents/.agent.md を既にサポートしており、チーム規約と個人設定を階層化できます。

iOS/macOS プロジェクトでは、AGENTS.md に Xcode 固定コマンド、xcodebuild エントリ、署名前処理スクリプト、-strict-concurrency=complete 等のゲート、独占 Runner ラベルとディスクのルートパス、触れてはならないディレクトリを書きます。規則が明示的であるほど、Agent は勝手な振る舞いをしません。これは既存の NUKCLOUD 独占 Apple Silicon ノード Runbook における「ベースライン凍結、SSH ベースライン、キャッシュ分割、署名分離」チェックリストと同じ思想であり、AGENTS.md はそのAgent 可読版です。

下記は iOS/macOS CI ＋ Agent 導入の現場でよく見る数値です。あくまでオーダーの目安として扱い、貴社実測を基準としてください：

• Agent 単一ジョブの wall time：Copilot コーディング Agent が「バグ修正＋テスト追加」を回すと通常 8〜25 分、「モジュールリファクタリング＋フルビルド」では 30〜90 分に達します。共有分単位プールはリリースピークで P95 が 15〜45 分待ちになります。
• draft PR の発生量：Copilot コーディング Agent を導入した中規模チームでは、日次の draft PR 数が前期比 2〜5 倍に増えるケースが多く、ボトルネックは「コードを書く」から「PR をレビューする」へ移動します。AGENTS.md と .github/agents がそのレバーです。
• SafeOutputs の効果：SafeOutputs ＋ AWF を有効化すると、Agent 本体は GITHUB_TOKEN、secrets、MCP API キーを一切保持しません。プレビュー期間中の threat detection job 拒否率は約 0.5〜2%（多くはプロンプトインジェクション類似コンテンツの誤検知）です。
• 独占 Apple Silicon の効果：NUKCLOUD 独占ノードで Agent 用に --concurrent-jobs 2〜4 を確保すると、フルの xcodebuild ジョブ wall time は通用 macOS Runner に比べ通常 25〜40% 短縮します。DerivedData キャッシュヒットによりさらに 30〜60% 短縮します。
• レビュー負荷の変化：Copilot コーディング Agent は PR を開く前に自身で Copilot Code Review を 1 周走らせるため、初回の人間レビュー時間が短縮されます。一方でレビュアは設計意図とシステム境界に注力すべきで、構文レベルの指摘ではなくなる傾向があります。

独占 Apple Silicon Runner と組み合わせる、最小実行可能な Runbook を順番に示します。初日から完璧を目指す必要はありません：

1. 01
   AGENTS.md を 1 枚書く：ルートに Must-follow（Xcode バージョン、ビルドコマンド、触れない目録、Branch Protection）と Should（スタイル、コミット形式）を記述。必要に応じてサブディレクトリに追加。OpenAI Codex / Cursor / Copilot CLI が解析可能です。
2. 02
   .github/agents/ カスタム Agent を宣言：最低 3 ロール——テスト Agent（*Tests* のみ触り、全件テスト実行）、ドキュメント Agent（.md と changelog のみ）、性能 Agent（先にベンチマーク、後に変更）。prompt でツール呼び出し範囲と必須ステップを縛ります。
3. 03
   Agentic Workflows（gh-aw）の導入：Markdown で issue トリアージ、CI 失敗自動修復、ドキュメント点検を記述。SafeOutputs を ON にし、Agent 本体を読み取り専用に保ち、すべての書き込みを制限ジョブ経由にします。
4. 04
   独占 Apple Silicon Runner の登録：注文ページで NUKCLOUD 独占ノードを開通し、セルフホスト Runner として登録し、agent-macos、xcode-16、signing-isolated 等のラベルを付与します。署名 keychain は「書き込み権限ジョブ」にのみマウントします。
5. 05
   セキュリティ契約の敷設：ノード上で Squid ＋ iptables を組み AWF を再現します。secrets はすべて OIDC ＋ クラウド KMS 経由とし、Agent コンテナから直接読めない構成にします。draft PR は人間レビューを通して初めて CI/CD に進めます。
6. 06
   レビューループと KPI：毎週「draft PR 件数 / レビュー所要時間 / 人間却下率 / threat detection 命中率」を振り返り、KPI に基づき AGENTS.md とカスタム Agent prompt を微調整します。Swift 6 厳格並行 CI ゲート Runbook の「段階的・ロールバック可」のリズムと併走するのが理想です。

下表はレビューの目線合わせ用です。具体的な数値は財務とネットワークチームに貴社版を埋めてもらってください：

この表の本質は「どちらが安いか」ではなく、「Agent 実行ワークスペースを書面で立証できるか」です。独占ノードであれば、SafeOutputs、AWF、人間レビューの規律を具体的なノードと Runner ラベルに着地させられ、スローガンに留まりません。