人間の介入（HITL）

このガイドでは、 SDK の承認ベースの Human in the loop (人間の介入) フローを扱います。ツール呼び出しに承認が必要な場合、 SDK は実行を一時停止し、 interruptions を返して、同じ RunState から後で再開できるようにします。

この承認の対象範囲は実行全体であり、現在のトップレベルエージェントに限定されません。同じパターンは、ツールが現在のエージェントに属する場合、ハンドオフで到達したエージェントに属する場合、またはネストした agent.asTool() 実行に属する場合にも適用されます。ネストした agent.asTool() の場合でも、中断は外側の実行に現れるため、外側の result.state で承認または拒否し、元のルート実行を再開します。

agent.asTool() では、承認は 2 つの異なるレイヤーで発生する可能性があります。エージェントツール自体が asTool({ needsApproval }) により承認を必要とする場合と、ネストした実行開始後にネスト先エージェント内のツールが独自の承認を発生させる場合です。どちらも同じ外側実行の中断フローで処理されます。

このページでは、 interruptions を使った手動承認フローに焦点を当てます。アプリがコードで判断できる場合、一部のツールタイプはプログラムによる承認コールバックにも対応しており、実行を一時停止せずに継続できます。agent.asTool() 自体を設定する場合は、ツールガイドを参照してください。このページでは、その実行階層内のいずれかのツールで承認が必要になった後に何が起きるかを扱います。

承認フロー

needsApproval オプションを true に設定するか、 boolean を返す async 関数に設定することで、承認が必要なツールを定義できます。

import { tool } from '@openai/agents';
import z from 'zod';

const sensitiveTool = tool({
  name: 'cancelOrder',
  description: 'Cancel order',
  parameters: z.object({
    orderId: z.number(),
  }),
  // always requires approval
  needsApproval: true,
  execute: async ({ orderId }, args) => {
    // prepare order return
  },
});

const sendEmail = tool({
  name: 'sendEmail',
  description: 'Send an email',
  parameters: z.object({
    to: z.string(),
    subject: z.string(),
    body: z.string(),
  }),
  needsApproval: async (_context, { subject }) => {
    // check if the email is spam
    return subject.includes('spam');
  },
  execute: async ({ to, subject, body }, args) => {
    // send email
  },
});

フロー

ツール呼び出しが実行される直前に、 SDK はその承認ルール（ needsApproval または hosted MCP の同等機能）を評価します。
承認が必要で、まだ決定が保存されていない場合、ツール呼び出しは実行されません。代わりに、実行は RunToolApprovalItem を記録します。
そのターンの終わりに、実行は一時停止し、保留中のすべての承認をエージェントの実行結果の interruptions 配列で返します。これにはネストした agent.asTool() 実行内で発生した承認も含まれます。
各保留項目を result.state.approve(interruption) または result.state.reject(interruption) で解決します。同じツールをその実行の残りで承認または拒否状態に保つ場合は、 { alwaysApprove: true } または { alwaysReject: true } を渡します。拒否時には、 { message: '...' } も渡して、その特定のツール呼び出しについてモデルに返す拒否メッセージを制御できます。
更新した result.state を runner.run(agent, state) に渡して再開します。ここで agent はその実行の元のトップレベルエージェントです。 SDK は中断地点から継続し、ネストしたエージェントツール実行も含めて再開します。

{ alwaysApprove: true } または { alwaysReject: true } で作成された固定決定は実行状態に保存されるため、同じ一時停止実行を後で再開する際に toString() / fromString() をまたいで保持されます。

GA モデルのコンピュータツール中断は、 1 つの computer_call で複数アクションのバッチを表す場合があります。 SDK は実行前にアクションごとに needsApproval を評価するため、 1 つの保留承認で move + click のような連続操作をカバーできます。 UI 表示のために interruption.rawItem を確認する場合は、 GA の actions 配列と旧来の単一 action フィールドの両方に対応してください。

シリアライズされた RunState は、現在の computer ツール名と旧来の computer_use_preview 名の両方にまたがってコンピュータ承認も保持するため、 preview から GA への移行中でも一時停止実行を安全に再開できます。

message を指定しない場合、 SDK は設定された toolErrorFormatter （あれば）を使い、それもなければデフォルトの拒否テキストを使います。

同じパスで保留中の承認をすべて解決する必要はありません。一部の項目だけ承認または拒否して再実行した場合、解決済み呼び出しは継続し、未解決項目は interruptions に残って再び実行を一時停止します。

承認決定の自動化

手動の interruptions は最も汎用的なパターンですが、それだけではありません。

ローカルの shellTool() と applyPatchTool() は onApproval を使ってコード内で即時に承認または拒否できます。
Hosted MCP ツールは requireApproval と onApproval を組み合わせて、同様のプログラム的決定を行えます。
通常の関数ツールは、このページの手動中断フローを使います。

これらのコールバックが決定を返すと、実行は人間の応答待ちで一時停止せずに継続します。 Realtime / 音声セッション API については、音声エージェントの構築ガイドの承認フローを参照してください。

ストリーミングとセッション

同じ中断フローはストリーミング実行でも動作します。ストリーミング実行が一時停止した後、 stream.completed を待ち、 stream.interruptions を読み取り、それらを解決して、再開後の出力もストリーミングしたい場合は { stream: true } 付きで再び run() を呼び出します。このパターンのストリーミング版はストリーミング中の Human in the loop を参照してください。

session も使用している場合は、 RunState から再開するときに同じ session を渡し続けてください。すると再開ターンは入力を再準備せずにセッションメモリへ追加されます。セッションライフサイクルの詳細はセッションガイドを参照してください。

例

以下は、ターミナルで承認を促し、状態を一時的にファイルへ保存する Human in the loop (人間の介入) フローの、より完全な例です。

import { z } from 'zod';
import readline from 'node:readline/promises';
import fs from 'node:fs/promises';
import { Agent, run, tool, RunState, RunResult } from '@openai/agents';

const getWeatherTool = tool({
  name: 'get_weather',
  description: 'Get the weather for a given city',
  parameters: z.object({
    location: z.string(),
  }),
  needsApproval: async (_context, { location }) => {
    // forces approval to look up the weather in San Francisco
    return location === 'San Francisco';
  },
  execute: async ({ location }) => {
    return `The weather in ${location} is sunny`;
  },
});

const dataAgentTwo = new Agent({
  name: 'Data agent',
  instructions: 'You are a data agent',
  handoffDescription: 'You know everything about the weather',
  tools: [getWeatherTool],
});

const agent = new Agent({
  name: 'Basic test agent',
  instructions: 'You are a basic agent',
  handoffs: [dataAgentTwo],
});

async function confirm(question: string) {
  const rl = readline.createInterface({
    input: process.stdin,
    output: process.stdout,
  });

  const answer = await rl.question(`${question} (y/n): `);
  const normalizedAnswer = answer.toLowerCase();
  rl.close();
  return normalizedAnswer === 'y' || normalizedAnswer === 'yes';
}

async function main() {
  let result: RunResult<unknown, Agent<unknown, any>> = await run(
    agent,
    'What is the weather in Oakland and San Francisco?',
  );
  let hasInterruptions = result.interruptions?.length > 0;
  while (hasInterruptions) {
    // storing
    await fs.writeFile(
      'result.json',
      JSON.stringify(result.state, null, 2),
      'utf-8',
    );

    // from here on you could run things on a different thread/process

    // reading later on
    const storedState = await fs.readFile('result.json', 'utf-8');
    const state = await RunState.fromString(agent, storedState);

    for (const interruption of result.interruptions) {
      const confirmed = await confirm(
        `Agent ${interruption.agent.name} would like to use the tool ${interruption.name} with "${interruption.arguments}". Do you approve?`,
      );

      if (confirmed) {
        state.approve(interruption);
      } else {
        state.reject(interruption);
      }
    }

    // resume execution of the current state
    result = await run(agent, state);
    hasInterruptions = result.interruptions?.length > 0;
  }

  console.log(result.finalOutput);
}

main().catch((error) => {
  console.dir(error, { depth: null });
});

動作するエンドツーエンド版は完全なサンプルスクリプトを参照してください。

長時間の承認待ちへの対応

Human in the loop (人間の介入) フローは、サーバーを動かし続けなくても長時間中断できるよう設計されています。リクエストを終了して後で続行する必要がある場合は、状態をシリアライズして後で再開できます。

result.state.toString() （または JSON.stringify(result.state) ）で状態をシリアライズし、後で RunState.fromString(agent, serializedState) にシリアライズ済み状態を渡して再開できます。ここで agent は実行全体を開始したエージェントのインスタンスです。

RunState をシリアライズする場合は、ハンドオフおよび Agent.asTool() グラフ内のすべてのエージェントに一意な name を使ってください。エージェント名は再開時にシリアライズ済みエージェントを解決するために使われ、重複名があると状態のシリアライズまたはデシリアライズ時にエラーになります。

再開プロセスで新しいコンテキストオブジェクトを注入する必要がある場合は、代わりに RunState.fromStringWithContext(agent, serializedState, context, { contextStrategy }) を使ってください。

contextStrategy: 'merge' （デフォルト）は、提供された RunContext を保持し、シリアライズ済み承認状態をマージし、新しいコンテキストに未定義の場合はシリアライズ済み toolInput を復元します
contextStrategy: 'replace' は、提供された RunContext をそのまま使って実行を再構築します

シリアライズ済み実行状態には、アプリコンテキストに加えて、承認、使用量、ネストした toolInput、保留中のネストしたエージェントツール再開など SDK 管理のランタイムメタデータが含まれます。シリアライズ済み状態を保存または転送する場合は、 runContext.context を永続化データとして扱い、意図的に状態と一緒に移動させたい場合を除き、そこに秘密情報を置かないでください。

デフォルトでは、シークレットを誤って永続化しないよう、トレーシング API キーはシリアライズ済み状態から除外されます。状態と一緒にトレーシング認証情報を移動する必要が意図的にある場合にのみ、 result.state.toString({ includeTracingApiKey: true }) を渡してください。

こうすることで、シリアライズ済み状態をデータベースやリクエストと一緒に保存できます。

保留タスクのバージョニング

承認リクエストに長時間かかり、エージェント定義を意味のある形でバージョン管理したり Agents SDK のバージョンを上げたりする予定がある場合、現時点では package alias を使って Agents SDK の 2 バージョンを並行インストールし、独自の分岐ロジックを実装することを推奨します。

実運用では、これは自分のコードにバージョン番号を割り当て、それをシリアライズ済み状態と一緒に保存し、デシリアライズを正しいバージョンのコードへ誘導することを意味します。