人間の介入(HITL)
このガイドでは、SDK の承認ベースの Human in the loop (人間の介入) フローについて説明します。ツール呼び出しに承認が必要な場合、SDK は実行を一時停止し、interruptions を返して、後で同じ RunState から再開できるようにします。
この承認の対象範囲は実行全体に及び、現在のトップレベルのエージェントだけに限定されません。同じパターンは、ツールが現在のエージェントに属する場合、ハンドオフ経由で到達したエージェントに属する場合、またはネストされた agent.asTool() の実行に属する場合にも適用されます。ネストされた agent.asTool() の場合でも、中断は外側の実行に表面化するため、外側の result.state で承認または拒否し、元のルート実行を再開します。
agent.asTool() では、承認は 2 つの異なるレイヤーで発生する可能性があります。エージェントツール自体が asTool({ needsApproval }) によって承認を要求でき、ネストされた実行の開始後に、ネストされたエージェント内のツールが独自の承認を後から発生させることもできます。どちらも同じ外側の実行の中断フローで処理されます。
このページでは、interruptions による手動承認フローに焦点を当てます。アプリがコード内で判断できる場合、一部のツールタイプはプログラムによる承認コールバックにも対応しているため、実行を一時停止せずに続行できます。agent.asTool() 自体を設定する場合は、ツールガイドを参照してください。このページでは、その実行階層内の任意のツールで承認が必要になった後に何が起こるかを説明します。
needsApproval オプションを true に設定するか、boolean を返す async 関数に設定することで、承認が必要なツールを定義できます。
import { tool } from '@openai/agents';import z from 'zod';
const sensitiveTool = tool({ name: 'cancelOrder', description: 'Cancel order', parameters: z.object({ orderId: z.number(), }), // always requires approval needsApproval: true, execute: async ({ orderId }, args) => { // prepare order return },});
const sendEmail = tool({ name: 'sendEmail', description: 'Send an email', parameters: z.object({ to: z.string(), subject: z.string(), body: z.string(), }), needsApproval: async (_context, { subject }) => { // check if the email is spam return subject.includes('spam'); }, execute: async ({ to, subject, body }, args) => { // send email },});- ツール呼び出しが実行される直前に、SDK はその承認ルール(
needsApprovalまたは Hosted MCP に相当する設定)を評価します。 - 承認が必要で、まだ判断が保存されていない場合、ツール呼び出しは実行されません。代わりに、実行は
RunToolApprovalItemを記録します。 - そのターンの終了時に、実行は一時停止し、保留中の承認をすべて エージェントの実行結果 の
interruptions配列で返します。これには、ネストされたagent.asTool()の実行内で発生した承認も含まれます。 - 保留中の各項目を
result.state.approve(interruption)またはresult.state.reject(interruption)で解決します。同じツールをその実行の残りの間、承認済みまたは拒否済みにしておく場合は、{ alwaysApprove: true }または{ alwaysReject: true }を渡します。拒否する場合は、{ message: '...' }を渡して、その特定のツール呼び出しについてモデルに返される拒否テキストを制御することもできます。 - 更新した
result.stateをrunner.run(agent, state)に渡して再開します。ここでagentは、その実行の元のトップレベルエージェントです。SDK は、ネストされたエージェントツールの実行も含めて、中断された地点から続行します。
{ alwaysApprove: true } または { alwaysReject: true } で作成された固定的な判断は実行状態に保存されるため、後で同じ一時停止中の実行を再開する際に、toString() / fromString() を経ても維持されます。
コンピュータツールの中断は、GA モデルでは 1 つの computer_call 内の一連のアクションを表すことがあります。SDK は実行前にアクションごとに needsApproval を評価するため、1 つの保留中の承認で move + click のようなシーケンスを対象にできます。UI をレンダリングするために interruption.rawItem を確認する場合は、GA の actions 配列と、従来の単一の action フィールドの両方に対応してください。
シリアライズされた RunState は、現在の computer ツール名と従来の computer_use_preview 名の両方にまたがってコンピュータの承認も保持するため、プレビューから GA への移行中でも、一時停止した実行を正常に再開できます。
message を指定しない場合、SDK は設定された toolErrorFormatter(存在する場合)にフォールバックし、その後デフォルトの拒否テキストにフォールバックします。
保留中の承認をすべて同じパスで解決する必要はありません。一部の項目だけを承認または拒否して再実行すると、解決済みの呼び出しは続行でき、未解決のものは interruptions に残って実行を再び一時停止します。
自動的な承認判断
Section titled “自動的な承認判断”手動の interruptions は最も汎用的なパターンですが、それだけが方法ではありません。
- ローカルの
shellTool()とapplyPatchTool()は、onApprovalを使ってコード内で即座に承認または拒否できます。 - Hosted MCP ツールは、同じ種類のプログラムによる判断のために
requireApprovalとonApprovalを併用できます。 - 通常の関数ツールは、このページの手動中断フローを使用します。
これらのコールバックが判断を返すと、実行は人間の応答を待って一時停止することなく続行します。Realtime / 音声セッション API については、音声エージェントの構築の承認フローを参照してください。
ストリーミングとセッション
Section titled “ストリーミングとセッション”同じ中断フローは、ストリーミング実行でも機能します。ストリーミングされた実行が一時停止したら、stream.completed を待ち、stream.interruptions を読み取り、それらを解決して、再開後の出力もストリーミングし続けたい場合は { stream: true } を指定して再度 run() を呼び出します。このパターンのストリーミング版については、ストリーミング中の Human in the loop (人間の介入)を参照してください。
session も使用している場合は、RunState から再開するときに同じ session を渡し続けてください。再開されたターンは、入力を再準備することなくセッションメモリに追加されます。セッションのライフサイクルの詳細については、セッションガイドを参照してください。
以下は、ターミナルで承認を求め、状態を一時的にファイルに保存する Human in the loop (人間の介入) フローの、より完全な例です。
import { z } from 'zod';import readline from 'node:readline/promises';import fs from 'node:fs/promises';import { Agent, run, tool, RunState, RunResult } from '@openai/agents';
const getWeatherTool = tool({ name: 'get_weather', description: 'Get the weather for a given city', parameters: z.object({ location: z.string(), }), needsApproval: async (_context, { location }) => { // forces approval to look up the weather in San Francisco return location === 'San Francisco'; }, execute: async ({ location }) => { return `The weather in ${location} is sunny`; },});
const dataAgentTwo = new Agent({ name: 'Data agent', instructions: 'You are a data agent', handoffDescription: 'You know everything about the weather', tools: [getWeatherTool],});
const agent = new Agent({ name: 'Basic test agent', instructions: 'You are a basic agent', handoffs: [dataAgentTwo],});
async function confirm(question: string) { const rl = readline.createInterface({ input: process.stdin, output: process.stdout, });
const answer = await rl.question(`${question} (y/n): `); const normalizedAnswer = answer.toLowerCase(); rl.close(); return normalizedAnswer === 'y' || normalizedAnswer === 'yes';}
async function main() { let result: RunResult<unknown, Agent<unknown, any>> = await run( agent, 'What is the weather in Oakland and San Francisco?', ); let hasInterruptions = result.interruptions?.length > 0; while (hasInterruptions) { // storing await fs.writeFile( 'result.json', JSON.stringify(result.state, null, 2), 'utf-8', );
// from here on you could run things on a different thread/process
// reading later on const storedState = await fs.readFile('result.json', 'utf-8'); const state = await RunState.fromString(agent, storedState);
for (const interruption of result.interruptions) { const confirmed = await confirm( `Agent ${interruption.agent.name} would like to use the tool ${interruption.name} with "${interruption.arguments}". Do you approve?`, );
if (confirmed) { state.approve(interruption); } else { state.reject(interruption); } }
// resume execution of the current state result = await run(agent, state); hasInterruptions = result.interruptions?.length > 0; }
console.log(result.finalOutput);}
main().catch((error) => { console.dir(error, { depth: null });});動作するエンドツーエンド版については、完全なサンプルスクリプトを参照してください。
長時間の承認待ちへの対応
Section titled “長時間の承認待ちへの対応”Human in the loop (人間の介入) フローは、サーバーを稼働したままにせずに、長時間中断できるように設計されています。リクエストを終了して後で続行する必要がある場合は、状態をシリアライズして後で再開できます。
result.state.toString()(または JSON.stringify(result.state))を使って状態をシリアライズし、後でシリアライズ済みの状態を RunState.fromString(agent, serializedState) に渡して再開できます。ここで agent は、実行全体を開始したエージェントのインスタンスです。
RunState がシリアライズされると、SDK はハンドオフと Agent.asTool() のグラフに対して、安定したエージェント識別情報を記録します。これにより、同じ name を共有する別々のエージェントがある場合でも、実行を再開するプロセスが同じエージェントグラフを再構築する限り、一時停止した実行を再開できます。
RunState.fromString(agent, serializedState) に渡される agent は、その再構築されたグラフのルートです。デシリアライズ中に、SDK はそのエージェントのハンドオフと Agent.asTool() 参照をたどり、状態内のシリアライズされたすべてのエージェント参照を、再構築されたグラフに照らして解決します。これには、現在のエージェント、および生成された項目、処理済みのモデル応答、キューに入った次のステップが保持するネストされた参照が含まれます。
置き換えたグラフで再開する必要がある場合、たとえばモデルやツールが別のランタイムでラップされたエージェントを使う場合は、元のグラフで状態をデシリアライズし、再度シリアライズしてから、その文字列を置き換え後のルートエージェントでデシリアライズします。state.setCurrentAgent(agent) を呼び出しても、アクティブなエージェントが変更されるだけで、デシリアライズ中にすでに解決されたネストされた参照は書き換えられません。
再開するプロセスで新しいコンテキストオブジェクトを注入する必要がある場合は、代わりに RunState.fromStringWithContext(agent, serializedState, context, { contextStrategy }) を使用してください。
contextStrategy: 'merge'(デフォルト)は、指定されたRunContextを保持し、シリアライズされた承認状態をマージし、新しいコンテキストにまだtoolInputが定義されていない場合はシリアライズされたtoolInputを復元します。contextStrategy: 'replace'は、指定されたRunContextをそのまま使って実行を再構築します。
シリアライズされた実行状態には、アプリのコンテキストに加えて、承認、usage、ネストされた toolInput、保留中のネストされたエージェントツール再開処理など、SDK が管理するランタイムメタデータが含まれます。シリアライズされた状態を保存または送信する予定がある場合は、runContext.context を永続化データとして扱い、状態と一緒に意図的に移動させたい場合を除き、そこにシークレットを置かないでください。
デフォルトでは、トレーシング API キーはシリアライズされた状態から除外されるため、誤ってシークレットを永続化してしまうことはありません。トレーシング認証情報を状態と一緒に移動する必要がある場合にのみ、result.state.toString({ includeTracingApiKey: true }) を渡してください。
そのようにすれば、シリアライズされた状態をデータベースに保存したり、リクエストと一緒に保存したりできます。
保留中タスクのバージョン管理
Section titled “保留中タスクのバージョン管理”承認リクエストに長い時間がかかり、エージェント定義を意味のある方法でバージョン管理したり、Agents SDK のバージョンを上げたりする予定がある場合、現時点では、パッケージエイリアスを使って 2 つのバージョンの Agents SDK を並行してインストールし、独自の分岐ロジックを実装することをおすすめします。
実際には、自分のコードにバージョン番号を割り当て、それをシリアライズされた状態と一緒に保存し、デシリアライズ時にコードの正しいバージョンへ誘導することを意味します。