コンテンツにスキップ

人間の介入(HITL)

このガイドでは、SDK の承認ベースの Human in the loop (人間の介入) フローについて説明します。ツール呼び出しに承認が必要な場合、SDK は実行を一時停止し、interruptions を返し、あとで同じ RunState から再開できるようにします。

この承認が現れる範囲は、現在の最上位エージェントに限定されず、実行全体に及びます。同じパターンは、ツールが現在のエージェントに属する場合、ハンドオフで到達したエージェントに属する場合、またはネストされた agent.asTool() 実行に属する場合にも適用されます。ネストされた agent.asTool() の場合でも、中断は外側の実行に現れるため、外側の result.state で承認または拒否し、元のルート実行を再開します。

agent.asTool() では、承認は 2 つの異なるレイヤーで発生する可能性があります。エージェントツール自体が asTool({ needsApproval }) によって承認を必要とする場合と、ネストされた実行が開始した後で、ネストされたエージェント内のツールが独自の承認を発生させる場合です。どちらも同じ外側の実行の中断フローで処理されます。

このページでは、interruptions を使った手動承認フローに焦点を当てます。アプリケーションがコードで判断できる場合、一部のツールタイプはプログラムによる承認コールバックもサポートしているため、実行を一時停止せずに続行できます。agent.asTool() 自体を設定する場合は、ツールを参照してください。このページでは、その実行階層内のいずれかのツールが承認を必要とした後に何が起こるかを扱います。

承認フロー

Section titled “承認フロー”

needsApproval オプションを true に設定するか、boolean を返す非同期関数に設定することで、承認を必要とするツールを定義できます。

ツール承認の定義
import { tool } from '@openai/agents';
import z from 'zod';


const sensitiveTool = tool({
  name: 'cancelOrder',
  description: 'Cancel order',
  parameters: z.object({
    orderId: z.number(),
  }),
  // always requires approval
  needsApproval: true,
  execute: async ({ orderId }, args) => {
    // prepare order return
  },
});


const sendEmail = tool({
  name: 'sendEmail',
  description: 'Send an email',
  parameters: z.object({
    to: z.string(),
    subject: z.string(),
    body: z.string(),
  }),
  needsApproval: async (_context, { subject }) => {
    // check if the email is spam
    return subject.includes('spam');
  },
  execute: async ({ to, subject, body }, args) => {
    // send email
  },
});

フロー

Section titled “フロー”
  1. ツール呼び出しが実行されようとすると、SDK はその承認ルール(needsApproval または Hosted MCP における同等のルール)を評価します。
  2. 承認が必要で、判断がまだ保存されていない場合、ツール呼び出しは実行されません。代わりに、実行は RunToolApprovalItem を記録します。
  3. そのターンの終わりに、実行は一時停止し、保留中のすべての承認をエージェントの実行結果interruptions 配列で返します。これには、ネストされた agent.asTool() 実行内で発生した承認も含まれます。
  4. 各保留項目を result.state.approve(interruption) または result.state.reject(interruption) で処理します。同じツールをその実行の残りの間ずっと承認または拒否したままにする場合は、{ alwaysApprove: true } または { alwaysReject: true } を渡します。拒否する場合は、{ message: '...' } も渡せます。これにより、その特定のツール呼び出しについてモデルへ返される拒否テキストを制御できます。
  5. 更新済みの result.staterunner.run(agent, state) に渡して再開します。このとき agent は、その実行の元の最上位エージェントです。SDK は、ネストされたエージェントツール実行も含め、中断された地点から続行します。

{ alwaysApprove: true } または { alwaysReject: true } で作成された固定的な判断は実行状態に保存されるため、後で同じ一時停止中の実行を再開する際に toString() / fromString() を経ても保持されます。

GA モデルでは、コンピュータツールの中断が 1 つの computer_call 内の一連のアクションを表す場合があります。SDK は実行前にアクションごとに needsApproval を評価するため、1 つの保留中の承認で、移動 + クリックのようなシーケンスをカバーできます。UI をレンダリングするために interruption.rawItem を調べる場合は、GA の actions 配列と、レガシーな単一の action フィールドの両方に対応してください。

シリアライズされた RunState は、現在の computer ツール名とレガシーな computer_use_preview 名の両方についてコンピュータ承認も保持するため、preview-to-GA 移行中でも一時停止中の実行を問題なく再開できます。

message を指定しない場合、SDK は設定済みの toolErrorFormatter(存在する場合)にフォールバックし、その後デフォルトの拒否テキストにフォールバックします。

同じパスですべての保留中の承認を処理する必要はありません。一部の項目だけを承認または拒否して再実行すると、それらの処理済み呼び出しは続行でき、未処理のものは interruptions に残って再び実行を一時停止します。

自動的な承認判断

Section titled “自動的な承認判断”

手動の interruptions は最も汎用的なパターンですが、それだけではありません。

  • ローカルの shellTool()applyPatchTool() は、コード内ですぐに承認または拒否するために onApproval を使用できます。
  • Hosted MCP ツールは、同様のプログラムによる判断のために requireApprovalonApproval を併用できます。
  • 通常の関数ツールは、このページの手動中断フローを使用します。

これらのコールバックが判断を返すと、実行は人間の応答を待って一時停止することなく続行します。Realtime / 音声セッション API については、音声エージェントの構築の承認フローを参照してください。

ストリーミングとセッション

Section titled “ストリーミングとセッション”

同じ中断フローはストリーミング実行でも機能します。ストリーミング実行が一時停止したら、stream.completed を待ち、stream.interruptions を読み取って処理し、再開後の出力でもストリーミングを継続したい場合は { stream: true } を指定して run() を再度呼び出します。このパターンのストリーミング版については、ストリーミング中の Human in the loop (人間の介入)を参照してください。

session も使用している場合は、RunState から再開するときに同じ session を渡し続けてください。再開されたターンは、入力を再準備せずにセッションメモリへ追加されます。セッションのライフサイクルの詳細については、セッションを参照してください。

Section titled “例”

以下は、ターミナルで承認を求め、状態を一時的にファイルへ保存する Human in the loop (人間の介入) フローの、より完全な例です。

Human in the loop (人間の介入)
import { z } from 'zod';
import readline from 'node:readline/promises';
import fs from 'node:fs/promises';
import { Agent, run, tool, RunState, RunResult } from '@openai/agents';


const getWeatherTool = tool({
  name: 'get_weather',
  description: 'Get the weather for a given city',
  parameters: z.object({
    location: z.string(),
  }),
  needsApproval: async (_context, { location }) => {
    // forces approval to look up the weather in San Francisco
    return location === 'San Francisco';
  },
  execute: async ({ location }) => {
    return `The weather in ${location} is sunny`;
  },
});


const dataAgentTwo = new Agent({
  name: 'Data agent',
  instructions: 'You are a data agent',
  handoffDescription: 'You know everything about the weather',
  tools: [getWeatherTool],
});


const agent = new Agent({
  name: 'Basic test agent',
  instructions: 'You are a basic agent',
  handoffs: [dataAgentTwo],
});


async function confirm(question: string) {
  const rl = readline.createInterface({
    input: process.stdin,
    output: process.stdout,
  });


  const answer = await rl.question(`${question} (y/n): `);
  const normalizedAnswer = answer.toLowerCase();
  rl.close();
  return normalizedAnswer === 'y' || normalizedAnswer === 'yes';
}


async function main() {
  let result: RunResult<unknown, Agent<unknown, any>> = await run(
    agent,
    'What is the weather in Oakland and San Francisco?',
  );
  let hasInterruptions = result.interruptions?.length > 0;
  while (hasInterruptions) {
    // storing
    await fs.writeFile(
      'result.json',
      JSON.stringify(result.state, null, 2),
      'utf-8',
    );


    // from here on you could run things on a different thread/process


    // reading later on
    const storedState = await fs.readFile('result.json', 'utf-8');
    const state = await RunState.fromString(agent, storedState);


    for (const interruption of result.interruptions) {
      const confirmed = await confirm(
        `Agent ${interruption.agent.name} would like to use the tool ${interruption.name} with "${interruption.arguments}". Do you approve?`,
      );


      if (confirmed) {
        state.approve(interruption);
      } else {
        state.reject(interruption);
      }
    }


    // resume execution of the current state
    result = await run(agent, state);
    hasInterruptions = result.interruptions?.length > 0;
  }


  console.log(result.finalOutput);
}


main().catch((error) => {
  console.dir(error, { depth: null });
});

動作するエンドツーエンド版については、完全なサンプルスクリプトを参照してください。

長時間の承認への対応

Section titled “長時間の承認への対応”

Human in the loop (人間の介入) フローは、サーバーを稼働し続けることなく、長時間にわたって中断できるように設計されています。リクエストを終了して後で続行する必要がある場合は、状態をシリアライズして後で再開できます。

result.state.toString()(または JSON.stringify(result.state))を使って状態をシリアライズし、後でシリアライズされた状態を RunState.fromString(agent, serializedState) に渡すことで再開できます。ここで agent は、全体の実行を開始したエージェントのインスタンスです。

RunState がシリアライズされると、SDK はハンドオフおよび Agent.asTool() グラフについて安定したエージェント識別情報を記録します。これにより、別々のエージェントが同じ name を共有していても、実行を再開するプロセスが同じエージェントグラフを再構築する限り、一時停止中の実行を再開できます。

再開するプロセスで新しいコンテキストオブジェクトを注入する必要がある場合は、代わりに RunState.fromStringWithContext(agent, serializedState, context, { contextStrategy }) を使用します。

  • contextStrategy: 'merge'(デフォルト)は、指定された RunContext を保持し、シリアライズされた承認状態をマージし、新しいコンテキストがまだ toolInput を定義していない場合にはシリアライズされた toolInput を復元します。
  • contextStrategy: 'replace' は、指定された RunContext をそのまま使用して実行を再構築します。

シリアライズされた実行状態には、アプリのコンテキストに加え、SDK が管理するランタイムメタデータ(承認、使用量、ネストされた toolInput、保留中のネストされたエージェントツールの再開など)が含まれます。シリアライズされた状態を保存または送信する予定がある場合は、runContext.context を永続化データとして扱い、意図的に機密情報を状態と一緒に移動させたい場合を除いて、そこに機密情報を置かないでください。

デフォルトでは、トレーシング API キーはシリアライズされた状態から除外されるため、誤って機密情報を永続化することはありません。result.state.toString({ includeTracingApiKey: true }) を渡すのは、トレーシング認証情報を状態と一緒に移動させる必要が明示的にある場合のみにしてください。

これにより、シリアライズした状態をデータベースに保存したり、リクエストと一緒に保存したりできます。

保留中タスクのバージョン管理

Section titled “保留中タスクのバージョン管理”

承認リクエストに時間がかかり、エージェント定義に意味のある形でバージョンを付ける予定がある場合、または Agents SDK のバージョンを上げる予定がある場合、現時点では、パッケージエイリアスを使って 2 つのバージョンの Agents SDK を並行してインストールし、独自の分岐ロジックを実装することをおすすめします。

実際には、自分のコードにバージョン番号を割り当て、それをシリアライズした状態とともに保存し、デシリアライズ時にコードの正しいバージョンへ誘導することを意味します。