ツールが「止まらなくなった」という話

2026年7月1日、Claude Code v2.1.198がリリースされた。変更点のなかで実務的に一番重いのは、バックグラウンドエージェントの挙動変更だ。

公式CHANGELOGにはこう書かれている。

"Background agents launched from claude agents now commit, push, and open a draft PR when they finish code work in a worktree, instead of stopping to ask"

訳すと「claude agentsから起動したバックグラウンドエージェントは、worktree内でコード作業を終えると、止まって確認を求める代わりに、commit・push・ドラフトPR作成まで行うようになった」。

「止まって確認を求める」という行動が、ツールのデフォルトから消えた。これが今回の話の核心だ。


なぜこれが単なるアップデートではないのか

従来、多くのチームは「エージェントが作業を終えると、人間に確認を求めて止まる」という挙動を前提にワークフローを組んでいた。その止まりポイントが、事実上の「承認点」として機能していた。

v2.1.198はそれを外した。

ここからは見方の話だが、これは「便利になった」というより「承認の責任がツールの外に完全に移った」と読むべきだ。エージェントが止まらない以上、pushされたコードを止める仕組みは、リポジトリのブランチ保護しかない。「ツールが確認してくれる」という前提でガバナンスを組んでいたチームは、今日その前提が崩れたと思っていい。

もうひとつ見落とせない変更がある。v2.1.198では、エージェントの入力待ち・完了時にagent_needs_inputagent_completedというNotificationフックが発火するようになった。自律化を「止める」設計から、「完了を通知として受け取る」設計へ——逃げ道はある。ただし自分で実装する必要がある。

なお、Exploreエージェントがメインセッションのモデルをopus上限まで継承するようになった点も、見ておきたい。コスト増の要因になり得るので、モニタリング対象に加えておくことを勧める。


同時期の3つの動きをつなぐ一本の線

この変更を単独で見ると「Claude Codeのアップデート」で終わる。だが、同時期の他社の動きと並べると、構造が見えてくる。

**Cursor 3.8(2026年6月18日)**は、イベント駆動のAutomationsを追加した。Slackの絵文字リアクション、GitHubの非PRへのissueコメント、インラインPRレビューコメント、PRレビュー提出、レビュースレッドのresolve・unresolve、GitHub Actionsワークフロー完了——これらをトリガーにエージェントが自動起動する。さらに、クラウドエージェントが自前のcomputer useでデモや成果物を生成できる機能がデフォルト有効になっている。

**GitHub Desktop 3.6(2026年6月26日)**は、ツールバーに「Current Worktree」メニューを追加し、stashやブランチ切替なしに複数ブランチを同時に扱えるworktree運用をGUI化した。加えて、コミットメッセージ生成が.github/copilot-instructions.mdAGENTS.mdのカスタム指示を反映するようになった。

3つのアップデートに共通するのは「エージェントが自律的に動く範囲が広がり、人間の介入点がツールから外に出た」という一点だ。Claude Codeが「push後に知らせる」構造になり、CursorがSlack絵文字でエージェントを起動できるようにし、GitHub DesktopがAGENTS.mdを尊重してコミットを生成する。これを「3社がバラバラに便利機能を出した」と読むと、本質を見誤る。


「失敗パターン」から逆引きする実務設計

元記事に挙げられている4つの失敗パターンは、実際の現場でやりがちな設計をそのまま言語化している。順に確認したい。

パターン1:ツールの確認ダイアログを承認だと思い込む。v2.1.198以降、そのダイアログはデフォルトにない。承認の実装をツールUIに依存していたなら、今日それは機能していない。ブランチ保護と必須レビューに移す必要がある。

パターン2:ブランチ保護を人間の手作業前提のままにしている。エージェントが平日も休日も問わずpushしてくる前提で、mainおよびdevへの直push禁止・force push禁止・全PRへの必須レビューを設定する。「ドラフトPRだからマージはされない」という考え方は甘い。ドラフトPRがそのまま残り、誰かが気づかずマージするケースは十分に起き得る。

パターン3:イベントトリガーを広く開けたまま本番投入する。Cursor 3.8で絵文字やコメントがトリガーになる以上、「誰がそのイベントを発生させられるか」を設計しないと、外部コントリビュータのコメントひとつでエージェントが動く状態になる。computer useがデフォルト有効である点も含め、発火者と権限の最小化から始める。

パターン4:規約をツールごとにバラバラに書く。AGENTS.mdに集約すれば、Claude Codeのバックグラウンドエージェントも、GitHub Desktopのコミットメッセージ生成も、同じ規約を参照する。規約の重複は乖離を生み、乖離はガバナンスの穴になる。この「一箇所に集約する」設計は、面倒に見えて実際には管理コストを下げる。

チェックリストとして整理すると、最低限やるべきことは以下になる。

  • main・devへの直push禁止・force push禁止をリポジトリの保護ルールで明示する
  • ドラフトPRを含む全PRに必須レビュー(最低1名)を課す
  • エージェントが使うトークン・PATの権限を最小化し、push先ブランチを限定する
  • Cursor Automationsの発火ユーザー・チャンネル・イベントを絞り込む
  • agent_needs_inputagent_completedのNotificationフックをSlack等の通知に接続する
  • AGENTS.mdにブランチ運用・コミット規約・承認境界を集約する

次に問われるのはどこか

ここからは、現時点ではまだ答えが出ていない論点の話だ。

ひとつは責任の所在だ。エージェントが自律pushし、人間が気づかずにそのコードが本番に反映されたとき、誰の責任になるのか。「ブランチ保護を設定しなかったエンジニア」なのか、「必須レビューをスキップしたレビュワー」なのか、「エージェントを起動したプロダクト担当」なのか。今の段階では組織ごとに曖昧になっているはずで、これは早めに決めておかないと事故後に揉める。

もうひとつは観測コストだ。エージェントが並行で複数worktreeを触り、CIが複数走り、Automationsがイベントのたびに発火するようになると、「今何が動いているか」の把握自体が難しくなる。ログを誰が読むか、アラートを誰が受け取るか、Notificationフックをどこに接続するか——これらを整備しないまま自律化を進めると、「動いてはいるが何が起きているかわからない」状態になる。

エージェントの自律化は「人間の作業量を減らす」方向に進む。だが同時に「人間が把握すべき範囲は変わらない、むしろ広がる」という矛盾がある。この矛盾をどう解くか——ツールベンダーが次に出してくるのはおそらく「観測・モニタリング」の機能だと思っている。そこを見ていくと、次の変化のタイミングが早めに見える。


まとめに代えて

Claude Code v2.1.198の変更は、「AIが賢くなった」という話ではない。「承認の仕組みをどこに作るか」という設計の問題だ。ツールが止まらなくなった以上、止める仕組みはリポジトリ側に置く。それだけのことだが、やっていないチームは今日動いた方がいい。

3社のアップデートが示す方向は一致している。エージェントは動き続ける。人間は、その動きを制御する構造を自分で設計する必要がある。


参考元: コーディングエージェントが人間承認なしでpush・ドラフトPRまで到達する時代に(Qiita / @YushiYamamoto)