Gate – AIエージェントツール出力のための決定論的PII編集ツール（Rust）

Gateは、Rustで開発された決定論的なPII（個人識別情報）編集ツールで、AIエージェントのツール出力を保護するために設計されています。多くのLLMベースのPIIガードレールとは異なり、Gateは正規表現、列名ヒューリスティック、Luhnチェックなどの決定論的手法を採用しています。これにより、同じ入力からは常に同じ出力が得られ、データはローカルマシンから外部に送信されることはありません。

Gateは2つの主要な経路でAIエージェントのデータアクセスをインターセプトします：BashツールパスとMCPパスです。Bashパスでは、エージェントのプリツール実行フックに登録し、設定されたツールに一致するBashコマンドをgate run -- ...に自動的に書き換え、コマンド出力をリアルタイムで編集します。MCPパスでは、Gateは透過的なstdioプロキシとして機能し、tools/callレスポンスのみを検査し、その他のメッセージタイプはそのまま転送します。この設計により、エージェントは編集レイヤーを回避できませんが、人間やCIスクリプトには影響しません。

Gateはgate scanコマンドでデータベーススキーマをスキャンし、列名にPIIが含まれる可能性のある列を検出し、カテゴリと数に基づいてリスクレベルを割り当てます。gate retroコマンドは集計監査レポートを提供し、総クエリ数、編集フィールド数、ヒット率、ツールおよびPIIカテゴリ別の詳細を表示します。さらに、ハッシュ値サフィックスをサポートしており、AIは元のデータを見ることなく行間の結合や重複排除が可能です。

GateはClaude Code、OpenCode、Cursor、GitHub Copilot CLI、Codex CLI、Gemini CLIなど、複数のAIエージェントフレームワークをサポートしています。ユーザーはgate initコマンドでフックをインストールし、gate configで設定ファイルを編集できます。GateはMCPサーバープロキシ登録（gate init --wrap-mcp）も提供し、MCPを介したツールレスポンスも編集対象となります。

注意点として、Gateはサンドボックスではなく、以下のシナリオは保護範囲外です：敵対的エージェントやプロンプトインジェクション、設定されていないツールのコマンド、非JSON形式の出力、エンコードまたは難読化されたPII、アメリカ以外のPII形式（独自のパターン拡張が必要）、既にモデルコンテキスト内にあるPII、ツール側のネットワーク流出、書き込み操作（INSERT/UPDATE/DELETE）、資格情報の露出。Gateは、ツールレベルのBashホワイトリストやデータベースの読み取り専用ロールと組み合わせて使用することを推奨しています。

Gate自体は統計情報を収集し、ローカルのJSONLログに書き込みます。これらのデータはマシンから離れることはなく、設定で無効化できます。低レイテンシ、決定論、データローカリティが重要なAIエージェントのPII保護シナリオにおいて、Gateは軽量で効果的なソリューションを提供します。