ネットワークインテント層（NILScript）によるAIエージェント行動の統治

大規模言語モデル（LLM）エージェントは、テキスト生成から実際のシステムでのアクション実行（返金、レコード更新、メッセージ送信など）へと移行しつつある。しかし、独立した企業データは、モデル能力ではなく信頼ギャップが展開の主な障壁であることを示している。スタンフォード2026年AIインデックス報告書によると、セキュリティとリスクはエージェントAIの拡大における最大の障害であり、全体の62%を占め、次の要因に24ポイントの差をつけている。組織のAI導入率は88%に達する一方、実際のエージェント展開は一桁台にとどまる。現在の防御策は行動主義的であり、エージェントがアクションを作成し、確率的フィルターが事後的に安全でないものを捕捉しようとする。これは確率的ポリシーに対する確率的チェックであり、構造上、非ゼロの失敗率を許容する。

本稿では、構造的フレームワークであるネットワークインテント層（NIL）を提案する。NILはニュートラルなワイヤー契約であり、エージェントは決してアクションを発行せず、バックエンドが明示的に宣言した操作に対してのみインテントを提案でき、すべての書き込みは決定論的な提案-承認-コミット-ロールバックライフサイクルを通過する。バックエンドが宣言しなかったアクションは、ブロックされるだけでなく「表現不可能」となる。これにより、決定と実行が分離され、毒された推論ループでも書き込みを実行できず、セキュリティ境界はすべての推論ステップ（O(n)）から1つのインテント-エフェクト境界（O(1)）に縮小される。これはモデルに依存しない。

フレームワークは以下の要素で構成される：4つの構造的保証、静的に検証されたマルチステップ計画言語、監査可能なライフサイクル上の人間承認ゲート、誠実なマルチステップ可逆性、ワイヤーレベルの堅牢性（型付き拒否、決定論的冪等性、サーキットブレーキング）。InjecAgent（4,216件の間接プロンプトインジェクションケース、2モデル）での制御されたA/B評価では、NILを通じた未承認書き込みは0.00%、良性タスク成功率は100%であり、モデルに依存しなかった。さらに、メトリクス定義、反トートロジー規律、妥当性への脅威も提示されている。NILは、MCPなどのツール統合標準と組み合わせて、それらが定義していない統治されたアクション層として機能する。