既定は「拒否」
多くのシステムは「許可されていなければ通す(fail-open)」。軍師OSは逆で、「明示的に承認されていなければ止める(fail-closed)」を既定にします。安全な実行パターンが保証できないとき、責任は消えるのではなく、人間にエスカレーションされます。
カスケード停止
上流の意思決定が未承認なら、それに連なる下流の自動処理もすべて止まります(Decision DAG の依存構造による)。「一部だけ進んで中途半端に壊れる」を防ぎます。
shadow → enforce の段階導入
統治を既存の自動化に入れるとき、いきなり遮断すると業務が止まります。軍師ガードは2モードを持ちます:
| モード | 挙動 | 用途 |
|---|---|---|
| SHADOW(既定) | 判断を監査に記録するが、絶対にブロックしない | 数日観察し誤遮断ゼロを確認 |
| ENFORCE | 承認境界を満たさない危険な行動を実際に遮断 | 観察後に切替 |
さらに、ガード自身の内部エラーは fail-open(処理継続)で握りつぶします。統治レイヤーが本番を止めてはならない——実際に止めるのは、ENFORCE 下での意図した遮断だけです。
この設計により、稼働中のジョブに後付けで配線しても壊れません。私たちは実際に、自社の本番SNS基盤へ SHADOW で配線してから観察→切替の手順を踏んでいます。
名前付きの業務ポリシー
数値スコアとは別に、明示的な「禁止ルール」も持てます。例:外部案件・buzz複製の自動公開は人間承認なしには許可しない(ステマ規制・プラットフォーム規約・過去のアカウント凍結という三重リスクへの対応)。