よくある誤解は、Claude Code を「もう一つの AI 補完」とみなすこと — CLI を入れ、API キーを紐づけ、関数が書ければ OK。self-hosted runner を「キューなしの macos-latest」と呼ぶのと同じ錯覚で、境界ではなく速度だけ見えている。
Claude Code の正体はターミナル Agent:コードを提案するだけでなく、shell 実行、複数ファイル編集、環境変数の読取、MCP ツール呼び出し、テストが緑になるまでループができる。主力リポジトリでデフォルト信頼すると、プラグインを足しているのではなく、コードと実行権限の一式を渡している。
本記事は Cloud Mac AI Stack · L3 決断の入口(L3-Q01):L0 基盤と L1 Fact 層(L1 ①②③ を先に)のあと、いつ Agent を開発フローに正式採用するかに答える。L3 シリーズ表は § L3 シリーズ;縦に L0、横に L4–L5 は § Stack リンク。ワークステーション実測(L3 ③)と vs Cursor(L3 ②)は別領域 — 本記事は決断と権限のみ。
読む前に · L3 シリーズと Stack 入口
L0 基盤:Cloud Mac を買うか借りるか · AI ワークステーションをクラウドへ
L1 シリーズ(順読推奨):① 実行エンジン → ② キューと TCO → ③ workspace 隔離
L2 Inference:Ollama プライベート推論 · Runner との並列スケジューリング
L3 シリーズ(本記事から):① 本記事 · 権限委譲と採用決断 → ② vs Cursor → ③ ワークステーション実測(一覧は § L3 シリーズ)
同じ Stack でよく並ぶ(L4–L5):MCP セットアップ · MCP 最小権限 · OpenHands
要点
Claude Code は「もう一つの AI ツール」ではない — shell・Git・シークレット・複数ファイル実行を Agent に渡す;正式採用には境界監査と監督付きマージが先。
- 採用準備 OK:ディレクトリ横断リファクタ、テスト–修正ループ;L4 MCP 最小権限と
CLAUDE.md境界が整っている - デフォルト全開は避ける:本番 secrets が同一ホスト、code review なし;L1 Runner と Agent がディスク共有
- 試行ルート:読み取り専用サンドボックス → 監督付き書き込み → 正式 L3 Diff と L1 Fact(Runner)の分離
実際に渡しているもの:権限マップ
多くのチームは「モデルが賢いか」ばかり見て、Agent がディスクとプロセスで何ができるかを見落とす。下表を onboarding で使う — 6 種類の権限、本番前に各項目を確認。
| 権限の種類 | Claude Code の典型能力 | 渡すことの意味 |
|---|---|---|
| Shell 実行 | npm test、xcodebuild、git、任意スクリプト |
誤ったプロンプトや悪意ある step でファイル削除、依存インストール、システム設定変更の恐れ |
| ファイルシステム | リポ読み書き、パッチ生成、設定編集 | 1 回の委譲で数十ファイルに触れる;見落としは単一ファイル bug よりレビューが難しい |
| Git 履歴 | commit、branch、場合により push | main への誤マージは「1 行ミス」より遥かに高コスト |
| 環境変数 / シークレット | .env、~/.zshrc、CI 注入 secrets の読取 |
L4 MCP PATと L1 Runner PAT が混在すると露出が倍増 |
| ネットワーク / ツール | MCP でリポ取得、API 呼び出し、Issue 読取 | ツールチェーン権限 = Agent 権限;L4 MCP 三連結 Hub を参照 |
| 永続状態 | セッション記憶、CLAUDE.md、ローカルキャッシュ |
前タスクのコンテキストが次の判断を左右する |
問いは「AI でコードを書くべきか」ではなく:上表 6 行を半自律プロセスにデフォルト委譲する覚悟があるか。躊躇するなら「全員デフォルトで Claude Code」は避け、下の段階的導入へ。
Copilot でも IDE プラグインでもない
助手席(Copilot / Cursor Tab):エディタで主導し、AI が現在ファイルを補完・編集 — 小さな diff、速いフィードバック。代行(Claude Code Agent):目標を伝え、Agent が手順を計画、shell を開き、複数ファイルを編集、失敗時に再試行 — ハンドルではなく結果をレビュー。
どちらが「優れている」か(Claude Code vs Cursor)ではなくタスク種別の話:日常補完は IDE;モジュール横断移行、大規模テスト–修正ループ、GitHub Actions CI 編集の委譲は Agent 向き。Agent を Copilot 的に使うと遅く監査も難しい;Copilot を Agent 的に使っても「47 files changed」級の委譲は解けない。
勢い導入 vs 正式採用 · 比較
チームの「勢い導入」はよくこうなる:リードが気に入り、全員に Max を配り、主力リポで CLI をデフォルト信頼。正式採用は Agent をエンジニアリング方針に書き込む:境界、監査、CI 分離。
「ツールを試している」つもりが、セキュリティモデルを変えている
勢い導入(よくあるやり方) 正式採用(2026 基準) 落とし穴の結果
| 観点 | 勢い導入(2024–2025 よくある) | 正式採用(2026 推奨) | 落とし穴の結果 |
|---|---|---|---|
| 権限の考え方 | 「AI アシスタントだから大丈夫」 | デフォルト:Agent = 信頼できるコード実行者 | ミスを「モデルがバカ」と片付け、shell ログを見ない |
| シークレット | IDE・Agent・CI で 1 つの PAT / API key | Agent / MCP / Runner 別 token | Agent セッション漏洩で CI とプライベートリポが巻き添え |
| リポ境界 | monorepo ルートで claude |
CLAUDE.md + ディレクトリ規約 + 読み取り専用試行 |
誤モジュール編集、生成物の誤削除 |
| CI との関係 | SSH で緑 = 完了 | Diff ローカル / Fact は Runner 分離 | ローカル緑・Actions 赤;または汚れた workspace が CI を汚染 |
| レビュー | diff を一瞥して merge | 大規模委譲は人間 review + テストチェックリスト必須 | 「47 files changed」が本番に紛れ込む |
| ツールチェーン | 便利のため MCP 全開 | 最小権限 MCP + 監査 | Agent が MCP 経由で読むべきでないリポにアクセス |
| チームのリズム | 個人の英雄プレイ、文書なし | 採用ゲートを runbook に明記 | 新人が「達人設定」をコピーして事故再発 |
3 つのゲート:正式採用前に必須
下の 3 ゲートを正式採用の最低ラインとみなす — 完璧ではないが、「権限を丸ごと渡して監査ゼロ」を避ける。
ゲート ① · ディスクと CI 境界(L1)
Agent と GitHub Runner は消せないグローバルディレクトリを共有していないか?本番署名、.env、広いキャッシュは Agent セッションと同じ home か?L1 ③ one job, one workspace が未整備なら、Diff を広げる前に Fact 層を直す(L1 シリーズは L1 シリーズ)。
ゲート ② · ツールとシークレット境界(L4)
MCP は「繋がるもの全部」か?Agent PAT は CI や個人 GitHub と重複していないか?正式採用には別 token、最小 scope、ローテーションと、チームが読める L4 MCP セットアップ・最小権限チェックリストが必要。
ゲート ③ · 人とプロセス境界(チーム)
誰が Agent 出力を直接 merge できるか?大規模リポに L4 CodeGraph 相当で「見落としファイル」リスクを下げているか?答えが「速い人が merge」なら、Agent は既存のプロセス負債を増幅するだけ。
正式採用すべきとき · 待つべきとき
| シナリオ | 推奨 | 補足 |
|---|---|---|
| 10+ ファイル横断リファクタ / 移行、テスト–修正ループ多数 | 正式採用 | Agent の強み;review と Runner 検証とセット |
| Cloud Mac / Mac mini 準備済み、L1 隔離済み | 正式採用 | Diff と Fact を分離可能;L2 並列スケジューリングも Stack 内 |
| 単一ファイル補完、日常の小変更のみ | 待つ | IDE + Cursor の方が安い;vs Cursor 参照 |
| 本番 secrets が Agent と同一ユーザー / 同一 home | まだ不可 | 先にユーザー / token / workspace を分離 |
| オープンソースで fork PR 多数 + self-hosted CI | デフォルト全開は避ける | Agent による workflow 編集は L1 ③ workspace 隔離 と同 Stack |
| 個人プライベートリポ、単独メンテ、diff レビュー意思あり | パイロット可 | 段階的導入は維持;1 PAT 通しは避ける |
Stack で L3 が担う領域:Diff であり Fact ではない
シリーズスローガン(L1–L3):Claude Code が Diff を生み、GitHub Runner が Fact を生む。 本 L3 入口の問い:いつ Diff 生産を Agent に委譲するか。Fact(CI 緑、署名合格)は隔離 Runner で — Agent の「テスト通った」はリリースと同義ではない。
L2 Inference:Ollama は下書き・オフライン;L3 Claude Code は委譲実行と Diff — 同一ホストで権限分離し共存可。L4 Context:MCP Hubと 最小権限がツール境界。L5 Workflow:OpenHands は編成寄り、Claude Code はターミナル深度 — 採用ゲートは両方に適用。
段階的導入(ワークフロー約 30%)
決断が固まったら 3 フェーズで着地 — 初日から「全員 Max + 本番リポ全開」は避ける:
- フェーズ A · 読み取り専用サンドボックス(1–3 日):fork またはコピーリポ、push 禁止;Agent のタスク分解と実行 shell を観察。目的:権限マップの体感。
- フェーズ B · 監督付き書き込み(1–2 週):主力リポの読み取り専用 clone を別ディレクトリ、またはブランチ限定;全 merge に人間 review;MCP は必要ツールのみ。
- フェーズ C · 正式 Diff 層:L1 Runner と固定分離;
CLAUDE.md、token ローテーション、workspace 隔離を runbook に;任意で L1 ④ OpenClaw パイプライントリガー連鎖。
# Agent 採用ゲート(フェーズ B) 1. リポルートに CLAUDE.md 必須(許可/禁止パス、テストコマンド) 2. Agent は専用 PAT、scope ≤ 現タスク;CI secrets と同一禁止 3. 単一委譲で >15 ファイル変更 → 第二レビュアー必須 4. merge 前に同一テストコマンドをローカルまたは Runner で合格 5. Runner と別 macOS ユーザーまたは別 Cloud Mac ノード(推奨)
ハードウェア選定(Mac mini 購入 vs Cloud Mac レンタル)は本記事の範囲外 — ワークステーション実測の話。本決断入口は:権限とプロセスが基準を満たしてから、日常利用を語る。
L3 シリーズ · 各記事の分担
本記事は L3(Diff 層)決断ラインの入口:Agent に権限を渡すか答え、次にツール比較と実践へ。表は順に読む;縦に L0–L2、横に L4–L5 は § Stack リンク。
| 回 | テーマ | 本記事との分担 |
|---|---|---|
| ① · 本記事 | 権限委譲 · Agent 正式採用のタイミング | 決断の入口 · 本記事 |
| ② · vs Cursor | ターミナル Agent vs AI IDE 選定 | ツール比較 · 権限フレームワークではない |
| ③ · ワークステーション実測 | ハードウェア / Cloud Mac 試行とスクリーンショット | 実践ストーリー · チームゲートではない |
Stack 各層リンク · 縦方向入口
Stack 縦リンク(層ごと 1 入口;L1 シリーズと併読):
- L0 · 基盤:Mac mini vs クラウド Mac · クラウド AI ワークステーション
- L1 · Fact:Runner 実行エンジン · CI キュー · workspace 隔離 · OpenClaw パイプライン
- L2 · Inference:Ollama プライベート推論 · Runner 並列スケジューリング
- L3 · Diff:① 本記事 · 採用決断 · vs Cursor · ワークステーション実測
- L4 · Context:MCP 三連結 Hub · 最小権限露出 · MCP セットアップ · CodeGraph と見落とし
- L5 · Workflow:OpenHands Agent プラットフォーム
本 L3 入口のあと、ゲートを満たせば次は通常 L3 ③ ワークステーション実測(ハードウェアと課金);IDE 選定中なら先に L3 ② vs Cursor。L6 エンドツーエンド地図は予定。
FAQ
Claude Code と Cursor 補完の本質的違いは?
Cursor はエディタ内の助手席 — 変更は通常行単位で見える。Claude Code はターミナル Agent で shell 実行、複数ファイル編集、テストループができ、実行権を半自律プロセスに渡す。
個人開発者も 3 ゲート全部必要?
簡略化は可だが、別 token、別ディレクトリ、大きな diff は必ず reviewは維持。プライベートリポ ≠ ゼロリスク — 削除とシークレット漏洩は起きる。
正式採用 = IDE 置き換え?
いいえ。よくあるのは IDE で機能実装、Agent で委譲タスク。本記事は Agent をプロセスに書くタイミングであり、VS Code を捨てるタイミングではない。
L1 Runner セキュリティとの関係は?
L1 ③ workspace 隔離は CI ディスク境界;本記事(L3 ①)は誰が本番リポで Agent を走らせられるか。先に L1、それから L3 全開。Stack 入口は § Stack リンク。
試行は Cloud Mac かローカルか?
フェーズ A/B は L0 Cloud Mac 隔離試行が安いことが多い — 環境を壊してもリセット可;毎日使うと確信してから専用機購入。L3 ③ ワークステーション実測参照。
決断クリア · 次は実践
ゲート通過 — ワークステーション実測へ
本記事は Agent を正式採用するかに答える。次は Cloud Mac / Mac mini で Claude Code を 1 週間 — スクリーンショットと課金で決断を日常利用へ。
Claude Code ワークステーション実測を読む