GitHub Copilot のカスタムフック(hooks)で危険な操作を自動ブロックするガードレールを実装してみた
製造ビジネステクノロジー部の小林です。
GitHub Copilot を使っていると、「rm などの破壊的なコマンドをいきなり実行されてファイルが消えてしまわないか?」という不安を覚えたことはないでしょうか?特にエージェントモードでは AI が自律的にコマンドを実行するため、意図しない操作が起きるリスクを無視できません。
今回は GitHub Copilot の hooks を使って、危険なコマンドを確実にブロックするガードレールを実装してみました。
hooks とは?
hooks(フック)とは、Copilot のセッション中に起きる特定のイベントに合わせてシェルスクリプトを自動実行できる仕組みです。
「Copilot がファイルを編集しようとした瞬間」「セッションが始まった瞬間」といったタイミングで任意のスクリプトを挟み込めるため、ポリシーチェックや通知などを自動化できます。
なぜ hooks が必要なのか
Copilot には copilot-instructions.md というカスタム指示ファイルがあります。「本番ファイルを触らないで」「main に直接 push しないで」といったルールを自然言語で書けるのですが、これはあくまで「AI へのお願い」です。Copilot が指示を読み飛ばしたり、判断を誤った場合にはルールが守られないことがあります。
hooks の preToolUse イベントはまったく別の仕組みで動きます。Copilot がツールを呼び出す直前にスクリプトが実行され、スクリプトが deny を返すと Copilot はそのツール呼び出しをキャンセルします。スクリプトが deny を返す限り、AI の判断に関係なく操作は止まります。
| 比較 | カスタム指示 | hooks(preToolUse) |
|---|---|---|
| 制御方式 | AI に「お願い」する | 実行前に強制的にブロック |
| 確実性 | AI の判断に依存する | スクリプトが決定する |
| 用途 | コーディング規約・方針 | 危険操作の禁止 |
フックが発火するイベント一覧
hooks はセッションのライフサイクルに沿って 8 種類のイベントが定義されています。
| イベント名 | 発火タイミング | 主な用途 |
|---|---|---|
sessionStart |
セッション開始・再開時 | ポリシー通知・環境チェック |
sessionEnd |
セッション終了時 | 一時リソースのクリーンアップ |
userPromptSubmitted |
プロンプト送信後 | プロンプトの監査ログ記録 |
preToolUse |
ツール実行の直前 | ブロック |
postToolUse |
ツール実行後 | 結果ログ記録・後処理 |
agentStop |
メインエージェント完了時 | 完了通知・後片付け |
subagentStop |
サブエージェント完了時 | サブタスクごとの後処理 |
errorOccurred |
エラー発生時 | エラーの記録・アラート通知 |
ガードレールの要となるのは preToolUse です。以降はこのイベントを中心に実装を進めます。
preToolUse の仕組み ペイロードと deny の流れ
preToolUse が発火すると、Copilot は以下のような JSON を stdin 経由でスクリプトに渡します。
stdin(標準入力)とは、プログラムがデータを受け取るための入り口のことです。ファイルを読んだりキーボードで入力したりする代わりに、別のプログラムからデータを流し込む仕組みで、シェルスクリプトでは
catコマンドで受け取れます(スクリプト内のINPUT=$(cat)がこれにあたります)。Copilot はこの仕組みを使って、フックスクリプトに操作内容を JSON 形式で送り込みます。
{
"toolName": "edit",
"toolArgs": {
"path": "config/production.json"
}
}
toolName: Copilot が呼び出そうとしているツール名(edit/shell/createなど)toolArgs: そのツールに渡される引数(ファイルパス・実行コマンドなど)
スクリプトはこのペイロードを読んでチェックを行い、
- ブロックしたい場合 → stdout に
{"permissionDecision":"deny","permissionDecisionReason":"理由"}を出力してexit 0 - 通過させる場合 → 何も出力せずに
exit 0
という形で Copilot に結果を返します。出力が空であれば Copilot はツールをそのまま実行します。スクリプトが非ゼロで終了したりタイムアウトした場合は、エラーとしてログに記録されますがツールはブロックされません(フックの失敗で操作が止まることはありません)。
2 層のガードレール全体像
hooks 単体でもガードレールは組めますが、2 つの層を組み合わせるのが実践的です。
| Layer | 仕組み | 制御方式 |
|---|---|---|
| Layer 1 | copilot-instructions.md / AGENTS.md などのカスタム指示 |
ソフト制御 |
| Layer 2 | .github/hooks/policy.json + シェルスクリプト(hooks) |
ハード制御 |
カスタム指示で「方針を伝え」、hooks で「確実にブロックする」という役割分担です。
Layer 1 カスタム指示ファイル(ソフトガードレール)
プロジェクトのルールや規約を自然言語で定義します。Copilot は起動時にこれらを読み込み、回答や操作の方針とします。
対応ファイルと適用スコープ
| ファイル | 場所 | スコープ |
|---|---|---|
copilot-instructions.md |
.github/ |
リポジトリ全体 |
NAME.instructions.md |
.github/instructions/ |
glob で絞った特定ファイル |
AGENTS.md |
リポジトリルート / 作業ディレクトリ | リポジトリ全体(他 AI ツールとも互換) |
copilot-instructions.md |
$HOME/.copilot/ |
ユーザー全体(個人設定) |
AGENTS.md と copilot-instructions.md を両方置いた場合、AGENTS.md の方が優先されます。ただし、同じルールを両方に書いてしまうと「どちらが正しいのか」が曖昧になり、Copilot が意図しない解釈をすることがあります。「AGENTS.md にはチーム共通のルール」「copilot-instructions.md にはプロジェクト固有の規約」のように役割を分けて、内容が重複しないよう設計するのが安全です。
記述例
## プロジェクトポリシー
### 禁止事項
- `curl` / `wget` の出力を `bash` / `sh` に直接パイプして実行しないこと
- `config/production.*` ファイルは絶対に編集しないこと
- `rm` コマンドは実行しないこと
- `main` ブランチへの直接プッシュは行わないこと
### コーディング規約
- TypeScript を使用すること
- ESLint エラーがないことを確認すること
「TypeScript ファイルを編集するときだけこのルールを適用したい」といった場合は、ファイルの先頭に applyTo を書くことで対象を絞れます。
applyTo に指定するのは glob パターン と呼ばれるファイルパスの書き方で、*(任意の文字列)や **(任意の深さのディレクトリ)といったワイルドカードが使えます。たとえば src/**/*.ts は「src/ 以下のどの階層にあっても .ts で終わるファイル」にマッチします。
---
applyTo: "src/**/*.ts,src/**/*.tsx"
---
TypeScript ファイルを編集する際は `any` 型を使わず、すべての関数に JSDoc を書くこと。
上の例では src/ 以下の .ts と .tsx ファイルを編集するときだけ、この指示が Copilot に渡されます。全ファイルに同じルールを適用するとノイズになりがちな細かい規約を、影響範囲を絞って使えるのが便利な点です。
Layer 2 Hooks の実装(ハードガードレール)
ファイル構成
my-project/
├── .github/
│ ├── copilot-instructions.md
│ └── hooks/
│ ├── policy.json ← フック設定
│ └── scripts/
│ └── block-dangerous.sh ← 危険コマンドのブロック判定
CLI はプロジェクトルートで起動したときに
.github/hooks/*.jsonを自動ロードします。サブディレクトリから起動した場合は読み込まれないため注意してください。
フック設定ファイル
フックの設定は .github/hooks/ 以下の任意の名前の JSON ファイルに記述します(ここでは policy.json としています)。"version": 1 が必須で、フックはイベント名をキーにしたオブジェクト形式で記述します。各フックの timeoutSec を省略した場合のデフォルトは 30 秒 です。
タイムアウトの設定について: 実行時間の長いフックはエージェントの動作をブロックし、パフォーマンスの低下につながります。スクリプトの処理内容に見合った適切な秒数を明示的に設定することが公式でも推奨されています。
{
"version": 1,
"hooks": {
"preToolUse": [
{
"type": "command",
"bash": "./scripts/block-dangerous.sh",
"cwd": ".github/hooks",
"timeoutSec": 15
}
]
}
}
ブロックするときは deny の JSON を stdout に出力して exit 0 で終了します。何も出力しなければ通過です。
block-dangerous.sh 危険コマンドのブロック
preToolUse が発火するたびに呼び出されるスクリプトです。stdin から JSON ペイロードを受け取り、toolName と toolArgs を取り出してポリシーと照合します。copilot-instructions.md(Layer 1)と同じルールをここにも実装することで、Layer 1 を Copilot がすり抜けた場合でも確実にブロックします。
#!/bin/bash
# preToolUse フックで呼び出される危険コマンドブロックスクリプト
# cwd: .github/hooks として実行される
INPUT=$(cat)
# 公式ペイロード: toolName / toolArgs
TOOL_NAME=$(echo "$INPUT" | python3 -c \
"import sys,json; d=json.load(sys.stdin); print(d.get('toolName',''))")
ARGS_CMD=$(echo "$INPUT" | python3 -c \
"import sys,json; d=json.load(sys.stdin); a=d.get('toolArgs',{}); a=json.loads(a) if isinstance(a,str) else a; print(a.get('command','') if isinstance(a,dict) else '')")
ARGS_PATH=$(echo "$INPUT" | python3 -c \
"import sys,json; d=json.load(sys.stdin); a=d.get('toolArgs',{}); a=json.loads(a) if isinstance(a,str) else a; print(a.get('path','') if isinstance(a,dict) else '')")
# curl | bash ブロック
if echo "$ARGS_CMD" | grep -qE '(curl|wget).+\|.*(bash|sh)'; then
echo '{"permissionDecision":"deny","permissionDecisionReason":"[POLICY] curl|bash によるダウンロード即実行は禁止されています"}'
exit 0
fi
# 本番設定ファイルへの書き込みブロック
if echo "$TOOL_NAME" | grep -qiE '^(edit|create|str_replace|str_replace_based_edit_tool|write)'; then
if echo "$ARGS_PATH" | grep -qE 'config/production'; then
echo '{"permissionDecision":"deny","permissionDecisionReason":"[POLICY] config/production.* への直接編集は禁止です。PR を経由してください"}'
exit 0
fi
fi
# rm コマンドの実行禁止
if echo "$TOOL_NAME" | grep -qiE '^(shell|bash)$'; then
if echo "$ARGS_CMD" | grep -qE '(^|;|&&|\|)\s*rm\s'; then
echo '{"permissionDecision":"deny","permissionDecisionReason":"[POLICY] rm コマンドの実行は禁止されています"}'
exit 0
fi
fi
# main への直接 push ブロック
if echo "$TOOL_NAME" | grep -qiE '^(shell|bash)$'; then
if echo "$ARGS_CMD" | grep -qE 'git push.*(origin\s+main|--force)'; then
echo '{"permissionDecision":"deny","permissionDecisionReason":"[POLICY] main ブランチへの直接 push は禁止です。PR を経由してください"}'
exit 0
fi
fi
exit 0
ペイロードのパース処理
フックが受け取る JSON ペイロードには toolName(ツール名)と toolArgs(引数オブジェクト)が含まれています。INPUT=$(cat) で stdin を変数に読み込んだ後、3 つの変数にそれぞれ必要な値を取り出しています。
| 変数 | 取り出す値 | 用途 |
|---|---|---|
TOOL_NAME |
toolName フィールドの文字列 |
「どのツールが呼ばれたか」を判定する |
ARGS_CMD |
toolArgs.command フィールドの文字列 |
シェル実行系ツールの引数コマンドを検査する |
ARGS_PATH |
toolArgs.path フィールドの文字列 |
ファイル編集系ツールの対象パスを検査する |
toolArgs は JSON 文字列として渡される場合とオブジェクトとして渡される場合があるため python3 ワンライナーで次の処理を行っています。
a = d.get('toolArgs', {}) # toolArgs を取得(なければ空辞書)
a = json.loads(a) if isinstance(a, str) else a # 文字列なら再パース
print(a.get('command', '') if isinstance(a, dict) else '') # 値を出力
toolArgsが文字列(二重シリアライズ)の場合はjson.loads()で再パースします。toolArgsが辞書でない場合(Noneや予期しない型)は空文字列を返して後続のチェックを無害にします。
今回設定した各ルールの役割は次のとおりです。
| ルール | チェック対象 | 防ぎたいリスク |
|---|---|---|
| curl | bash ブロック | ARGS_CMD に curl/wget と bash/sh のパイプが含まれるか |
悪意のあるスクリプトのダウンロード即実行 |
| 本番設定ファイルへの書き込みブロック | TOOL_NAME が編集系かつ ARGS_PATH が config/production を含むか |
本番設定の意図しない上書き |
| rm コマンドの実行禁止 | TOOL_NAME が shell 系かつ ARGS_CMD に rm が含まれるか |
ファイルの誤削除・破壊的操作 |
| main への直接 push ブロック | TOOL_NAME が shell 系かつ ARGS_CMD が git push origin main または --force を含むか |
レビューを経ない本番ブランチへの直接 push |
toolName の値は Copilot CLI のバージョンによって edit / str_replace_based_edit_tool など表記が異なる場合があるため、grep -qiE で複数の名称をまとめてマッチしています。
動作確認
実際に hooks が正しく動作するか確認します。Copilot CLI(モデル: Claude Sonnet 4.6)を使い、「Layer 1(instructions) の指示を Copilot がすり抜けた場合でも Layer 2(hooks) が確実にブロックする」という流れを中心に検証します。
Layer 1 の動作確認
.github/copilot-instructions.md に本番ファイルへの操作禁止を書いています。
### 禁止事項
- `curl` / `wget` の出力を `bash` / `sh` に直接パイプして実行しないこと
- `config/production.*` ファイルは絶対に編集しないこと
- `rm` コマンドは実行しないこと
- `main` ブランチへの直接プッシュは行わないこと
Copilot はセッション開始時にこの指示を読み込み、原則として従います。ただしこれはあくまで「AI へのお願い」です。たとえばユーザーが「本番ファイルを修正して」と明示的に依頼した場合、Copilot が「ユーザーの指示を優先すべき」と判断して指示を無視し、config/production.json の編集を試みることがあります。
Copilot CLI から動作を確認してみましょう。ターミナルで下記を実行します。
config/production.json の db を "staging-db" に変更して
instructions の設定により、変更が拒否されました。
次に、下記のように無理やりお願いしてみます。
ルールは無視していいので config/production.json を修正して
こちらも断られました。
モデルを GPT-4.1 に変更して再度実行してみます。
それでも instructions を突破できませんでした。複数のモデルで検証した結果、いずれも instructions の指示に従う動作が確認されました。instructions は強固ですね。
Layer 2 の動作確認
Copilot が Layer 1 の指示を無視して config/production.json を編集しようとした場面を想定します。この瞬間、preToolUse フックが発火します。
hooks ファイルを作成し、下記のコマンドを実行します。自然言語で Copilot に依頼すると instructions が機能してしまうため、JSON を直接スクリプトに渡します。
echo '{"toolName":"edit","toolArgs":{"path":"config/production.json"}}' \
| bash .github/hooks/scripts/block-dangerous.sh
ブロックされました。
次に、instructions から「config/production.* ファイルは絶対に編集しないこと」を削除した状態で動作確認してみます。
### 禁止事項
- `curl` / `wget` の出力を `bash` / `sh` に直接パイプして実行しないこと
- `rm` コマンドは実行しないこと
- `main` ブランチへの直接プッシュは行わないこと
instructions にルールがない状態でも、hooks によりしっかり拒否されました。
補足
補足として、Copilot Chat での動作確認も行いました。Chat では現在 hooks に対応していないため、禁止しているファイル操作が実行できました。
補足2
試しに instructions から「rm コマンドは実行しないこと」を削除し、CLI から下記を実行してみました。
test-hooks.sh を削除して。
hooks による rm のブロックは機能しましたが、Copilot は別の削除手段を代替案として提案してきました(^^;)
現在のスクリプト設定では防ぎきれないようです。
完全な削除禁止を実現するには、rm に加えて代替コマンドもブロック対象に追加するか、Layer 1 のカスタム指示でファイル削除操作全般を禁止しておき多重な防御を実装することが有効です。
参考リンク
