monet(agent runtime)
GCP プロジェクト monet-491916Postgres 16
保持するもの
- 認証・ワークスペース・メンバーシップ
- OAuth トークン(pgcrypto 暗号化)
- 監査ログ
- ランタイム de-dup(受信済み webhook ID)
- エージェント設定(skills / subagents / catalog)
保持しないもの
- 会話履歴・メッセージ
- 人・別名・関係(persons / aliases)
- メモリ・観測データ
- トークン使用量の生ログ
信頼・セキュリティ・分離
monet は、信頼・セキュリティ・分離を
最優先に設計されています。
チームの会話と記憶を預けるプロダクトである以上、 AI の挙動と同じくらい、データの居場所と境界線の設計が重要です。 monet がそれをどう守っているかを、隠さずに公開します。
データの居場所
記憶と判断は、別のプロダクトに分かれている。
monet は判断するエージェントで、記憶を持ちません。すべての観測は別プロダクトの engram に書き出され、テナントごとに別ワークスペースに収まります。
engram(memory + observability)
GCP プロジェクト engram-496515独立した Postgres 16
保持するもの
- 会話セッションとイベント
- 人・別名・identity(個人特定情報)
- 観測されたメモリ全般
- Claude SDK の transcript blob
- トークン使用量と LLM コール ログ
保持しないもの
- 認証・OAuth トークン
- 他テナントのワークスペースのデータ
monet → engram の書き込みは fire-and-forget。 engram が落ちても monet の応答は止まりません。 逆に、engram が無くなれば monet からは過去ログが完全に見えなくなります。
認証と認可
Hexis Google SSO 必須、OAuth は最小スコープ。
monet にサインインできるのは Hexis Google Workspace のメンバーのみ。連携先のチャネルも、認可した範囲だけを観測します。
Hexis Google Workspace SSO
better-auth + Google OAuth、データベースフックで hexis.ltd ドメインを強制。社外メールでのサインインは弾かれます。
テナント単位のワークスペース
monet ワークスペースと engram ワークスペースは 1:1。x-api-key・x-workspace-id・セッションスティッキーのいずれで来ても、他テナントのデータには到達できません。
OAuth スコープの最小化
Slack / Gmail / Calendar / Linear などの連携は、各統合の要件に必要な最小スコープのみを要求。トークンは pgcrypto で暗号化保管。
クッキードメインの設計
monet と engram は同じ .hexis.ltd 親ドメインを共有しつつ、クッキー prefix を分離(engram_)。一方のセッションが他方を巻き込むことはありません。
監査と透明性
エージェントの行動は、すべて記録される。
monet は能動的に動くからこそ、誰が何を指示し、何が実行されたかが残り、後から検証できる必要があります。
監査ログ
認証イベント、ワークスペース操作、外部 API 呼び出しを監査テーブルに記録。監査ログは monet 側に保管され、engram には流れません。
MCP も同じ権限境界
monet が公開する MCP サーバは、エンドユーザーの認可と同じスコープで動きます。外部 MCP クライアントに渡る情報も、ワークスペース境界を超えません。
engram への書き込みは観測可能
monet からの engram 書き込みは fire-and-forget ですが、失敗は onError ハンドラでログ化されます。ダッシュボードが空のままなら、設定不備として可視化されます。