Cursor Automationsは「SlackやGitHubのイベントをきっかけに、AIエージェントが自動で作業する」機能だ。2025年3月に発表されたばかりで、うまく使えばPR作成やセキュリティレビューを自動化できる。ただし、設定を間違えると意図しない変更が走る”誤爆”が起きかねない。この記事では、安全に使い始めるための初期設定を解説する。

まず理解しておきたい「どこで動くか」

Automationsで一番誤解されやすいのが実行環境だ。「勝手にローカルのファイルを書き換えられるのでは？」と心配する人がいるが、実際にはクラウド上のサンドボックス（隔離環境）で動作する。

公式の説明によると、Automationsが起動すると専用のサンドボックスが立ち上がり、そこで指示を実行する。つまり、あなたのPCで突然ターミナルが動き出すわけではない。これを知っているだけで、心理的なハードルはかなり下がるはずだ。

ただし、サンドボックスからGitHubへのpushやSlackへの投稿は可能なので、「クラウドだから安全」と油断はできない。外部サービスへの影響範囲は自分で絞る必要がある。

トリガーの種類と「最初に選ぶべきもの」

Automationsを起動するきっかけ（トリガー）は大きく3種類ある。

イベントトリガー：Slack、Linear、GitHub、PagerDutyなどの通知を受けて起動する。例えば「mainブランチへのpush」や「特定チャンネルへのメンション」がきっかけになる。

スケジュールトリガー：cronのように「毎朝9時」「2時間ごと」といった定期実行。公式ブログでは「週次で直近7日間の変更を要約」「毎朝テストを追加してPR作成」といった例が紹介されている。

Webhookトリガー：任意のHTTPリクエストで起動。自作ツールや他の自動化基盤との連携向け。

初めて使うなら、スケジュールトリガーから始めるのが無難だ。理由は単純で、「いつ動くか」が予測できるから。イベントトリガーは便利だが、想定外のタイミングで発火することがある。まずは「毎週月曜10時に、直近のPR一覧を要約する」程度の軽い処理で様子を見るといい。

通知と承認フロー：allowlistの理解が肝

Automationsの安全設計で重要なのがallowlist（許可リスト）の概念だ。Cursorのエージェント機能には「allowlistに登録したコマンドだけ自動実行し、それ以外は承認を求める」仕組みがある。

コミュニティでもよく議論されているが、allowlistを広げすぎると「git push」や「npm publish」のような影響の大きいコマンドまで自動実行されてしまう。逆にallowlistを空にしておけば、すべてのコマンド実行前に確認が入る。

初期設定としては、allowlistは最小限（または空）にしておくことを推奨する。面倒に感じるかもしれないが、挙動を把握するまでは「何をしようとしているか毎回確認できる」ほうが安心だ。

また、OS通知を有効にしておくと、エージェントが入力待ちになったときにデスクトップ通知が届く。設定画面から有効化できるので、最初にONにしておこう。これで「承認待ちに気づかず放置」という事態を防げる。

MCP設定は最小権限で始める

Automationsは設定済みのMCP（Model Context Protocol）サーバーを使って外部ツールと連携できる。GitHubのPR作成、Slackへの投稿、データベースへの書き込みなど、MCPを通じてさまざまな操作が可能になる。

ここで大事なのは、最初から全権限を渡さないことだ。例えばGitHub連携なら、まずは「特定リポジトリの読み取り専用」から始める。書き込み権限は、読み取りだけの運用で問題ないことを確認してから追加すればいい。

以前の記事「MCP連携を安全に使う最小権限チェックリスト」でも触れたが、MCPの権限設計は「必要になったら広げる」が原則。最初から便利さを優先して広い権限を与えると、Automationsが想定外の操作をしたときに影響が大きくなる。

公式の運用例から学ぶガードレール設計

公式ブログでは、組織での運用例がいくつか紹介されている。中でも参考になるのが「PRのリスク分類」の例だ。

• 低リスクと判定されたPRは自動承認
• 高リスクと判定されたPRは最大2名のレビュワーを自動アサイン

この設計のポイントは「すべてを自動化しない」ところにある。影響が小さい作業だけ自動化し、重要な判断は人間に任せる。これがガードレール設計の基本的な考え方だ。

同様に「mainブランチへのpushでセキュリティレビューを走らせる」例もあるが、レビュー結果を見て対応するのは人間という前提になっている。Automationsは万能ではなく、あくまで「定型作業を代行するアシスタント」として位置づけるのが現実的だ。

段階的に導入する3ステップ

ここまでの内容をまとめると、Automationsを安全に始めるには以下の順序がおすすめだ。

ステップ1：スケジュールトリガー＋読み取り専用 週次の要約レポート作成など、書き込みを伴わない処理から始める。MCP権限も読み取りのみ。

ステップ2：イベントトリガー＋限定的な書き込み 特定リポジトリへのPR作成など、影響範囲を限定した書き込み処理を追加。allowlistは引き続き最小限。

ステップ3：条件分岐＋自動承認 リスク判定ロジックを入れて、低リスクな処理だけ自動実行。高リスクは通知して人間が判断。

いきなりステップ3を目指すと、想定外の挙動に気づけない。1〜2週間はステップ1で挙動を観察し、ログを確認しながら徐々に拡張していくのが堅実なやり方だ。

向いている人・向いていない人

Automationsが向いているのは、すでに手動で定型作業を繰り返している人だ。「毎週PRをまとめてる」「Slackで同じ報告を書いてる」といった作業があるなら、自動化の恩恵を受けやすい。

一方、まだワークフローが固まっていない人や、エージェントの挙動を監視する余裕がない人には早いかもしれない。Automationsは「設定したら放置」ではなく、定期的にログを確認してチューニングする運用が前提になる。

また、現時点では最新機能ゆえに仕様変更の可能性もある。プロダクション環境でいきなり本番運用するのではなく、まずはサイドプロジェクトや検証環境で試すのが無難だろう。

参考リンク

• Automations · Cursor（Changelog）
• Build agents that run automatically · Cursor（公式ブログ）
• Linear integration, improved Agent terminal, and OS notifications · Cursor（Changelog）