Что можно доверить AI-агенту — а что держать подальше от его рук
Прежде чем агент прикоснётся к реальным данным клиентов, решите, что он может видеть и что — делать. Правило простое: читать широко, писать узко.
- Заводите агентам собственные аккаунты и API-ключи — никогда не давайте личный логин. Один ключ должен отзываться без смены всех паролей.
- Сначала агент готовит черновики, и только потом — отправляет. Две недели в режиме черновиков, ежедневная проверка, затем автоматизируйте категории, где он не ошибается.
- Секретам не место в промптах. API-ключи и номера карт живут в хранилище, к которому агент обращается по имени, а не в истории чата.
- Логируйте всё. Хорошая связка агентов оставляет след, который можно проверить. Если вендор не может показать, что делал агент, — это тревожный сигнал.
Безопасность — не повод отказываться от агентов. Это чек-лист на первую неделю работы с ними.