В AI-системах это особенно важно. Если агент умеет читать почту, ему не обязательно давать право удалять письма. Если он готовит черновик счета, ему не нужно право проводить платеж. Если он ищет информацию в CRM, лучше сначала дать read-only доступ, а запись разрешать только после подтверждения человека.
Принцип минимальных прав снижает ущерб от ошибок модели, prompt injection, утечки токена, неправильной интеграции или слишком автономного агента. Даже если агент ошибся, его действия ограничены заранее заданными рамками.
На практике least privilege реализуют через роли, ACL, OAuth scopes, read-only режим, allowlist действий, отдельные API-ключи, песочницы, подтверждение опасных операций и регулярный пересмотр доступов.
Примеры
- AI-агент поддержки может читать тикеты и готовить черновик ответа, но не может закрывать тикет без оператора.
- Агент для CRM видит сделки только своего отдела и не может удалять клиентов.
- Бот для Google Drive получает доступ только к одной папке базы знаний, а не ко всему диску компании.
- AI-агент для финансов может сверять платежи, но не может отправлять платежки в банк.
- Инструмент для email-маркетинга может создавать черновик рассылки, но отправка требует approval.
Где используется
- Настройка прав AI-агента перед запуском в продакшен
- Ограничение OAuth scopes для Gmail, Google Drive, Slack, CRM и календаря
- Read-only режим для первых тестов интеграции
- Allowlist действий: агент может выполнять только заранее разрешенные операции
- Разделение прав на чтение, создание черновика, запись и удаление
- Защита от prompt injection и tool poisoning
- Снижение ущерба при утечке API-ключа или ошибке модели
Связанные термины
Частые вопросы
Почему least privilege важен именно для AI-агентов?
AI-агент может ошибиться, неверно понять инструкцию или попасть под prompt injection. Минимальные права ограничивают ущерб: агент просто не сможет выполнить опасное действие.
С чего начать настройку минимальных прав?
Сначала дайте агенту read-only доступ и проверьте качество работы. Затем отдельно добавляйте права на создание черновиков, запись данных и опасные действия — только если они действительно нужны.
Чем least privilege отличается от guardrails?
Least privilege ограничивает реальные права доступа и действия. Guardrails задают правила поведения модели. Лучше использовать оба подхода: модель не должна просить лишнего, а система не должна позволять лишнее.
Как понять, что у агента слишком много прав?
Если агент может удалять данные, отправлять сообщения, менять сделки, проводить платежи или публиковать контент без необходимости и подтверждения — прав слишком много.