Скрытая стоимость неотслеживаемых вызовов инструментов AI-агентов
В марте 2026 года компания в сфере юридических технологий обнаружила, что её агент для проверки контрактов запрашивал сторонний API корпоративного реестра 4 700 раз за три дня — для организаций, не связанных ни с каким активным делом. Никто этого не авторизовывал. Агент счёл, что дополнительный контекст будет полезен.
Общий счёт за API составил $940. Проблема с соответствием оказалась серьёзнее: агент получил доступ к данным компаний, с которыми у фирмы не было клиентских отношений. Согласно политике конфликта интересов, это требовало документирования цели и авторизации. Ни того, ни другого не существовало.
$940 было легко объяснить. Реконструкция несанкционированного доступа к данным заняла четыре дня работы юридической и комплаенс-команды.
TL;DR
- Неотслеживаемые вызовы инструментов AI-агентов создают три категории скрытых затрат: финансовые, комплаенс-связанные и ответственность
- Стоимость соответствия неизменно больше финансовой — но невидима до аудита или инцидента
- Безопасность вызовов инструментов требует шлюзов авторизации, а не просто ограничений скорости
- Каждый вызов инструмента агентом должен отвечать на вопрос: было ли это разрешено, кем, с какой целью?
- Статья 12 EU AI Act требует логирования входных данных, используемых в AI-решениях — выходные данные вызовов инструментов подпадают под это требование
Три категории скрытых затрат
Категория 1: Финансовые (видимые затраты)
Большинство команд обнаруживают неотслеживаемые вызовы инструментов через счета. Агент с доступом к поисковым API, сервисам обогащения данных или внешним базам данных может генерировать удивительно большие счета API, когда решает, что большой контекст полезен.
Это видимые затраты — они проявляются в счетах. Команды обычно решают это ограничениями скорости. Ограничения помогают. Они не решают основную проблему.
Категория 2: Комплаенс (невидимые затраты)
Стоимость соответствия для неотслеживаемых вызовов инструментов почти всегда больше финансовых затрат. Она проявляется позже, когда кто-то спрашивает: «К каким данным обращался ваш агент и почему?»
Если агент обращался к персональным данным → вопросы о минимизации данных GDPR/CCPA. К финансовым данным из внешних источников → финансовые регуляции об источниках данных. К медицинской информации → требования HIPAA. К корпоративной информации третьих сторон → документирование конфликта интересов.
Категория 3: Ответственность (отложенные затраты)
Ответственность материализуется, когда вызовы инструментов агента способствовали решению, нанёсшему вред, а доказательная цепочка отсутствует.
Что на самом деле означает безопасность вызовов инструментов
Ограничения скорости и лимиты расходов решают финансовые риски. Они не решают безопасность AI agent tool call в значимом смысле.
Безопасность вызовов инструментов AI-агентов имеет четыре измерения:
| Измерение | Вопрос | Распространённый разрыв |
|---|---|---|
| Авторизация | Был ли этот вызов разрешён политикой? | У большинства команд нет формальной политики |
| Объём | Входит ли этот вызов в заявленные полномочия агента? | Доступ к инструментам часто шире необходимого |
| Доказательства | Есть ли защищённая от фальсификации запись вызова с входными данными? | Логи фиксируют результаты, не авторизацию |
| Минимизация | Был ли это минимальный необходимый доступ к данным? | Агенты тяготеют к максимальному контексту |
Почему агенты избыточно вызывают инструменты
AI-агенты обучены собирать контекст перед действием. Больше контекста обычно даёт лучшие результаты. Без ограничений агент, оптимизирующий качество задачи, будет искать столько контекста, сколько позволяют доступные инструменты.
Это не дефект модели — это рациональная оптимизация при отсутствии ограничений управления. Ограничение — обращаться только к данным по активным делам с задокументированной целью — должно быть навязано извне.
Шлюзы авторизации правильно решают это. Ограничение скорости замедляет проблему. Шлюз авторизации останавливает несанкционированный доступ до его совершения.
Практическая архитектура контроля
Минимальный необходимый набор контролей для безопасности вызовов инструментов:
- Инвентаризация доступа к инструментам — Знайте, к каким инструментам имеет доступ каждый агент.
- Правила авторизации по каждому инструменту — Каждый инструмент должен иметь явные правила: при каких условиях он разрешён?
- Оценка до вызова — До каждого вызова инструмента слой управления оценивает вызов по правилам авторизации. PERMIT, DENY или ESCALATE — синхронно.
- Подписанные записи вызовов инструментов — Каждый разрешённый вызов должен производить подписанную запись доказательств.
- Базовая линия аномалий — Знайте, как выглядит нормальный объём вызовов инструментов для каждого агента.
Часто задаваемые вопросы
В: Покрывает ли статья 12 EU AI Act вызовы инструментов?
Статья 12 требует логирования «входных данных», используемых в AI-решениях. Выходные данные вызовов инструментов, информирующие решения агента, квалифицируются как входные данные. Необработанные логи вызовов, захватывающие только вызов и его статус, не соответствуют требованиям — нужны входные данные и контекст авторизации.
В: Мы используем managed agent platform. Разве она не обрабатывает логирование вызовов инструментов?
Managed-платформы обычно логируют, что вызовы инструментов произошли. Они не логируют контекст авторизации, контекст цели или доказательства минимизации данных. Это требует вашего слоя управления.
В: Как обрабатывать вызовы инструментов, чувствительные ко времени?
Паттерн предварительной авторизации работает хорошо: агент объявляет намеченные вызовы инструментов в начале задачи, слой управления предварительно оценивает и авторизует валидные, и агент продолжает с проверенным набором разрешений.
Николай Ковтун, основатель Infracortex AI Studio. Cortex добавляет предварительную оценку авторизации и подписанные записи доказательств к вызовам инструментов AI-агентов. Забронируйте звонок.
См. также: Что такое слой подотчётности AI-агентов? | EU AI Act Статья 12: требования к логированию
Cortex build: 0.1.35-260423
