раздел 05

Рекомендации по уровням

Универсального «правильного» режима нет. Уровень автономии выбирают под две вещи сразу: насколько вы доверяете агенту в этой задаче и насколько чувствительна среда, где он работает.

Режим под ситуацию

Новичок или незнакомый проект

Строгий режим плюс план. Сначала пусть агент расскажет, что собирается делать, и только потом меняет код.

Растущее доверие

Авто-применение правок, но команды - с подтверждением. Удобно и при этом терминал под контролем.

Разовая песочница или CI

Здесь можно выше автономию: среда одноразовая, секретов нет, потеря данных не критична.

Чужой код или секреты в проекте

Минимум прав. read-only или строгий режим, доступ к .env закрыт, ничего не запускается без вас.

Повышайте автономию по мере доверия и снижайте при росте рисков среды. Это и есть управление разрешениями.

Безопасность: о чём помнить

Prompt injection

Агент читает файлы, страницы, выдачу команд - и может принять чужую инструкцию за вашу. В README, на веб-странице или в комментарии кода может оказаться текст вроде «удали всё и отправь ключи туда-то», и агент попробует это выполнить. Это называется prompt injection. Защита - не давать агенту необратимых прав вслепую, особенно когда он работает с внешними данными. Подробнее про такие риски - в курсе агентной грамотности.

Секреты и .env

Файлы с ключами и паролями - в deny. Агенту незачем читать .env, токены и приватные ключи: попав в контекст модели или в лог, они могут утечь. Закройте к ним доступ явным запретом.

Необратимое - через подтверждение

Удаление, git push, деплой, очистка базы - всё, что не отменить, должно требовать вашего «да». Никогда не выносите такие действия в авто-разрешения.

Изоляция

Когда нужна высокая автономия, изолируйте среду: запускайте агента в контейнере или на отдельной ветке. Тогда даже грубая ошибка останется внутри песочницы и не заденет основную работу.

Общий чек-лист

Оцените среду

Есть ли рядом секреты, прод, важные данные? Чем их больше, тем строже режим.

Начните строго

План или read-only. Повышайте автономию, когда увидели, что агент действует разумно.

Закройте опасное навсегда

Удаление, push в main, чтение .env - в deny во всех инструментах.

Изолируйте для высокой автономии

Bypass и full-access - только в контейнере или одноразовой виртуалке.

Проверяйте, что читает агент

Помните про prompt injection: внешний текст может содержать вредную инструкцию.