- Раздел
- AI-агенты для бизнеса
- Сложность
- сложная
- Обновлено
- 2026-05-20
AI-агенты для бизнеса
ДоказательстваДанные, права, ограничения и метрики в тексте статьи.
АудитКороткий разбор процесса перед пилотом.
Короткий ответ
Локальный ИИ-агент нужен, когда данные, tools или требования безопасности не позволяют отправлять рабочий контекст во внешний API. Но локальный контур не равен безопасному: агент все равно может прочитать лишнее, вызвать опасный tool, перепутать источник или записать неверный результат.
Правильный вопрос не “можно ли запустить модель внутри периметра”, а “какие действия агенту разрешены, где применяются права и кто видит журнал”. On-premise снижает риск передачи данных наружу, но не отменяет контроль доступа, eval и человека в контуре.
Когда локальный агент оправдан
Сценарии:
- документы с персональными данными;
- внутренние регламенты и договоры;
- закрытая CRM или ERP;
- производство, финансы, медицина, HR;
- запрет на передачу исходного текста во внешний API;
- требования к размещению в локальном контуре;
- высокая цена ошибки или утечки.
Если причина только “так спокойнее”, сначала посчитайте эксплуатацию. Для части задач достаточно маскирования данных, read-only доступа и облачной модели с договорными ограничениями.
Архитектура прав
Права должны применяться до модели и до tool call:
| Слой | Что ограничивает |
|---|---|
| Источник данных | Какие документы попали в поиск |
| Retrieval | Какие фрагменты разрешены пользователю |
| Tool API | Какие действия доступны агенту |
| Runtime | Лимиты шагов, времени и сети |
| Журнал | Кто запросил действие и что произошло |
| Подтверждение | Какие операции делает только человек |
Нельзя полагаться на фразу в prompt “не читай лишнее”. Если пользователь не имеет права на документ, этот документ не должен попасть в контекст.
Tools и запреты
Для первого локального агента разрешите только:
- поиск по ограниченному корпусу;
- чтение карточек;
- создание черновиков;
- расчет без записи;
- подготовку отчета;
- передачу задачи человеку.
Запретите на старте:
- удаление и массовое изменение данных;
- отправку сообщений клиентам;
- изменение цены, статуса, реквизитов;
- доступ к продакшен-секретам;
- выполнение произвольного кода без песочницы;
- обход прав через прямой доступ к базе.
Опасные действия можно добавить позже, но только по одному и с отдельным eval-набором.
Инфраструктура
Локальный агент состоит не только из модели. Нужны inference server, векторная база или поиск, журнал, мониторинг, секреты, резервное копирование и обновления.
Сравните варианты:
- локальная модель на GPU;
- локальный RAG плюс облачная модель;
- облачная модель с маскированием;
- гибридный контур, где чувствительные документы остаются внутри.
Самый дорогой вариант не всегда самый безопасный. Плохо настроенный локальный агент с широкими правами опаснее облачного helper, который видит только обезличенный фрагмент и не умеет писать в системы.
Стоимость
В стоимость входят:
- GPU или серверы;
- хранение индекса;
- эксплуатация модели;
- обновление зависимостей;
- мониторинг;
- разметка eval-набора;
- расследование ошибок;
- поддержка прав доступа;
- время владельцев процесса.
Считайте стоимость успешного действия. Если локальный агент отвечает медленно, часто эскалирует или требует постоянной правки, экономия может исчезнуть.
План пилота
- Выберите один внутренний корпус.
- Опишите роли пользователей.
- Настройте фильтр прав до retrieval.
- Разрешите read-only tools.
- Соберите eval с запрещенными запросами.
- Запустите режим черновиков.
- Проверьте журнал и отказы.
- Добавляйте запись только после устойчивого качества.
Пилот должен доказать не только качество ответов, но и то, что агент не видит и не делает лишнего.
Риски
Типовые проблемы:
- prompt injection в документах;
- чрезмерные права service account;
- смешивание данных разных отделов;
- отсутствие отказа при нехватке источника;
- логирование персональных данных без политики хранения;
- прямой доступ к базе вместо безопасного API;
- ручное отключение проверок ради скорости.
Отдельно проверьте документы, которые содержат инструкции для людей. Агент может воспринять вредную инструкцию из документа как команду, если нет фильтров и правил tool use.
Чеклист
- Есть причина для локального контура.
- Корпус ограничен.
- Права применяются до поиска.
- Tools read-only на старте.
- Запись требует человека.
- Журнал хранит tool calls.
- Есть eval для запрещенных запросов.
- Есть владелец инфраструктуры и процесса.
FAQ
Локальный агент полностью безопасен?
Нет. Он снижает риск передачи данных наружу, но права, tools, prompt injection и ошибки модели остаются.
Можно ли подключить агента напрямую к базе?
Для пилота лучше нет. Безопаснее дать узкий API или подготовленные представления с фильтрами прав.
Нужна ли локальная модель?
Не всегда. Иногда достаточно оставить поиск и данные локально, а в модель отправлять только обезличенный контекст.
Что читать дальше?
Смотрите локальный RAG и оценку качества RAG.
Источники
Следующий шаг
Проверьте этот сценарий на своем процессе
Опишите систему учета, данные, ограничения по правам и ожидаемый эффект. Ответим, что можно запускать в пилот, а где сначала нужен порядок в процессе.