ИИ-агент с доступом к CRM: как не выдать ему права администратора
Архитектура безопасного агентского сценария: отдельная учетная запись, минимальные права, подтверждение критичных действий, журнал и откат.

ИИ-агент отличается от обычного чат-помощника тем, что может не только подготовить ответ, но и выполнить действие: найти клиента, изменить карточку, поставить задачу, отправить письмо или вызвать другой сервис.
Именно поэтому подключать агента к CRM под учетной записью администратора — плохая идея, даже если пилот кажется маленьким.
NIST в 2026 году отдельно вынес вопрос идентификации и полномочий программных и ИИ-агентов. Организация должна понимать, какой агент действует, от чьего имени, что ему разрешено и как восстановить цепочку событий. OWASP Top 10 for Agentic Applications 2026 также описывает риски автономных систем, которые планируют и выполняют действия через инструменты.
Для малого бизнеса это можно перевести в несколько понятных правил.
У агента должна быть отдельная личность
Не используйте логин сотрудника или общий пароль отдела. Создайте отдельную сервисную учетную запись.
Тогда в журнале видно:
- какие действия выполнил агент;
- какой сценарий их вызвал;
- когда это произошло;
- какие данные были прочитаны или изменены;
- кто подтвердил критичное действие.
Если агент работает под чужой учетной записью, отличить его действие от человеческого становится трудно.
Права выдаются под один сценарий
Агенту для подготовки сводки по сделке может потребоваться чтение ограниченного набора полей. Ему не нужны права на удаление клиентов, изменение цен, экспорт всей базы или управление пользователями.
Практический принцип: сначала только чтение, затем точечно добавляются операции, без которых сценарий не работает.
Разрешения полезно разделить на уровни:
- читать: получить карточку, задачу или разрешенный документ;
- предлагать: подготовить изменение для проверки человеком;
- выполнять: изменить ограниченное поле или создать задачу;
- критичное действие: отправить сообщение, удалить запись, изменить деньги или доступ.
Четвертый уровень по умолчанию требует подтверждения.
Нельзя доверять инструкции из любых данных
Агент может прочитать письмо, файл или комментарий, внутри которого находится команда, замаскированная под обычный текст. Если система не разделяет данные и доверенные инструкции, внешний контент способен изменить поведение агента.
Поэтому:
- правила агента хранятся отдельно от клиентских данных;
- входящий текст не может сам расширить полномочия;
- набор инструментов ограничен заранее;
- адреса и параметры критичных вызовов проверяются;
- секреты не вставляются в запрос и не возвращаются в ответ.
Критичные действия подтверждает человек
Подтверждение особенно важно для:
- отправки клиенту;
- массового изменения записей;
- удаления;
- денежных операций;
- выгрузки данных;
- изменения ролей и доступов.
Человек должен видеть, что именно будет сделано, с какими объектами и на каком основании. Кнопка «подтвердить все» без просмотра не решает задачу контроля.
Нужны журнал и возможность остановки
До запуска определите:
- где хранится журнал действий;
- как быстро отключить учетную запись агента;
- как отменить изменение;
- какой объем действий допустим за единицу времени;
- кто получает уведомление об ошибках;
- что происходит при недоступности внешнего сервиса.
Полезны лимиты: не более определенного числа изменений за запуск, запрет массовых операций и автоматическая остановка после повторяющихся ошибок.
Пилот запускается на копии или ограниченном сегменте
Сначала агент работает с тестовыми данными или небольшим набором реальных карточек, для которых получено разрешение. Команда проверяет не только успешные случаи, но и ошибки: пустые поля, противоречивые инструкции, недоступный сервис, необычный файл, попытку запросить лишние данные.
После пилота оцениваются точность, число ручных исправлений, скорость, отклоненные действия и события безопасности.
Агент не должен становиться новым администратором только потому, что умеет пользоваться несколькими инструментами. Хорошая архитектура ограничивает его роль, делает каждое действие наблюдаемым и оставляет человеку контроль там, где цена ошибки высока.