Раздел 07 из 08

Безопасность, доверие и контроль ошибок

Доверие к agent — это процедура, а не вера. Ты раздаёшь ему черновую работу, но проверяешь итог и держишь руку на проводках. Дальше — где он врёт, как его поймать и где проходят красные линии.

Главный принцип

Claude Code хорошо делает черновую работу и плохо держит финальную ответственность. Перед налоговой и клиентом отвечаешь ты — значит, контроль остаётся у тебя. По той же логике, по которой ты не подписываешь баланс не глядя.

1. Галлюцинации: agent ошибается уверенно

LLM не умеет говорить «я не уверен». Неправильную сумму, выдуманную дату חשבונית или несуществующий номер счёта חשבשבת он выдаёт ровно тем же тоном, что и верный ответ. На цифрах это критично: представь стажёра, который вписал сумму в реестр «по памяти», не открыв первичку.

⚠️ Где он врёт чаще всего

  • Арифметика «в уме» — суммы, מע"מ, итоги по колонке.
  • Даты и периоды — путает месяц проводки.
  • «Заполнение пробелов» — на дырку в данных додумает правдоподобное.
  • Номера счетов и категории, которых нет в твоём плане.

✅ Как заставить его быть честным

  • Требуй показать работу, а не только ответ.
  • Заставляй считать кодом (Python/таблица), а не «прозой».
  • Разрешай ответ «не знаю / данных не хватает».
  • Проси ссылку на конкретные строки источника.
Золотое правило для финансовой задачи

Добавляй в prompt одну фразу: «Покажи, как ты посчитал и из каких именно строк исходного файла взял каждое число. Если данных не хватает — скажи об этом, не придумывай». Чёрный ящик превращается в проверяемую сверку.

Выборочный контроль обязателен

Даже когда agent работает чисто, бери случайную выборку — как при аудите. Не 800 строк глазами, а 10–15 наугад плюс все крайние случаи: максимальные суммы, нестандартные категории, аномалии, которые он сам пометил. Несколько чистых выборок подряд — доверие растёт заслуженно.

2. Работай на копии, а не на единственном оригинале

Agent трогает копию, а не последний экземпляр отчёта, которого больше нигде нет. Та же дисциплина, по которой ты не правишь единственный экземпляр первички ручкой.

  ОРИГИНАЛ (PayEm export.xlsx)
        │
        │  делаешь копию
        ▼
  Documents\AI\payem-копия.xlsx  ◄─── здесь работает agent
        │
        │  ты проверяешь результат
        ▼
  готовый файл для импорта в ERP  ◄─── загружаешь ВРУЧНУЮ ты

📦 Песочница

Отдельная папка (например Documents\AI) под копии выгрузок. Agent видит только её. Боевые папки и сетевые диски — вне досягаемости.

🔒 Боевые системы — через тебя

SAP Business One, банк, Michpal/Oketz — agent готовит файл или инструкцию, но импорт и проводку запускаешь ты. Запись в ERP — твоя подпись.

3. Permissions: разрешения как право подписи

В Claude Code встроена система permissions: перед тем как изменить что-то на диске или выполнить команду, agent спрашивает разрешение. Это лимит полномочий: читать можно свободно, но прежде чем записать или отправить — спросит. Пока не набила руку — держи режим с подтверждениями.

Действие agentЧто делать на старте
Прочитать файл, посмотреть данные✅ Можно разрешать свободно — чтение безопасно
Посчитать, сделать черновик в копии✅ Безопасно, это его рабочий стол
Перезаписать/удалить файл⚠️ Подтверждай вручную каждый раз
Запустить команду (PowerShell), установить что-то⚠️ Читай, что он хочет запустить, прежде чем «да»
Отправить в ERP / почту / наружу🚫 Никогда «вслепую». Только твоими руками
Как это выглядит на практике

По умолчанию Claude Code спрашивает перед правкой файлов и запуском команд. Команда /permissions показывает и настраивает, что разрешено, что под вопрос, что запрещено. Режим auto-accept (Shift+Tab переключает) не включай, пока не набила руку. Режим, который не спрашивает вообще, тебе не нужен в принципе.

Не давай «постоянное да» наугад

На запрос разрешения бывает вариант «разрешить всегда для таких команд». Удобно для безобидного (чтение файлов), опасно для записи и отправки. Лишний клик дешевле правила, которое однажды молча отправит черновик в боевую систему.

4. Конфиденциальность: что уходит в облако

Claude Code запускается локально и читает файлы прямо на твоей машине. Но «думает» не он, а модель Claude на серверах Anthropic — поэтому твои запросы и то содержимое файлов, которое agent подтянул в работу, уходят в облако провайдера. Локально остаётся только то, что ты ему не показала. На зарплатах и персональных данных это критично.

🚫 Что не отдавать наспех

  • Зарплатные ведомости с именами и ניכויים.
  • תעודת זהות, банковские реквизиты сотрудников.
  • Любые персональные данные клиентов «как есть».

✅ Как работать аккуратно

  • Обезличивай: имена → «Сотрудник 1/2/3», убери ת"ז — на логику поиска аномалий это не влияет.
  • Чувствительное держи локально, давай agent только нужные колонки.
  • Политику по реальным зарплатным данным уточни у Олега — что можно в облако, что нет.
Секреты — никогда в открытом тексте

Пароли, API-ключи, токены доступа к SAP/банку/PayEm не пишутся в prompt, в CLAUDE.md или в обычные файлы. Если задаче нужен доступ куда-то — это отдельный разговор про безопасное хранение, а не «впишу пароль в заметку». Один такой файл, утёкший наружу, — это инцидент.

5. Стоимость и лимиты: дроби тяжёлое

У подписки есть лимиты, большие задачи съедают много token. Загрузить весь годовой архив одним заходом — дорого, медленно, и качество падает. Решение бухгалтерски простое: дроби работу на участки.

Плохо

«Разнеси и проверь все транзакции за год и зарплату за 12 месяцев одним заходом».

Хорошо

«Возьми один месяц PayEm. Классифицируй. Покажи аномалии». Проверила — следующий месяц. Чисто, дёшево, контролируемо.

6. Когда agent — советчик, а не исполнитель

Часть работы automation делает прекрасно (повторяющиеся выгрузки, классификация по ключевым словам, поиск аномалий). В остальном agent только подсказывает, а решаешь ты.

Тип задачиРоль agent
Рутина, повторяется каждый месяц, правила известныИсполнитель (под твоей проверкой)
Разовая нестандартная операцияСоветчик: подскажет варианты, делаешь сама
Юридически/налогово чувствительноеСоветчик: финальное слово за тобой / консультантом
Высокая цена ошибки (крупная сумма, отчётность в срок)Советчик + двойная проверка

Чеклист: перед тем как доверить задачу

  1. Копия на месте? Agent работает с копией, оригинал в безопасности.
  2. Источник назван явно? Ты указала, из какого файла и каких колонок брать данные.
  3. Потребовала «покажи как посчитал»? Для всего, где есть цифры и даты.
  4. Персональные данные обезличены? Имена, ת"ז, реквизиты убраны или заменены.
  5. Permissions на подтверждении? Запись и отправка — только с твоего «да».
  6. Задача нарезана? Один месяц / один участок, а не «всё сразу».
  7. Запланирована выборочная проверка? 10–15 случайных + все крайние случаи.
  8. Финальный шаг в боевую систему — твой? Импорт в ERP запускаешь ты, не agent.
Красные линии — никогда без тебя
  • 🚫 Прямая запись/проводка в SAP Business One, банк, Michpal/Oketz без твоего финального подтверждения.
  • 🚫 Отправка писем, отчётов или файлов наружу «от твоего имени» автоматически.
  • 🚫 Реальные зарплатные и персональные данные в облако без согласованной с Олегом политики.
  • 🚫 Пароли, ключи, токены в открытом тексте — в prompt, файлах или заметках.
  • 🚫 Удаление или перезапись единственного оригинала.
  • 🚫 Доверие финансовой цифре, которую ты не можешь проследить до конкретной строки источника.
Суть

Доверие к agent — это процедура, а не вера: копия, прозрачный расчёт, выборочная сверка, твоя подпись на выходе. Та же дисциплина, что делает тебя хорошим бухгалтером, делает тебя и безопасным оператором AI.