Разработчики Granola проанализировали сложности предоставления ИИ-агентам доступа к пользовательским данным через OAuth. Основная проблема заключается в избыточности разрешений: современные системы часто требуют либо полного доступа к API, либо не работают вовсе. Это вынуждает разработчиков выбирать между функциональностью и безопасностью, что создает критические уязвимости в архитектуре агентных систем.

Авторы отмечают, что текущие стандарты авторизации, такие как OAuth 2.0, были спроектированы для взаимодействия «человек-приложение», а не для автономных агентов, способных выполнять цепочки действий. Когда агент требует доступа к почте или календарю, он часто получает «широкие» права, которые невозможно ограничить на уровне конкретных контекстных задач. В результате разработчики вынуждены идти на компромисс, который в статье иронично назван «опасным пропуском разрешений».

Для решения этой проблемы предлагается переход к более гранулярным моделям доступа, где права делегируются не приложению целиком, а конкретным задачам или сессиям агента. Это требует пересмотра того, как именно системы управления доступом обрабатывают запросы от LLM, чтобы минимизировать поверхность атаки при сохранении полезности инструментов.

Ключевые факты

  • OAuth 2.0 не учитывает специфику автономных агентов, требующих динамического управления правами доступа.
  • Избыточные разрешения (over-permissioning) являются следствием архитектурных ограничений существующих API-интеграций.
  • Безопасная работа агентов требует перехода от статических токенов доступа к контекстно-зависимым правам.
  • Основной риск заключается в возможности агента совершать действия, выходящие за рамки текущей бизнес-задачи пользователя.