Prompt 원칙으로 least privilege
Agent의 blast radius는 tool이 할 수 있는 것의 set. task가 필요한 minimum으로 set 줄여. "이 support agent는 search orders, escalate to humans, write notes 가능"이 "이 agent가 우리 internal API 지원하는 모든 거 가능"보다 훨씬 narrow.
Privilege level
- Read-only — search, list, fetch. Mutate 못 해.
- Self-mutating — 자기 state (draft, note) 변경 가능, 외부 state X.
- External-mutating — system of record에 write 가능. Confirmation 패턴 require.
- External-actioning — email send, card charge, side effect 있는 API call. 가장 높은 scrutiny.
Per-user scoping
Tool이 user_id (또는 scope token) 받고 데이터 layer에서 ownership enforce. 모델이 "이 user의 order만 보여" enforce 못 trust — tool이 해야.