エージェント支出ポリシーとは。
エージェントの支出ポリシーは、AIエージェントウォレットに付随するルールのセットであり、エージェントが支払うことを許可されている内容を管理します - 期間ごとの許可(毎日、毎週、または毎月)、取引ごとの上限、および開始日と終了日の有効期間。ポリシーはダッシュボードで設定され、ウォレットAPIレイヤー(エージェントの操作可能な範囲外)で強制され、決済前のすべての支払いで確認されます。APIは読み取り専用で公開されます。
自律的な支払いを安全にする唯一のもの。
支出ポリシーがない場合、エージェントにウォレットを与えることは、LLMにドル建ての小切手帳への無制限のアクセスを与えることになります。2つの失敗モードは避けられません。最初は逃げ出すループです:エージェントのプランナーが有料ツールを再試行している間にスタックし、ワークスペースの残高を数分で消費します。2つ目はプロンプトインジェクションです:攻撃者がエージェントを説得して、通常のタスクのように見せかけて攻撃者が制御するウォレットに支払わせます。
支出ポリシーは構造的に両方の失敗モードを制限します。暴走ループは期間の許可を使い果たし、停止します。注入された支払いは取引ごとの上限(または残りの許可)を超え、決済されません。エージェントは完全に信頼できる必要はありません。なぜなら、ウォレットはポリシーの外での決済を拒否するからです。これは「支払うエージェント」が本番で使用可能であることと、実験であることの違いです。
一度設定し、すべての呼び出しを評価します。
- 設定する。 人間のユーザーがダッシュボードでポリシーを設定します:期間ごとの許可、取引ごとの上限、およびオプションの有効期限(開始日と終了日)。APIはポリシーを読み取り専用で公開し、変更は監査ログに記録されます。
- アイデンティティにバインドします。 ポリシーはエージェントの支払いアイデンティティに付随します。マルチエージェントワークスペースには、エージェントごとに1つのポリシーがあり、オプションで合計を制限するワークスペースレベルの上限があります。
- すべての意図で評価する。 エージェントが支払い意図を提出すると(通常は402応答によって駆動される)、ウォレットAPIはポリシーを実行します:取引ごとの上限を確認し、残りの期間の許可を確認し、有効期限を確認します。
- 決済または拒否。 すべてのチェックが通過した場合、ウォレットは支払いを決済し、残りの許可を減少させます。いずれかのチェックが失敗した場合、ウォレットは支払いを拒否します(制限を超えるか、ウィンドウの外にあるため)し、決済しません。
- 監査。 すべての受け入れられた意図と拒否された意図は、ポリシー決定とともに記録されます。人間はいつでもログを確認して、エージェントが何を試みたか、ポリシーが何を許可したかを確認できます。
ポリシーは、ウォレットを共有するエージェントの数に関係なく、同じ種類のオブジェクトです。エージェントごとのポリシーは予算を明確に分離します;親レベルのワークスペースポリシーは、すべての子エージェントにわたって厳格な上限を適用します。
生産中に見られる3つのポリシーの形状。
単一呼び出し上限のあるエージェントごとの日次上限
研究エージェントには$5/日の上限と$0.50/呼び出しの上限があります。$0.50の10回の呼び出し、または$0.05の100回の呼び出し、または日次合計の下での任意の組み合わせを行うことができます。ツールからの驚きの$2.00の請求書は、決済される前に呼び出しの上限で拒否されます。両方の制限は同時に施行され、より厳しい方が呼び出しごとに勝ちます。
受信専用ロックダウン
支払いのみを受け取るエージェントは、その許可と取引ごとの上限が両方ともゼロに設定されています。誰でもいつでも支払うことができますが、USDCを送信することはできません - コードやプロンプトインジェクションが何をしようとしても関係ありません。両方の制限をゼロに設定することは、プロンプトインジェクションによる支払いリダイレクションに対する最も強力な防御です:ウォレットはすべての出金を拒否します。
時間制限のあるエンゲージメントウィンドウ
契約者エージェントには、エンゲージメントの30日間のウィンドウ(開始日と終了日)のみ有効な支出許可が与えられます。ウィンドウ内では、週ごとの許可の範囲内で支出できます;終了日を過ぎると、許可は失効し、誰もそれをオフにすることを思い出す必要がなく、さらなる支払いは決済されません。