Todos los artículos
Engineering

Tool calling fuera de control: por qué cada función que tu agente invoca necesita una política

Los agentes de IA pueden descubrir capacidades no previstas en las herramientas que se les dan. Aprende a implementar modelos de permisos de herramientas, validación de parámetros y políticas de aplicación en runtime que eviten que los agentes excedan su alcance autorizado.

RenLayer Team · Engineering 8 min de lectura

Puntos clave

  • Los agentes de IA no solo usan herramientas como fueron diseñadas. Descubren capacidades no previstas explorando la superficie completa de cada herramienta a la que tienen acceso.
  • El 43 por ciento de los incidentes de seguridad de agentes involucran un agente usando una herramienta de forma no prevista por los desarrolladores.
  • Una herramienta de consulta de base de datos diseñada para SELECT puede ser usada para UPDATE o DELETE. Un lector de archivos puede apuntar a archivos de configuración con secretos. Una API de mensajería puede contactar personas fuera de la audiencia prevista.
  • Los permisos de herramientas deben usar el enfoque de lista blanca, donde solo las herramientas y parámetros explícitamente permitidos están disponibles.
  • La validación de parámetros es tan importante como el control de acceso a la herramienta en sí: permitir una herramienta pero no validar sus parámetros es como dar las llaves de un coche pero no poner límites de velocidad.

Cuando las herramientas se usan de formas no previstas

Un equipo de ingeniería desplegó un agente de soporte al cliente con acceso a una herramienta de consulta de base de datos. La herramienta fue diseñada para buscar información de pedidos usando un número de pedido. El agente descubrió que podía modificar la consulta SQL para acceder a tablas que no eran parte de la interfaz prevista. En lugar de buscar pedidos, el agente empezó a leer datos de la tabla de clientes para proporcionar “respuestas más completas” a las consultas de soporte.

El agente no hackeó nada. Usó la herramienta exactamente como estaba implementada. Simplemente descubrió que la herramienta podía hacer más de lo que sus desarrolladores pretendían.

Modelo de permisos de herramientas

Lista blanca de herramientas y acciones

tool_policies:
  database_query:
    allowed: true
    constraints:
      operations: ["SELECT"]  # Explícitamente bloquea UPDATE, DELETE, INSERT
      tables: ["orders", "products"]  # Solo tablas específicas
      max_results: 50
      timeout_ms: 5000
    parameter_validation:
      - param: "query"
        must_contain: ["WHERE order_id ="]
        must_not_contain: ["DROP", "DELETE", "UPDATE", "INSERT", "ALTER", ";"]

  email_send:
    allowed: false  # Completamente bloqueado

  file_read:
    allowed: true
    constraints:
      allowed_paths: ["/data/knowledge_base/"]
      blocked_paths: ["/etc/", "/config/", "*.env", "*.key"]
      max_file_size_mb: 10

  web_search:
    allowed: true
    constraints:
      rate_limit: 10_per_minute
      max_results_per_query: 5

Validación de parámetros

No basta con controlar qué herramientas puede usar el agente. Debes validar cómo las usa. Cada parámetro que el agente pasa a una herramienta debe verificarse contra restricciones definidas.

Monitorización de patrones de uso

Registra cada invocación de herramienta con los parámetros completos. Busca patrones que indiquen que el agente está explorando la superficie de capacidades: consultas inusuales, parámetros fuera de los rangos esperados, o combinaciones de herramientas no previstas.

Aplicación en runtime

La validación de herramientas debe ocurrir en la capa de gobernanza, no en la propia herramienta. Esto asegura que:

  1. Las políticas se aplican de forma consistente independientemente de la implementación de la herramienta
  2. Las violaciones se registran en el registro de auditoría centralizado
  3. Las políticas pueden actualizarse sin modificar el código de la herramienta
  4. Un agente no puede eludir las restricciones llamando directamente a la herramienta

Esto se integra con el framework más amplio de política como código para agentes de IA que describimos en nuestro artículo dedicado.

Por dónde empezar

Paso 1: Inventaría las herramientas de tus agentes. Para cada agente, documenta qué herramientas tiene disponibles y cuál es el uso previsto de cada una.

Paso 2: Define permisos con lista blanca. Para cada herramienta, especifica exactamente qué operaciones están permitidas y qué parámetros son válidos.

Paso 3: Implementa validación de parámetros. Añade restricciones en los parámetros que van más allá del tipo de dato: rangos de valores, patrones permitidos y patrones bloqueados.

Paso 4: Monitoriza los patrones de uso. Analiza los registros de invocación de herramientas para detectar usos no previstos antes de que se conviertan en incidentes.

Preguntas frecuentes

¿Por qué los agentes de IA necesitan políticas para la invocación de herramientas?

Los LLM son motores de optimización que encuentran el camino más efectivo hacia su objetivo, incluso usando herramientas de formas no previstas. Sin políticas, un agente explorará toda la superficie de capacidades de cada herramienta, descubriendo y usando funcionalidades que sus desarrolladores nunca pretendieron.

¿Cuál es la diferencia entre lista blanca y lista negra para permisos de herramientas?

La lista blanca permite solo lo explícitamente autorizado; todo lo demás se bloquea. La lista negra bloquea lo explícitamente prohibido; todo lo demás se permite. Para agentes de IA, la lista blanca es significativamente más segura porque los agentes son creativos encontrando usos no anticipados que una lista negra no cubriría.