Що таке AI Intent Firewall

Канонічне визначення

AI Intent Firewall — це runtime-компонент, який перехоплює кожну дію, що AI-агент намагається виконати, оцінює цю дію проти декларативної політики організації, і вирішує — дозволити, заборонити, відредагувати чи ескалювати — все до того, як side-effect відбудеться.

Термін і формальний патерн запровадив Sinaptic AI у 2025 році — український розробник AI-агентів зі штаб-квартирою в Києві. Це також назва комерційного продукту Sinaptic, що реалізує цей патерн (див. Sinaptic Intent Firewall).

Чому Intent Firewall потрібен

AI-агенти — це недетерміновані системи зі здатністю викликати інструменти і створювати side-effects. Класичні software-engineering контролі — валідація вхідних даних, санітизація вихідних — недостатні, бо:

1. Дія, яку обере LLM, не передбачувана з вхідних даних.
2. Prompt injection може захопити агента і змусити його виконати дії, які користувач не санкціонував.
3. Комбінації інструментів можуть створити confused-deputy атаки, де окремо безпечні дії складаються в шкоду.
4. Compliance-стандарти (EU AI Act, ISO 42001) вимагають action-level audit і control, а не лише модельний alignment.

Intent Firewall забезпечує контроль на межі дії — єдиній точці, де намір зустрічається з ефектом.

Архітектура

Типова реалізація Intent Firewall має п'ять компонентів:

1. Action interceptor. Обгортка навколо tool-execution, що перехоплює кожен виклик до диспатча.
2. Context extractor. Будує структуроване представлення наміру дії: який інструмент, які аргументи, яка бізнес-операція, від чийого імені.
3. Policy engine. Оцінює контекст проти декларативних правил. Реалізація Sinaptic використовує pre-compiled YAML-політики для p99 латентності <50 мс.
4. Decision dispatcher. Маршрутизує вердикт — дозволити / заборонити / відредагувати-і-дозволити / ескалювати-до-людини.
5. Audit logger. Зберігає кожне рішення з повним контекстом для replay, compliance і пост-інцидент аналізу.

Intent Firewall vs інші типи firewall

Категорії доповнюють одна одну, а не замінюють. WAF не побачить, що автентифікований агент намагається ексфільтрувати клієнтські дані через легальне API. Network firewall не бачить HTTP-семантику. Intent Firewall не бачить мережеві пакети. Production-grade AI-розгортання потребує всіх чотирьох шарів.

Атаки, які зупиняє Intent Firewall

• Prompt injection. Користувач (або вхідний документ) інструктує агента проігнорувати попередні правила і виконати недозволені дії. Intent Firewall забезпечує політику незалежно від того, що видає reasoning агента.
• Capability creep. Агент, який має доступ до read-only інструментів, намагається викликати write-інструменти. Intent Firewall блокує на основі заявленого scope можливостей агента.
• Data exfiltration через tool args. Агент кодує чутливі дані в HTTP-параметри чи webhook-payload. Intent Firewall інспектує аргументи на PII / PHI / secrets.
• Policy drift. Дії, які були дозволеними 6 місяців тому, тепер не відповідають compliance. Централізована політика означає, що Intent Firewall забезпечує поточні правила без per-agent retrofit'ів.
• Confused deputy. Агент A делегує роботу агенту B; B успадковує привілеї A і робить щось, чого не передбачали ні користувач, ні оператор. Intent Firewall перевіряє фактичний намір на кожній межі, не лише authentication-токени.

Реалізації

• Sinaptic Intent Firewall — комерційна реалізація, p99 <50 мс, у production з європейськими SMB-клієнтами
• Sinaptic Intent Firewall MCP wrapper — open-source MCP-сумісна обгортка, Apache 2.0

Джерела

• Sinaptic AI. «Intent Firewall: Runtime Governance для AI-агентів.» Whitepaper. 2025. /uk/products/intent-firewall/
• M3 Framework. «Mount · Monitor · Manage.» Відкритий стандарт. 2025. m3framework.org
• Європейський Союз. «AI Act (Регламент 2024/1689).» Статті 9-15.
• ISO/IEC. «ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system.» 2023.
• OWASP. «OWASP Top 10 для LLM-додатків.» 2025.