Как Anthropic переизобрела права доступа для командного ИИ: агентская идентичность Claude Tag

Что нового

Anthropic запустила новый способ работы Claude Tag с корпоративными инструментами — agent identity (агентская идентичность).

Ключевые изменения:

• Отказ от схемы «действовать от имени пользователя» в командных сценариях. Claude больше не использует личные аккаунты сотрудников в общих каналах.
• Отдельная «личность» агента на уровне рабочего пространства и каналов. У Claude есть собственные сервисные аккаунты в Slack, GitHub, дата-складе и других системах.
• Разделение доступа по «компартаментам»: у каждого канала — свой профиль прав и контекста. Публичные каналы используют общую identity рабочего пространства, приватные — отдельную.
• Наследование прав: администратор задаёт базовый профиль для всего workspace, каналы наследуют его и при необходимости получают расширения или ограничения.
• Разные модели доступа для каналов и личных сообщений:
  • в каналах Claude действует как сервис (agent identity);
  • в личке — как персональный ассистент с вашими коннекторами и учёткой claude.ai.
• Полный аудит действий агента: логируются все рутины, записи в память и сетевые запросы, причём в двух местах — в Anthropic и в подключённых сервисах (через сервисные аккаунты Claude).
• Планируемые функции безопасности: разовые (just‑in‑time) выдачи чувствительных прав и «identity-aware» надстройка для сложных матриц доступа, где учитываются и права канала, и права конкретного пользователя.

Числовых бенчмарков по скорости или стоимости Anthropic не приводит, но даёт важную метрику: длина задач, которые агент может надёжно выполнять автономно, удваивается примерно каждые 4 месяца. Именно под такую автономность и строится новый доступ.

Как это работает

Базовая идея: агент как отдельный участник системы

В «одиночной» схеме (один пользователь — один ассистент) всё просто: вы подключаете Google Drive, GitHub, календарь, и ИИ действует с вашими правами. Claude Tag живёт в общем Slack‑канале вместе с командой, и здесь эта логика ломается.

Anthropic вводит другой принцип: «что может сделать агент в этом компартменте?», а не «что может сделать конкретный пользователь».

• В Slack Claude пишет от имени приложения Claude, а не конкретного сотрудника.
• В GitHub он открывает pull request как Claude GitHub App, а не как чей‑то личный аккаунт.
• При работе с дата‑складом использует сервисный аккаунт, который администратор явно привязал к профилю канала.

Личные токены и учётки сотрудников в этой схеме не участвуют, поэтому общий канал не превращается в обходной путь к приватным документам.

Наследование и переопределение прав

Администратор настраивает workspace‑identity — базовый набор того, что Claude умеет и куда имеет доступ по умолчанию:

• соединения с внешними сервисами (коннекторы и API‑ключи);
• список репозиториев, к которым разрешено чтение и/или запись;
• набор «скиллов» и плагинов — папки с инструкциями, скриптами и ресурсами для спецзадач;
• постоянные инструкции и контекст для разных типов задач.

Дальше каждый канал наследует это всё и может получить свою надстройку:

• инженерный канал — доступ к GitHub и дата‑складу;
• приватный канал продаж — доступ только к CRM;
• общий канал —, например, read‑only к хранилищу данных и внутренней документации.

Если администратор отключает или отзывает эту identity, доступ Claude исчезает сразу во всех местах, где она использовалась. Не нужно разбирать десятки личных токенов.

Границы идентичности и память

Claude Tag создаёт отдельную identity для каждого приватного канала. Публичные каналы в одном workspace делят общую identity.

Это даёт жёсткие границы:

• Claude в юридическом приватном канале не видит код, который не был туда явно «принесён» правами.
• Claude в инженерном канале не читает юридические документы, к которым у него нет доступа в профиле этого канала.
• Память и контекст не перетекают: информация, которую агент «запомнил» в приватном канале, не всплывёт в другом канале или во всём workspace.

Identity принадлежит каналу, а не пользователю. Любой участник канала по умолчанию может тегнуть Claude. На Enterprise‑тарифах администратор может включить RBAC и задать, кто вообще имеет право вызывать Claude в канале.

Как устроены соединения и безопасность

Когда администратор добавляет подключение к профилю канала:

1. Учётные данные сохраняются отдельно и привязываются к identity канала.
2. При запросе к внешнему сервису Claude получает эти креды на границе сети — ровно на время запроса.
3. Любой исходящий запрос к хосту, который не разрешён администратором, блокируется.

Каждое действие агента с сервисными учётками:

• логируется на стороне Anthropic (рутины, запись в память, сетевые вызовы);
• попадает в логи самих сервисов (Slack, GitHub, дата‑склад), потому что там Claude выступает как отдельный сервисный аккаунт.

Личные сообщения vs каналы

В личных сообщениях логика другая:

• Claude работает через ваш личный аккаунт claude.ai;
• использует ваши коннекторы и токены;
• в логах внешних сервисов действия идут от вашего имени.

Это удобный слой для задач и инструментов, которые не должны жить в канале:

• черновики email;
• документы в личном Google Drive;
• софт с индивидуальной лицензией.

Что это значит для вас

Для чего это хорошо работает

1. Командная разработка и DevOps

   • Claude в инженерном канале читает репозитории, открывает PR через свой GitHub App, комментирует код.
   • Может поднимать цепочку: обсуждение в Slack → код в GitHub → тикет в трекере → запрос в дата‑склад.

2. Работа с продуктом и аналитикой

   • В продуктовых каналах агент тянет данные из трекера задач, документации, дата‑склада.
   • Даёт ответы, которые ни один отдельный инструмент не соберёт: кусок обсуждения из Slack + спецификация из документа + метрики из склада.

3. Юридические и финансовые команды

   • В приватных каналах можно дать доступ только к нужным папкам и системам.
   • Identity канала отрезана от общего workspace, память не утекает наружу.

4. Корпоративные среды с жёсткой безопасностью

   • Администратор управляет доступом централизованно, без раздачи личных токенов сотрудникам.
   • При необходимости быстро «обрубает» доступ агента одним действием.

5. Долгие автономные процессы

   • Anthropic прямо говорит: длина задач, которые агент может автономно тянуть, удваивается каждые ~4 месяца.
   • Claude может сам планировать рутины, реагировать на события, работать, когда автор запроса уже офлайн.
   • Agent identity позволяет делать это без привязки к одной «жертве» с максимальными правами.

Где лучше не использовать

1. Суперчувствительные действия здесь и сейчас

   • Пока нет just‑in‑time прав, лучше не отдавать агенту постоянный доступ к операциям вроде перевода денег или массового удаления данных.
   • Anthropic планирует разовые подтверждения на уровне пользователя, но это ещё в планах.

2. Персональные вещи

   • Черновики писем, личные заметки, файлы, к которым не должен иметь доступ никто, кроме вас.
   • Для этого лучше использовать личные чаты с Claude, где он действует от вашего имени и с вашими правами.

3. Организации, которые не готовы к централизованному управлению правами

   • Agent identity раскрывает потенциал, когда есть администратор, который реально управляет коннекторами и профилями каналов.
   • Если этого нет, можно банально не использовать возможности системы или, наоборот, дать лишнего.

Практический совет по внедрению

Anthropic сама обкатывала Claude Tag внутри компании и советует такой маршрут:

1. Создайте базовый профиль для нескольких ключевых каналов: минимум безопасных интеграций (например, внутренняя документация и read‑only доступ к складу).
2. Понаблюдайте за аудит‑логами: какие запросы делает агент, какие данные реально использует.
3. Постепенно расширяйте доступ, когда видите реальную пользу: добавляйте GitHub, CRM, трекер задач, давайте write‑доступ там, где это оправдано.
4. Используйте RBAC на Enterprise, чтобы ограничить, кто вообще может тегать Claude в чувствительных каналах.
5. Разведите зоны ответственности:
   • каналы — для командной работы агента с agent identity;
   • личные сообщения — для персональных задач и инструментов.

Доступность и Россия

Claude Tag — корпоративный продукт Anthropic, интегрированный, в том числе, со Slack. Для работы может потребоваться доступ к зарубежным сервисам. Если ваша компания ограничена в выходе в зарубежные облака или использует корпоративный VPN, это придётся учитывать при планировании внедрения. Отдельной российской версии Claude Tag Anthropic не анонсировала.

Место на рынке

Anthropic решает задачу, с которой уже столкнулись все крупные игроки, делающие «агентов» для команд: как дать ИИ доступ к реальным инструментам компании и при этом не превратить его в дыру в безопасности.

По подходу agent identity ближе к сервисным аккаунтам и RBAC в классических корпоративных системах, чем к привычным «чат‑ботам».

Что можно сказать по сравнению с общим полем решений:

• Многие ассистенты до сих пор работают по схеме: пользователь подключает свои аккаунты, а агент действует от его имени. Для командного сценария это создаёт конфликт прав и риск утечек.
• Anthropic уводит права на уровень канала и workspace, а не человека. Это больше похоже на то, как настраивают CI/CD или сервисные интеграции.
• Отдельный плюс — чёткое разделение:
  • каналы: agent identity, сервисные аккаунты, централизованный аудит;
  • личные чаты: персональные коннекторы и аккаунт claude.ai.

Anthropic не публикует сравнения по скорости или стоимости Claude Tag относительно, например, ассистентов на базе GPT‑4o или других корпоративных агентов. Статья фокусируется именно на модели доступа и безопасности, а не на производительности.

С точки зрения архитектуры прав доступа agent identity выглядит как шаг к тому, чтобы ИИ‑агенты стали обычной частью корпоративной инфраструктуры — с теми же принципами compartmentalization, что и у других сервисов.

Что дальше

Anthropic уже наметила следующие шаги для Claude Tag:

• Just‑in‑time выдача прав: пользователь одобряет конкретное чувствительное действие в моменте, не расширяя навсегда область прав агента.
• Identity‑aware надстройка для сложных структур доступа: Claude сможет действовать только если и профиль канала, и личные права пользователя позволяют операцию.

Цель — сделать так, чтобы переход от «одиночной» работы с ИИ к многопользовательским, долгим по времени процессам в командах не ломал ни безопасность, ни здравый смысл.

---

Материал основан на статье Noah Zweben, инженера команды Claude Code в Anthropic.

---

Читайте также

• Алиса AI научилась бронировать рестораны и салоны прямо в чате: как это работает и кому пригодится
• Cloudflare обновила стек Workers: меньше падений wrangler, аккуратная работа с Uint8Array и новый пакет autoconfig
• Как срезать лишние инструменты MCP через Azure API Management