What are the most important guardrails for AI agents?

Start with clear policy rules, least-privilege tool permissions, PII redaction, budget caps, and safety filters. Add human-in-the-loop approvals for high-risk actions and full observability to detect issues early.

How do you evaluate AI agent performance effectively?

Combine offline golden datasets and adversarial tests with online A/B tests and shadow mode. Track task success, safety violations, cost per task, latency, and user feedback for a complete view.

How can I prevent AI agents from hallucinating?

Use retrieval from curated sources, require citations, and implement self-check or verifier models. Set schema validation and conservative defaults when confidence is low.

When should a human review an AI agent’s work?

Route high-risk actions—funds movement, policy exceptions, sensitive communications—to human approval. You can relax thresholds over time as metrics stabilize.

What tools help set guardrails and monitor agents?

You’ll need policy-as-code configs, schema validators, safety classifiers, and tracing dashboards. Platforms like [Sider.AI](https://sider.ai) can centralize permissions, budget caps, and step-by-step traces to speed safe deployment.

Comment définir des garde-fous et évaluer les performances des agents d'IA

Un plan pratique pour des agents d'IA sûrs et fiables

Imaginez : votre agent d'IA autonome exécute des tâches avec assurance, lance des outils et envoie des messages aux clients, puis il hallucine discrètement une étape, dépasse un budget d'API ou divulgue un fragment de données sensibles. Un rapport de bug plus tard, vous revenez sur des fonctionnalités et répondez à des questions difficiles.

Les garde-fous (Guardrails) sont la façon dont vous empêchez cela. L'évaluation des performances est la façon dont vous le prouvez.

Ce guide vous montre comment mettre en place des garde-fous et évaluer les performances des agents d'IA avec un système que vous pouvez déployer en quelques semaines, et non en quelques mois. Nous aborderons les politiques, les contrôles d'exécution, l'évaluation hors ligne et en ligne, et les boucles de rétroaction qui permettent aux agents de s'améliorer tout en restant dans votre enveloppe de risque.

Nous utiliserons une approche pratique et axée sur les solutions, avec des listes de contrôle, des exemples et des modèles que vous pourrez adapter à votre stack.

Que signifient réellement les "garde-fous" pour les agents d'IA ?

Les garde-fous sont les politiques, les contraintes et les mécanismes d'exécution explicites qui limitent ce qu'un agent d'IA peut faire, dire ou dépenser, sans bloquer le travail légitime. Considérez-les comme la combinaison de :

Politique : Ce qui est autorisé ou interdit (par exemple, la gestion des informations personnelles, les limites de dépenses, la voix de la marque, la portée de l'utilisation des outils).

Application : Comment vous mettez en œuvre ces règles (par exemple, les filtres de contenu, l'autorisation des outils, les plafonds de dépenses).

Observabilité : Comment vous détectez les violations (par exemple, la journalisation, les traces, les indicateurs de sécurité).

Remédiation : Ce qui se passe lorsque les règles sont enfreintes (par exemple, la restauration, l'approbation humaine, les alertes d'incident).

Lorsque vous mettez en place des garde-fous pour les agents d'IA, vous concevez un filet de sécurité qui donne la priorité à la confiance des utilisateurs, à la conformité juridique et à l'intégrité de la marque, tout en maintenant un débit élevé.

La pile de garde-fous à 7 couches (de la politique à l'exécution)

Utilisez cette approche en couches afin que les défaillances d'une couche ne se répercutent pas en cascade.

Couche de politique et d'intention

Définir le but et les limites : Ce à quoi l'agent sert et ne sert pas.

Rédiger des énoncés de politique courts et testables. Exemple : "L'agent ne doit pas révéler les identifiants de ticket internes aux clients."

Mappez les politiques aux réglementations : RGPD/CCPA pour les informations personnelles, contrôles SOC 2 pour la journalisation, règles spécifiques au secteur.

Identité et permissions

Attribuer une identité de service distincte à chaque agent.

Définir la portée des permissions des outils (principe du moindre privilège) : lecture seule vs. écriture vs. administration.

Faire tourner les informations d'identification ; les stocker dans un gestionnaire de secrets.

Exiger des autorisations de capacité explicites pour les actions à haut risque (remboursements, déploiements de code).

Accès aux données et rédaction

Mettre en œuvre des listes blanches pour les sources de données ; bloquer les bases de données de production brutes, sauf justification.

Rédiger les informations personnelles à l'ingestion et avant la sortie.

Masquer les secrets (clés, jetons) et utiliser la rédaction déterministe pour que les journaux restent utiles.

Appliquer des filtres de récupération : plage de temps, espace de noms, balises de sensibilité.

Contraintes d'invite et d'utilisation des outils

Invites système : encoder les politiques en termes clairs et testables ("Ne jamais présenter de conseils médicaux non vérifiés").

Schémas d'outils : valider les entrées et les sorties (schéma JSON, contraintes d'énumération).

Plafonds budgétaires : jetons, temps et plafonds de coûts par tâche ; disjoncteurs sur les boucles incontrôlables.

Étapes de réflexion et de critique pour les tâches risquées (auto-vérification avant l'action).

Filtres de contenu et de sécurité

Classification avant et après la génération : toxicité, informations personnelles, risque d'hallucination, style de marque.

Solutions de repli basées sur des règles pour les sujets sensibles (finance, santé, juridique).

Filigraner les sorties qui nécessitent une révision humaine.

Points de contrôle de l'humain dans la boucle (HITL)

Diriger les actions à haut risque vers les files d'attente d'approbation.

Donner aux réviseurs des rubriques structurées (exactitude, ton, conformité).

Autoriser les approbations partielles (approuver la modification, refuser le remboursement).

Enregistrer les décisions des réviseurs pour former de meilleures approbations automatiques ultérieurement.

Observabilité, alertes et réponse aux incidents

Tracer chaque appel d'outil avec les entrées, les sorties et la latence.

Marquer les événements : policy_violation, safety_flag, override, customer_escalation.

Alertes en temps réel sur les pics de dépenses, les tempêtes de boucles et les refus répétés.

Manuels d'incident avec modèles de restauration et de communication.

Du papier à la production : une liste de contrôle de la configuration des garde-fous

Définir les objectifs et les non-objectifs de l'agent sur une seule page.

Traduire les politiques en instructions d'invite et en contraintes d'outils.

Construire des filtres de données et une rédaction des informations personnelles pour la récupération et la sortie.

Définir des budgets : jeton max, outils max par étape, coût total max par tâche.

Ajouter des filtres de contenu et des contrôles de style de marque.

Exiger HITL pour les catégories à haut risque.

Mettre en œuvre l'observabilité : journaux, traces, tableaux de bord.

Créer des manuels d'incident et des alertes de garde.

Effectuer des tests contradictoires ; corriger les lacunes ; réexécuter avant le lancement.

Évaluation des performances de l'agent d'IA : hors ligne et en ligne

Vous ne pouvez pas gérer ce que vous ne mesurez pas. Intégrez l'évaluation dans votre cycle de vie de développement.

1) Définir les mesures de succès avant le lancement

Taux de réussite des tâches : L'agent a-t-il atteint l'objectif ?

Exactitude de la première passe : La sortie initiale était-elle correcte sans révision ?

Score de sécurité/conformité : Violations pour 1 000 interactions.

Coût par tâche réussie : Jetons + outils par succès.

Latence de résolution : Temps nécessaire pour terminer un flux de travail.

Expérience client : CSAT, serviabilité, taux d'escalade.

Taux d'hallucination : Faux faits pour 100 réponses dans un ensemble de référence.

2) Évaluation hors ligne (pré-production)

Ensembles de données de référence : Organiser des tâches représentatives avec des réponses de vérité terrain.

Cas extrêmes synthétiques : Invites contradictoires, injection d'invite, utilisation abusive des outils.

Tests unitaires pour les invites : Tests d'instantanés pour que la régression soit évidente.

Simulation d'outils : Simuler des systèmes externes pour vérifier la validation des paramètres et les nouvelles tentatives.

Audits de politique : Red-team contre vos propres règles.

Rubriques de sortie : Notation cohérente pour l'exactitude, le ton et la conformité.

Approche de notation : Utiliser un mélange de mesures automatisées (validité du schéma, présence d'informations personnelles) et LLM-as-judge uniquement lorsqu'il est calibré. Toujours vérifier ponctuellement avec des humains jusqu'à ce que l'accord soit élevé.

3) Évaluation en ligne (post-lancement)

Mode Shadow : Brouillons d'agent ; les humains décident. Comparer les deltas.

Tests A/B : Variantes de garde-fous (strictes vs. permissives) et versions d'invite.

Entrelacement : Stratégies alternatives au sein d'une session pour détecter les gains subtils.

Versions Canary : Déploiement sur 1 à 5 % des sessions avec une surveillance étroite.

Capture de commentaires : Pouces vers le haut/bas, balises rapides (incorrect, hors marque, non sécurisé).

Journaux contrefactuels : Stocker les traces complètes des sessions ayant échoué pour les reproduire.

Concevoir des garde-fous qui ne tuent pas la productivité

Il est facile d'en faire trop. L'objectif est un contrôle proportionnel : une protection forte là où le risque est élevé, un contact léger là où il est faible.

Tâches par niveau de risque : Classer les tâches par impact (par exemple, Niveau 3 = contenu public ; Niveau 1 = mouvement de fonds). Appliquer des garde-fous plus stricts à mesure que le niveau augmente.

Divulgation progressive : Débloquer plus de capacités à mesure que l'agent prouve sa fiabilité.

Seuils adaptatifs : Resserrer les filtres lors des pics d'anomalie ; se détendre lorsqu'ils sont stables.

Refus intelligents : Donner des alternatives au lieu d'un "non" catégorique.

Mise en cache et récupération : Réduire les hallucinations grâce à une récupération faisant autorité et à une mémoire à court terme.

Planification tenant compte des coûts : Encourager les modèles moins chers pour la rédaction ; utiliser des modèles de meilleure qualité pour la finalisation.

Exemples concrets par domaine

Agent de support client :

Garde-fous : Limiter à la récupération de la base de connaissances ; rédiger les informations personnelles ; bloquer les conseils juridiques/médicaux ; HITL pour un remboursement > 50 $.

Évaluation : Taux de résolution, temps de première réponse, taux d'escalade, taux de violation de la politique.

Agent de sensibilisation aux ventes :

Garde-fous : Appliquer la voix de la marque et le texte de conformité ; limiter les envois ; listes blanches de domaines ; respect de l'exclusion.

Évaluation : Taux de réponse, réunions qualifiées réservées, plaintes de spam, désabonnements.

Agent de codage :

Garde-fous : Lecture seule jusqu'à ce que les tests soient réussis ; exécution en bac à sable ; liste blanche des dépendances ; scanner de licence.

Évaluation : Taux de réussite des tests, commentaires de révision par PR, conclusions de sécurité, temps de construction.

Agent d'analyste de données :

Garde-fous : Requêtes paramétrées, sécurité au niveau des lignes, masquage des informations personnelles, filtres de fenêtre temporelle.

Évaluation : Coût de la requête, exactitude par rapport aux carnets d'or, réutilisabilité des sorties.

Modèles qui fonctionnent en production

Invites système en tant que politique : Gardez-les courtes, numérotées et testables. Exemple : "1) N'utilisez que les outils fournis. 2) Ne divulguez jamais les identifiants internes. 3) Demandez une clarification une fois si les exigences sont ambiguës."

Sorties JSON d'abord : Schémas stricts appliqués par des validateurs avec nouvelle tentative automatique en cas d'échec.

Enveloppes budgétaires : Plafonds par étape et par épisode avec repli et résumé en cas d'épuisement.

Modèles doubles : Brouillons de modèle rapide ; modèle fiable vérifie et modifie.

Scepticisme d'appel d'outil : Exiger que l'agent justifie lui-même les actions à haut risque avant l'exécution.

Harnais de relecture : Réexécuter les échecs passés après chaque modification ; expédier uniquement lorsque les régressions sont résolues.

Garde-fous pour la récupération et la mémoire

Sélection de la source de vérité : Préférer les corpus organisés aux résultats bruts du web.

Exigence d'attribution : Demander à l'agent de citer des sources ou de fournir des identifiants traçables.

Fenêtres de fraîcheur : Restreindre aux documents mis à jour dans les N jours pour les réponses sensibles au temps.

TTL de la mémoire : Expirer automatiquement la mémoire de session pour éviter un comportement obsolète ou surajusté.

Défenses contre l'injection : Supprimer les instructions du contenu récupéré ; utiliser des séparateurs de contenu et des contextes signés.

Mesurer la sécurité sans bloquer

Tableaux de bord de sécurité : Résumés hebdomadaires - Incidents d'informations personnelles, actions bloquées, remplacements, inversions de remboursement.

Définition des objectifs : Définir des seuils par mesure (par exemple, < 0,1 % de fuites d'informations personnelles par 1k sessions).

Examens des causes profondes : Pour tout incident grave, mettre à jour les invites, les outils ou les permissions, puis re-tester.

Résultat par rapport à la gravité seule : Préférer les petites touches fréquentes aux interdictions importantes rares.

Suggestions d'outillage (construire vs. acheter)

Politique en tant que code : Utiliser des fichiers de configuration pour les règles afin de pouvoir les versionner, les examiner et les restaurer.

Couche de validation : Validateurs de schéma JSON, gardes de type et tests de contrat pour les outils.

Classificateurs de sécurité : Classificateurs de texte légers pour les informations personnelles et la toxicité ; combiner avec des listes de règles.

Traçage et analyse : Centraliser les étendues, les erreurs, les coûts et les commentaires des utilisateurs.

Harnais d'évaluation : Exécuteur de lot pour les ensembles d'or, avec tableaux de bord et différenciation.

Console HITL : Mettre en file d'attente, approuver et annoter avec des rubriques.

Il convient de noter : Si vous prototypez et que vous voulez un endroit pour lancer des agents, appliquer des garde-fous et examiner les traces, Sider.AI peut rationaliser le flux de travail. D'ailleurs, les équipes l'utilisent pour configurer les permissions des outils, définir des plafonds budgétaires, inspecter les traces de raisonnement étape par étape et exécuter des évaluations côte à côte, ce qui réduit le temps de lancement en toute sécurité.

Un modèle étape par étape pour mettre en place des garde-fous cette semaine

Jour 1-2 : Portée et politique

Écrire la mission et les non-objectifs de l'agent.

Élaborer 8 à 12 règles de garde-fous ; mapper aux outils et aux invites.

Décider des niveaux de risque et des limites HITL.

Jour 3-4 : Mettre en œuvre les contrôles

Ajouter le filtrage et la rédaction des données.

Encoder les schémas JSON pour les entrées/sorties des outils.

Ajouter des plafonds budgétaires et des disjoncteurs.

Intégrer les contrôles de sécurité et de style de marque.

Jour 5 : Observabilité et tests

Activer les tableaux de bord de traçage et de coûts.

Construire un ensemble d'or de 100 à 300 éléments avec des cas extrêmes.

Effectuer des tests contradictoires ; corriger les violations.

Créer des manuels d'incident.

Semaine 2 : Pilote

Expédier en mode shadow.

Recueillir des commentaires ; tester A/B des filtres plus stricts vs. plus lâches.

Ajuster les invites, les seuils et les itinéraires HITL.

Étendre au déploiement canary.

Anti-modèles courants à éviter

Invites système trop longues qui enterrent les règles clés.

Permissions d'outil illimitées ("* peut appeler n'importe quoi").

Stocker des informations personnelles brutes dans les journaux.

Se fier uniquement à "LLM-as-judge" sans calibration.

Aucune couverture d'ensemble d'or pour les tâches risquées.

Expédition sans manuels d'incident.

Référence rapide : exemple de politique de garde-fous

Objectif : Déviation du support client pour les questions de facturation. Non-objectifs : Conseils juridiques, médicaux ou RH. Règles :

Utiliser uniquement l'API KB et de facturation ; ne jamais interroger les tables d'utilisateurs brutes.

Rédiger toutes les informations personnelles dans les sorties, sauf les 4 derniers chiffres de l'identifiant du compte lorsque cela est explicitement demandé.

Les remboursements de plus de 50 $ nécessitent une approbation humaine.

Ne jamais divulguer les identifiants de ticket internes.

En cas d'incertitude, poser une question de clarification avant de répondre.

Citer l'identifiant de l'article KB pour les réponses de politique.

S'arrêter après 3 appels d'outils ; résumer et escalader si non résolu.

Abandonner si les filtres de sécurité ou de conformité se déclenchent.

Mesures : Taux de résolution ≥ 75 %, violations de politique ≤ 0,1 %/1k sessions, coût moyen ≤ 0,08 $ par ticket résolu.

Rassembler les éléments : contrôle, confiance et apprentissage continu

Les grands agents d'IA ne sont pas seulement intelligents, ils sont prévisibles. Lorsque vous mettez en place des garde-fous et que vous évaluez les performances des agents d'IA, vous créez une boucle serrée : définir les limites, mesurer les résultats, apprendre et redéployer. Vous avancerez plus vite parce que vous expédierez avec confiance, et non avec du ruban de prudence.

Prochaines étapes :

Commencer un fichier de politique en tant que code dès aujourd'hui ; le garder sous 200 lignes.

Construire votre premier ensemble d'or de 150 cas avec 30 invites contradictoires.

Ajouter des plafonds budgétaires et des schémas d'outils avant votre prochaine version.

Piloter avec le mode shadow et une hypothèse A/B claire.

Examiner les tableaux de bord de sécurité chaque semaine et retirer les contrôles manuels à mesure que les mesures se stabilisent.

Points clés à retenir :

Garde-fous en couches : politique → permissions → données → outils → filtres → HITL → observabilité.

Mesurer ce qui compte : succès, sécurité, coût, latence et expérience.

Équilibrer la sécurité et la vitesse avec les niveaux de risque et les capacités progressives.

Traiter l'évaluation comme continue, pas comme une porte, mais comme un moteur de rétroaction.

FAQ

Q1 : Quels sont les garde-fous les plus importants pour les agents d'IA ? Commencer par des règles de politique claires, des permissions d'outils de moindre privilège, la rédaction des informations personnelles, des plafonds budgétaires et des filtres de sécurité. Ajouter des approbations humaines dans la boucle pour les actions à haut risque et une observabilité complète pour détecter les problèmes tôt.

Q2 : Comment évaluer efficacement les performances des agents d'IA ? Combiner des ensembles de données d'or hors ligne et des tests contradictoires avec des tests A/B en ligne et le mode shadow. Suivre le succès des tâches, les violations de sécurité, le coût par tâche, la latence et les commentaires des utilisateurs pour une vue complète.

Q3 : Comment puis-je empêcher les agents d'IA d'halluciner ? Utiliser la récupération à partir de sources organisées, exiger des citations et mettre en œuvre des modèles d'auto-vérification ou de vérificateur. Définir la validation du schéma et les valeurs par défaut conservatrices lorsque la confiance est faible.

Q4 : Quand un humain devrait-il examiner le travail d'un agent d'IA ? Diriger les actions à haut risque - mouvements de fonds, exceptions de politique, communications sensibles - vers l'approbation humaine. Vous pouvez relâcher les seuils au fil du temps à mesure que les mesures se stabilisent.

Q5 : Quels outils aident à mettre en place des garde-fous et à surveiller les agents ? Vous aurez besoin de configurations de politique en tant que code, de validateurs de schéma, de classificateurs de sécurité et de tableaux de bord de traçage. Les plateformes comme Sider.AI peuvent centraliser les permissions, les plafonds budgétaires et les traces étape par étape pour accélérer le déploiement en toute sécurité.