Human-in-the-Loop: Bezpečná autonomie pro enterprise

Pro citlivé domény jako právo a účetnictví představuje plně autonomní exekuce riziko odpovědnosti. V regulovaných odvětvích nemůže AI agent samostatně provádět finanční transakce, podepisovat smlouvy nebo odesílat právní dokumenty bez lidského dohledu.

LangGraph přistupuje k lidem jako k dalšímu uzlu nebo 'přerušení' (interrupt) v grafu. Toto elegantní řešení umožňuje definovat přesně, kde je lidský zásah vyžadován, aniž by se narušil tok automatizace pro rutinní operace.

Aspekt 'Audit & Process Agency' závisí na prokázání, že tyto systémy jsou bezpečné a v souladu s regulacemi. Human-in-the-Loop není jen technická funkce – je to právní a compliance požadavek.

Vývojáři mohou definovat body přerušení před kritickými uzly – 'Vykonat bankovní převod', 'Odeslat právní výzvu', 'Smazat záznamy'. Graf pozastaví vykonávání, uloží stav a čeká na schválení nebo vstup člověka přes API.

Systém odešle notifikaci (Slack, Email, Teams) s kontextem rozhodnutí. Operátor vidí co agent navrhuje a proč. Schválení nebo zamítnutí se provádí přes API volání s {"approved": true/false}.

Mezitím může jiný agent pokračovat v práci na nezávislých úlohách. Workflow není blokován – pouze konkrétní větev čeká na lidský vstup.

Lidský operátor může nejen schválit akci, ale také modifikovat stav – editovat návrh e-mailu vygenerovaný agentem, opravit extrahovaná data, doplnit chybějící informace. Graf potom pokračuje s upraveným stavem.

Tato schopnost přemosťuje propast mezi automatizací a dohledem. Agent odvede 95% práce, člověk validuje a případně doladí zbývajících 5%. Výrazná úspora času při zachování kontroly.

Každá změna je zaznamenána v audit logu – kdo, kdy, co změnil. Pro compliance a právní účely je tato sledovatelnost kritická.

Pro autonomní agenty je exekuce kódu nejvyšším rizikem. Agent nikdy nesmí spouštět kód přímo na hostitelském serveru. Nástroje jako E2B nebo Docker kontejnery poskytují izolované prostředí pro bezpečnou exekuci.

Sandbox má omezený přístup k síti, souborovému systému a systémovým zdrojům. I kdyby vygenerovaný kód obsahoval chybu nebo škodlivou logiku, nemůže ovlivnit produkční systémy.

Pro MCP nástroje platí princip nejmenších privilegií: Agent může mít povolení číst z produkční databáze, ale pouze zapisovat do staging databáze. Granulární oprávnění pro každý nástroj.

Implementace 'Middleware na moderování obsahu' v rámci uzlů LangGraph skenuje vstupy a výstupy pro únik PII nebo útoky prompt injection před tím, než se dostanou k jádrové logice.

Nástroje jako LlamaGuard nebo Microsoft Presidio detekují a maskují citlivé údaje – jména, čísla kreditních karet, e-maily, rodná čísla. Před odesláním textu externímu LLM je provedeno maskování, odpověď je následně odmaskována před zobrazením uživateli.

Guardrails chrání i proti prompt injection útokům, kde se útočník pokouší manipulovat agenta přes uživatelský vstup. Defense-in-depth přístup s více vrstvami kontroly.

Pro high-stakes akce lze vyžadovat vícenásobné schválení. Platba nad 10 000 € vyžaduje schválení manažera i finančního ředitele. Právní dokument vyžaduje review právníka před odesláním.

Eskalační procedury definují co se stane při timeout – automatické zamítnutí, eskalace na vyšší úroveň, nebo pozastavení s alertem. SLA pro odpovědi zajišťují, že workflow nezůstane viset neomezeně dlouho.

Kompletní audit trail umožňuje zpětnou analýzu rozhodnutí. Kdo schválil, kdy, jaký byl kontext, jaké byly alternativy. Pro regulované odvětví je toto mandatorní.

V LangGraph je HITL implementován přes speciální uzly 'interrupt'. Před kritickou akcí graf zavolá interrupt, který serializuje aktuální stav a odešle ho do fronty čekající na schválení.

Webhook nebo polling API čeká na odpověď. Po přijetí schválení se stav obnoví a graf pokračuje. Při zamítnutí se aktivuje alternativní větev (notifikace uživateli, logování, rollback).

Celý mechanismus je transparentní – žádná skrytá logika, všechno je explicitně definované v topologii grafu. Ladění a úpravy jsou přímočaré.