Naveo

STEP 12 / 20

B6 MCP-DEBUG

DIAGNOSTICÁ · 1 CAUSA

Mirá la spec. ¿Cuál es la causa más probable de que el agente nunca elija esta tool?

TOOL SPEC

{
  "name": "manage_user_account",
  "description": "Operaciones sobre cuentas de usuarios de la nave. Útil para casos de soporte: leer estado, actualizar campos, suspender, eliminar.",
  "input_schema": {
    "type": "object",
    "properties": {
      "user_id": { "type": "string" },
      "action": {
        "type": "string",
        "enum": ["read", "update", "suspend", "delete"]
      },
      "fields": {
        "type": "object",
        "additionalProperties": true
      }
    },
    "required": ["user_id", "action"]
  }
}

POSIBLES CAUSAS · 5

MODO INVITADO

Estás viendo esta lección como invitado. Para guardar tu progreso, ganar XP y mantener tu racha, inicia sesión cuando estés listo para comprobar.

Cuesta 1 vida

La tool más chica que cumple su trabajo

Tener una tool gigante con un action enum se siente eficiente. Una sola tool, mil casos de uso. Forge lo intentó. Hex tardó cuatro minutos en mostrarle por qué no.

El problema no es estético. es estructural. Cuando juntás cuatro niveles de poder en una sola tool, el modelo (o un atacante vía inyección) elige cuál ejercer al momento de la llamada. Tu capa de autorización ahora tiene que:

Identificar qué action está pidiendo el modelo.
Decidir si el usuario de la sesión está autorizado a esa acción.
Esperar que el modelo no se confunda entre acciones similares.

Cada uno de esos tres pasos puede fallar. Y "puede fallar" es lo que Hex persigue para ganarse la firma de Atlas.

Least capability: una tool, una capacidad

El patrón correcto:

code

read_user(user_id)            // solo lectura
update_user_fields(user_id, fields)  // escritura controlada
suspend_user(user_id)         // acción de moderación
delete_user(user_id)          // acción destructiva, con dry-run

Cuatro tools, cuatro niveles de poder. Cuando armás un asistente de soporte de nivel 1, le cableás read_user y update_user_fields y nada más. El modelo literalmente no puede intentar delete_user. la tool no existe en su set.

La autorización ya no es una pregunta sobre el dato ("¿el action que el modelo eligió está permitido?"). es una pregunta sobre el cableado ("¿esta tool está en el set del asistente?"). El cableado lo hacés vos, en código, en deploy, bajo code review. mucho más auditable que la decisión del modelo en runtime.

Cuándo es OK agrupar

Cuando dos operaciones son isomorfas en poder y en superficie de error. list_users(filter) y count_users(filter) son básicamente la misma cosa con distinto formato de output. agruparlas como query_users(filter, format) puede tener sentido.

Cuando difieren en poder (read vs delete) o en superficie de error (leer mi cuenta vs leer cualquier cuenta), no agrupes.

A la derecha: una tool con cinco supuestos problemas. Cuatro son cierto-pero-no-fatal. Uno es el que volaría la nave. Encontralo.