API

Если ты хоть раз пользовался окошком drive-thru, ты уже понимаешь API.

У твоего AI нет рук. Он не может залогиниться в твои приложения, нажимать кнопки или заполнять формы за тебя. Но ему это и не нужно. У Shopify есть API. У Klaviyo есть API. У Slack, Stripe, Google Calendar, Notion. Почти у каждого приложения, которым ты пользуешься, он есть. API — это способ, которым твой AI реально делает что-то в настоящем мире.

Представь drive-thru.

Твой AI подъезжает к окну. На стене висит меню:

• отправить это письмо
• обновить этот товар
• получить эти заказы
• опубликовать это сообщение

Он читает меню, делает заказ, а кухня выполняет работу. AI не заходит внутрь. Не логинится в твой аккаунт. Он просто заказывает то, что написано у окна, и еда выезжает наружу.

Вот это и есть API. Окно между твоим AI и чужим софтом.

Когда я впервые подключал свой AI к Shopify, я ожидал, что придется писать какой-то большой страшный скрипт. Я не писал код, который вытаскивает заказы. Я дал ему ключ, и он заказал в окне "получить эти заказы". Это и была вся задача.

Меню — весь смысл. И оно же безопасность.

Твой AI может делать только то, что напечатано в этом меню. Всё. Если пункта "удалить всех клиентов" в меню нет, AI буквально не может это заказать. Окно не принимает запросы, которых нет в списке. Поэтому API — это не просто вход. Это забор. Приложение само решает, что доступно, а все остальное остается запертым на кухне, куда никто у окна не дотянется.

Именно поэтому компании вообще спокойно открывают такое окно. Они не отдают тебе ключи от кухни. Они дают меню, которое написали сами, и ставят забор вокруг всего, что в него не вошло.

Каждому окну нужен ключ.

Чтобы подъехать к окну, твой AI должен доказать, что ему туда можно. Это доказательство — API-ключ: длинная случайная строка символов, которая говорит: "этот заказ идет из моего аккаунта, пропустите его и запишите на меня".

Одно правило важнее всех остальных, поэтому скажу прямо:

Никогда не вставляй API-ключ прямо в код.

Вот почему это потом кусает людей. Код часто оказывается на GitHub, а большая часть GitHub публичная, то есть весь интернет может это прочитать. Оставил ключ в коде — считай, приклеил банковскую карту к окну drive-thru для любого прохожего. Люди запускают ботов, которые сканируют GitHub именно на это. Они находят утекший ключ, и через несколько минут уже заказывают из твоего меню за твой счет. Ключи живут в отдельном скрытом файле. Позже поговорим, куда складывать секреты.

Что это тебе открывает

Когда ты видишь это окно, многое из серии "а как AI вообще что-то делает" встает на место. Вот что API позволяет твоему AI делать без твоего участия:

• Вытащить заказы за прошлую неделю из Shopify и кратко их описать
• Добавить нового подписчика в список Klaviyo сразу после регистрации
• Кинуть сообщение в Slack-канал, когда что-то ломается
• Создать событие в календаре, отправить письмо, обновить цену

Все это не потому, что AI ловко играет словами. Это AI делает заказы в окнах, которые уже были открыты.

Без API твой AI — просто очень хороший собеседник. Он может написать тебе прекрасное письмо и потом сидеть на месте, не способный его отправить. С API тот же AI подходит к окну, заказывает "отправить это", и письмо уходит.

Вот весь скачок. Без API у тебя чат-бот. С ними — сотрудник.