Hooks w Claude — czym są, po co i co bez nich nie zadziała

Hooks to punkty w przebiegu wykonania AI, w które wpinasz logikę bez modyfikacji silnika modelu. Architektonicznie to najlepsza rzecz, jaka spotkała LLM-y od czasu function calling. Dla polskiej firmy 50-500 osób wdrażającej AI to mechanizm, który decyduje, czy wdrożenie przejdzie audyt NIS2, KSC i RODO — i czy Wasz CISO będzie spał spokojnie.

Czym hooks różnią się od „zwykłego promptu systemowego"

Prompt systemowy to instrukcja w języku naturalnym, którą podajemy modelowi: „nie odpowiadaj na pytania spoza zakresu, nie generuj treści marketingowych konkurencji, sprawdzaj uprawnienia użytkownika przed dostępem do danych klienta". Model „obiecuje" przestrzegać. W 7% przypadków zapomina przy długiej rozmowie, w 3% — daje się zmanipulować promptem użytkownika (prompt injection), w 1% halucynuje, że jest dopuszczony do operacji, której nie powinien wykonać.

Hook to kod, który wykonuje się zawsze, deterministycznie, niezależnie od woli modelu. Pre-Tool-Use hook może po prostu odmówić wywołania narzędzia, jeśli warunek nie jest spełniony — model nawet się nie dowie, że próbował. To inna kategoria zabezpieczenia: hard control vs. soft control.

Cztery typy hooks w Claude i co robią

SessionStart

Odpalany na początku każdej sesji użytkownika z AI. Co tu wstrzykujemy w wdrożeniach RedAI:

• Tożsamość użytkownika (rola, dział, uprawnienia w macierzy ACL).
• Kontekst firmowy (aktualna polityka rabatowa, ostatnie zmiany regulaminu, branding).
• Memory użytkownika — krótkie podsumowanie poprzednich sesji (jeśli polityka retencji na to pozwala).
• Aktualny stan systemów — np. „dziś rano awaria w SAP, nie odpowiadaj o stanach magazynowych".

Bez SessionStart każda sesja zaczyna od „pustego" modelu — co oznacza, że albo prompt systemowy musi zawierać wszystko (rozdęcie do 10 tys. tokenów), albo model nie ma kontekstu.

PreToolUse

Odpalany przed każdym wywołaniem narzędzia przez model. Tu mieszka 80% wartości hooków w wdrożeniach RedAI:

• Sprawdzenie uprawnień (ten użytkownik nie ma dostępu do akt sprawy X — blokujemy).
• Redagowanie PII (zanim AI wyśle dane do zewnętrznego API, czyścimy z PESEL-i, e-maili, numerów telefonu).
• Rate limiting per użytkownik (max 200 zapytań do CRM dziennie z jednej sesji).
• Logowanie wywołań do SIEM dla audytu NIS2.
• Blokowanie operacji destrukcyjnych (DELETE, DROP, UNSUBSCRIBE) — wymagane „are you sure" interaktywne, nawet w sesji autonomicznej.

PostToolUse

Po wykonaniu narzędzia. Tu sprawdzamy wynik i decydujemy, co model dostanie:

• Walidacja wyniku — jeśli zapytanie do bazy zwróciło dane spoza ACL, czyścimy zanim wrócą do modelu.
• Anomaly detection — jeśli SQL zwrócił 50 000 rekordów zamiast zwykłych 5, alert + ograniczenie.
• Audyt — pełen ślad: jakie zapytanie, jaki wynik, jaki czas, jaki użytkownik.
• Cache — jeśli to samo zapytanie było zadane 2 godziny temu, możemy zwrócić cached.

SessionEnd

Przy zamknięciu sesji. Tu wykonuje się:

• Audytowy podpis sesji — hash wszystkich kroków, zapisany do storage 12-miesięcznego.
• Memory write — krótkie podsumowanie do pamięci długoterminowej (jeśli polityka pozwala).
• Notyfikacje (np. „dziś z AI rozmawiał klient X, dotyczy reklamacji, status: ESC").
• Cleanup — wyczyszczenie pamięci roboczej, zamknięcie połączeń.

Konkretny scenariusz — AI prawnik w kancelarii 30-osobowej

Kancelaria korporacyjna, 30 prawników, 4 partnerów, RedAI wdrożony do dwóch funkcji: pomoc w review umów + RAG na wewnętrznych wzorach.

Krok	Hook	Akcja
Prawnik loguje się do panelu AI	SessionStart	Wstrzykujemy: rola (associate), specjalizacja (M&A), lista jego spraw, polityki kancelarii, ostatnie zmiany wzorów (z ostatnich 14 dni)
Prawnik prosi „znajdź w naszych wzorach klauzulę earn-out z payment cap"	PreToolUse (przed RAG)	Filtr ACL: pokaż tylko wzory z praktyk, do których ma dostęp; loguj zapytanie do SIEM
Model dostaje wyniki RAG	PostToolUse	Sanity check: czy zwrócono treści, do których ma dostęp; redact PII klientów ze starych umów-wzorców
Prawnik prosi „wyślij draft umowy do Marka (partner)"	PreToolUse (przed e-mail tool)	Sprawdź, czy Marek jest na sprawie; jeśli nie — odmów + sugeruj weryfikację u partnera nadzorującego
Sesja zamknięta	SessionEnd	Zapisz podsumowanie do akt sprawy (1 paragraf); hash sesji do storage; alert do compliance, jeśli były próby naruszenia ACL

Dlaczego ChatGPT Enterprise tego nie ma (w pełnym sensie)

OpenAI w marcu 2026 ogłosił „function calling middleware" w ChatGPT Enterprise — ale jest to mechanizm na poziomie pojedynczego function call (przerwanie konkretnej funkcji), nie na poziomie pełnej sesji i nie z 4-poziomową hierarchią hooków. Brak SessionStart oznacza, że każdy custom GPT musi mieć całą logikę kontekstową w prompcie systemowym — co jest niesterowalne deterministycznie i nieaudytowalne. Brak PostToolUse oznacza, że wyniki narzędzi wpadają do modelu bez warstwy walidacji — co jest niemożliwe do obrony przy audycie NIS2.

Hooks a NIS2 — gdzie się to spotyka

NIS2 art. 21 ust. 2 lit. b mówi o „zarządzaniu incydentami" i wymaga zdolności wykrywania, raportowania i reagowania. AI bez hooks jest jak system bez logów — niemożliwy do audytu post-mortem.

NIS2 art. 21 ust. 2 lit. d wymaga „bezpieczeństwa łańcucha dostaw" — AI jako dostawca cyfrowy musi mieć udokumentowaną kontrolę. PreToolUse + audyt logów to praktyczna implementacja.

NIS2 art. 21 ust. 2 lit. f wymaga „polityk i procedur oceny skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa". Hooks to tu nie polityka — to wdrożenie polityki w kodzie.

Antypatterny — gdy hooks są źle używane

Antypattern 1: hooks zamiast promptu systemowego

Hooks to deterministyczna ochrona — promptu nie zastąpią. Jeśli wstawicie do PreToolUse hooka, który ma „sprawdzać semantykę pytania" (rozumieć po polsku, co użytkownik chce zrobić), zbudujecie hardkodowany regex zamiast modelu, który i tak nie wyłapie 15% przypadków. Hooks robią proste, deterministyczne rzeczy. Semantykę pozostawcie modelowi z dobrym promptem.

Antypattern 2: hooks bez budżetu czasu

Każdy hook dokłada latencję. PreToolUse z 6 zapytaniami do bazy ACL + lookup w SIEM + walidacja schematu danych — to dodatkowe 800-2000ms na każdym wywołaniu narzędzia. W asystencie czasu rzeczywistego (np. voice AI) to dyskwalifikuje. Budżet hookom: max 200ms na pre, max 100ms na post.

Antypattern 3: hooks dla wygody developera

Hook nie jest miejscem na ad-hoc logikę biznesową. Jeśli „rabat 10% przy zamówieniu powyżej 5000 zł" wpisujecie w PreToolUse — robicie sobie krzywdę. Logika biznesowa należy do warstwy aplikacyjnej, hook jest warstwą bezpieczeństwa i audytu.

Jak hooks są zaimplementowane w RedAI

W RedAI hooks są deklaratywne — pisze się je w pliku konfiguracyjnym, nie w kodzie. Każde wdrożenie ma swój katalog `hooks/` z plikami `session-start.json`, `pre-tool.json`, itd. Hook może być:

• Czystym filtrem (sprawdzenie schematu, blokada wyrazu).
• Wywołaniem zewnętrznego serwisu (LDAP lookup, RBAC).
• Małym skryptem (np. funkcja Lua/Python — sandbox z budżetem 200ms).

Każdy hook jest pod kontrolą wersji, każda zmiana logowana, każda decyzja audytowana — to umożliwia, żeby compliance officer mógł rok później udowodnić, że w grudniu 2025 polityka filtrowała PII przed wysłaniem do API zewnętrznego.

Co zrobić jutro

• Zinwentaryzujcie: jakie narzędzia AI ma wywoływać w Waszej firmie (CRM, ERP, e-mail, kalendarz, dokumenty)?
• Dla każdego narzędzia: jakie kontrole należy wymusić deterministycznie (uprawnienia, redact PII, rate limit, alert)?
• Wypiszcie wymagania compliance (NIS2 art. 21, AI Act art. 12 i 14, RODO art. 32).
• To wszystko staje się specyfikacją hooków — RedAI implementuje to w ramach setup.

Konkluzja

Hooks to nie „feature techniczny". To architektoniczna warstwa bezpieczeństwa, która decyduje, czy wdrożenie AI w Waszej firmie przejdzie audyt. ChatGPT Enterprise w wersji z 2026 ma częściowy odpowiednik, ale nie z 4-poziomową hierarchią i nie z deklaratywną konfiguracją. Dla regulowanej polskiej firmy 50-500 osób hooks są warunkiem koniecznym wdrożenia produkcyjnego — nie luksusem.

Zobaczcie pełną architekturę RedAI z warstwą hooks, lub umówcie pokaz — przeprowadzimy Was przez konkretny scenariusz w Waszej firmie.