ב-Shopify כל scope של API מוגדר בשתי רמות: `read_` ו-`write_`. הרשאת `read_products` מאפשרת רק לשלוף נתונים, בעוד `write_products` מאפשרת גם ליצור מוצר חדש, לשנות מחיר, למחוק וריאציה או לעדכן מלאי. ככל שהרשאת הכתיבה רחבה יותר, כך הנזק הפוטנציאלי מאפליקציה פגיעה, שגויה, או כלי AI שמפרש הוראות בצורה לא צפויה — גדול יותר.
כשמחברים כלי AI לחנות ישראלית, הרשאות כתיבה הן הסיכון הגדול ביותר: כלי שמקבל `write_orders` יכול לבטל הזמנות, וכלי שמקבל `write_customers` יכול לשנות פרטי לקוחות. לפני חיבור, כדאי לבדוק האם הכלי מבקש אישור מפורש לפני כל פעולת כתיבה, ולהעדיף תמיד את עיקרון ההרשאה המינימלית — לאשר רק את ה-scopes שהכלי באמת צריך.