dzen.guru
Игорь Градов
Игорь Градов
6 мин
ai

Microsoft открыла стандарт контроля ИИ-агентов: один файл на девять фреймворков

Microsoft открыла спецификацию Agent Control Specification (ACS), набор правил в одном файле, который говорит ИИ-агенту, что ему можно делать, что нельзя и когда спрашивать человека, и это первый открытый стандарт такого рода, совместимый сразу с девятью популярными фреймворками.

Microsoft открыла стандарт контроля ИИ-агентов: один файл на девять фреймворков
Почему это важно

Сейчас разработчики контролируют ИИ-агентов кто как: одни пишут правила в системном промпте (system prompt, стартовая инструкция, которую модель получает до начала разговора), другие добавляют проверки прямо в код, третьи ставят классификаторы на входе и выходе. Всё это работает, но рассыпано по разным местам, и проверить или перенести такие ограничения в другую систему почти невозможно. ACS собирает контроль в единый переносимый файл.

Зачем это нужно и что было до сих пор?

TechCrunch описывает проблему так: компании торопятся внедрить ИИ-агентов (программы, которые сами выполняют цепочки задач без постоянного контроля человека) в рабочие процессы, продукты и приложения. Но чем больше агент умеет, тем выше риск, что он сделает не то: вызовет не тот инструмент, отправит лишние данные или запустит цепочку ошибок.

До ACS единого способа описать «что агенту можно, а что нельзя» не существовало. Каждая команда изобретала свой набор ограничений, привязанный к конкретному фреймворку. Аудит таких ограничений превращался в ручную работу, а переиспользовать политики между проектами было сложно.

Что понадобится

  • Один из поддерживаемых фреймворков: LangChain, OpenAI Agents SDK, Anthropic Agents SDK, AutoGen, CrewAI, Semantic Kernel, Microsoft.Extensions.AI или MCP tools (протокол вызова инструментов).
  • SDK от Microsoft с плагином под ваш фреймворк (ACS распространяется как опенсорс).
  • Базовое понимание, как ваш агент вызывает инструменты и возвращает ответ пользователю.
  • Примерно 30 минут на первую политику, если агент уже работает.

Пошаговая инструкция

  1. Определите границы агента. Выпишите, какие действия агент выполняет сейчас: какие инструменты вызывает, какие данные получает на входе, что отдаёт пользователю. Без этого списка политика будет неполной.

  2. Опишите политику в файле ACS. Файл определяет четыре типа правил:

  3. что агент может делать;
  4. что агент не должен делать;
  5. когда нужно одобрение человека;

  6. что нужно записать в лог для проверки.

  7. Расставьте точки перехвата. ACS проверяет поведение агента в четырёх местах:

  8. до получения входных данных;
  9. перед вызовом инструмента;
  10. после того как инструмент вернул результат;
  11. перед отправкой финального ответа пользователю.

На каждой точке политика решает: пропустить действие, заблокировать, отредактировать (например, убрать персональные данные) или запросить подтверждение у человека.

  1. Добавьте классификаторы и LLM-судью, если нужно. ACS позволяет подключить классификаторы для входов и выходов, чтобы категоризировать информацию или предсказывать результат. Можно также поставить отдельную языковую модель с промптом, которая выступает «судьёй» и проверяет, соответствует ли действие агента политике.

  2. Подключите SDK-плагин к вашему фреймворку. Установите плагин ACS для LangChain, OpenAI Agents SDK или другого фреймворка из списка. Файл политики прикрепляется к агенту и путешествует с ним между средами.

  3. Протестируйте на реальном сценарии. Запустите агента с политикой, попробуйте подать запрос, который нарушает одно из правил, и убедитесь, что точка перехвата сработала.

Как это выглядит на практике

Допустим, у вас есть ИИ-агент для бизнеса, который отвечает клиентам в чате и может оформлять возвраты. В файле ACS вы указываете: возвраты до 5 000 рублей агент проводит сам, свыше 5 000 запрашивает одобрение менеджера, любые запросы паспортных данных блокируются, а каждый вызов платёжного инструмента записывается в лог. Файл подключается через плагин к LangChain. Когда клиент просит вернуть 7 000 рублей, агент останавливается на точке перехвата «перед вызовом инструмента» и отправляет запрос менеджеру. Без ACS эту логику пришлось бы писать в коде вручную, а при переходе на другой фреймворк переписывать заново.

Частые ошибки

Политика есть, но точки перехвата не настроены. Файл ACS сам по себе ничего не блокирует. Нужно явно указать, на каких этапах агент сверяется с правилами. Пропустили точку «после возврата результата инструментом», и агент отдаст пользователю сырые данные.

Слишком общие правила. «Агент не должен делать ничего плохого» не работает. Правила должны быть конкретными: какой инструмент, какой порог, какое действие.

Забыли про логирование. ACS позволяет записывать доказательную базу (evidence) для аудита. Если не включить логирование, потом невозможно разобраться, почему агент принял то или иное решение.

Путаница с фреймворками. Плагин ACS нужен именно для вашего фреймворка. Плагин для LangChain не подойдёт к CrewAI. Проверьте совместимость в документации SDK.

Что делать с этим прямо сейчас, по ролям

Автору Дзена и копирайтеру. Если вы используете ИИ-агентов для генерации черновиков или исследования тем, ACS позволяет зафиксировать правило: «не выдумывай цитаты, не обращайся к определённым источникам, каждый факт записывай в лог с указанием, откуда взят». Это не панацея от галлюцинаций (случаев, когда модель уверенно выдумывает несуществующее), но добавляет проверяемый слой контроля.

Маркетологу. ИИ-агенты для бизнеса всё чаще встраиваются в CRM, чат-боты, рассылки. ACS даёт возможность один раз описать, что агент не имеет права обещать скидки выше утверждённого порога или отправлять персональные данные клиента третьей стороне, и перенести эту политику между каналами без переписывания кода.

Предпринимателю в РФ и СНГ. Спецификация открытая (опенсорс), её можно использовать без лицензионных ограничений. Из российских фреймворков прямой поддержки пока нет, но если ваши разработчики работают с LangChain или Semantic Kernel, подключить ACS можно уже сейчас. Для тех, кто строит агентов на базе YandexGPT или GigaChat, стандарт полезен как образец архитектуры: единый файл политик вместо разрозненных проверок в коде.

Мнение редакции dzen.guru

На мой взгляд, главная ценность ACS не в самих правилах, а в переносимости. Я наблюдаю, как компании меняют фреймворки и модели каждые несколько месяцев, и каждый раз контроль над агентом пересобирается с нуля. Единый файл политик, который можно перенести между LangChain и CrewAI без переписывания, экономит не часы, а недели.

Честная оговорка: ACS не решает проблему галлюцинаций и не гарантирует, что агент выполнит задачу правильно. Он гарантирует только то, что агент будет проверен в заранее определённых точках. Если правила написаны плохо, контроль будет формальным. Стандарт молодой, и реальную проверку он пройдёт, когда крупные команды начнут внедрять его в продакшен.

Факт, который стоит держать в голове: Microsoft выпустила ACS с поддержкой не только своих инструментов (Semantic Kernel, AutoGen), но и конкурирующих SDK от OpenAI и Anthropic. Для открытого стандарта это правильный ход, потому что стандарт без охвата остаётся просто спецификацией.

Если вы строите ИИ-агентов и до сих пор держите ограничения в системных промптах или в коде, попробуйте вынести хотя бы одну политику в файл ACS и прогнать через тестовый сценарий. Это самый быстрый способ понять, нужен ли вам этот стандарт на практике.

Научитесь работать с ИИ-агентами на практике

В dzen.guru мы разбираем, как настраивать, контролировать и применять ИИ-агентов для контента и бизнеса

Попробовать инструменты dzen.guru

По материалам TechCrunch AI

Поделиться:TelegramVK
Игорь Градов
Игорь Градов

Основатель dzen.guru. Эксперт по монетизации и продвижению на Дзен. Автор курса «Старт на Дзен 2026».

Комментарии

Читайте также

Gemini Spark: первый ИИ-агент Google работает в фоне, но стоит $100 в месяц
ai

Gemini Spark: первый ИИ-агент Google работает в фоне, но стоит $100 в месяц

Google Gemini Spark берёт на себя ваши дела, но пока работает только в США, только на английском и стоит почти 100 долларов в месяц, а каждый результат всё…

5 мин
Microsoft открыла ASSERT: тестирование нейросетей без кода и вручную написанных сценариев
ai

Microsoft открыла ASSERT: тестирование нейросетей без кода и вручную написанных сценариев

Microsoft второго июня открыла ASSERT, бесплатный фреймворк для тестирования нейросетей, который превращает обычное текстовое описание правил компании в…

5 мин
Google добавила защиту от спама и дипфейк-звонков: как включить на любом Android 12+
ai

Google добавила защиту от спама и дипфейк-звонков: как включить на любом Android 12+

Google добавила в Android защиту от поддельных звонков, которая распознаёт дипфейки (deepfake, подделку голоса нейросетью) прямо во время разговора и работает…

4 мин