Microsoft представляет открытый инструментарий для управления автономными ИИ-агентами

Искусственные интеллектуальные агенты способны бронировать поездки, выполнять финансовые операции, писать и запускать код, а также управлять инфраструктурой без необходимости вмешательства человека на каждом этапе. Такие фреймворки, как LangChain, AutoGen, CrewAI и Azure AI Foundry Agent Service, сделали подобную автономность простой в развертывании. Однако инфраструктура управления и контроля, соответствующая этой автономности, отставала в развитии. Компания Microsoft выпустила Набор инструментов для управления агентами, чтобы устранить этот пробел.

Содержимое набора инструментов

Набор инструментов для управления агентами представляет собой систему из семи пакетов, доступных на Python, TypeScript, Rust, Go и .NET. Каждый пакет решает задачи управления на отдельном уровне:

  • Пакет «Операционная система агента» функционирует как не сохраняющий состояние механизм политик, который перехватывает каждое действие агента перед выполнением с задержкой менее миллисекунды; заявленная p99-латентность составляет ниже 0,1 миллисекунды. Он поддерживает правила YAML, а также языки политик OPA Rego и Cedar.
  • «Сеть агентов» обеспечивает криптографическую идентификацию с использованием децентрализованных идентификаторов и подписей Ed25519, содержит Меж-Агентный протокол доверия для общения между агентами и систему динамической оценки доверия, работающую по шкале от 0 до 1000 с пятью поведенческими уровнями.
  • «Среда выполнения агента» вводит уровни выполнения, смоделированные по образцу уровней привилегий процессора, оркестрацию саг для многошаговых транзакций и аварийный выключатель для экстренной остановки агента.
  • «Инженер надёжности агентов» применяет практики обеспечения надёжности сервисов, включая Целевые показатели уровня обслуживания, бюджеты ошибок, автоматические выключатели, хаос-инжиниринг и прогрессивную доставку, к системам на основе агентов.
  • «Соответствие агентов» автоматизирует проверку управления с помощью оценки соответствия, сопоставления с регуляторными рамками, такими как Закон ЕС об ИИ, HIPAA и SOC2, и сбора доказательств, охватывающих все десять категорий рисков агентного ИИ по версии OWASP.
  • «Маркетплейс агентов» управляет жизненным циклом плагинов с подписью Ed25519, проверкой манифестов и предоставлением возможностей на основе уровней доверия.
  • «Молния агента» управляет рабочими процессами обучения с подкреплением, используя контролируемые политиками исполнители и формирование вознаграждений, с целью достижения нулевых нарушений политик во время обучения.

Интеграция с фреймворками

«Набор инструментов управления полезен только в том случае, если он работает с фреймворками, которые люди реально используют. Мы с самого начала спроектировали этот набор как независимый от конкретных фреймворков», — пояснил Имран Сиддик, главный менеджер по инженерным разработкам в Microsoft.

Инструментарий создан для совместной работы с существующими фреймворками агентов без необходимости их переписывания. Он интегрируется через нативные точки расширения: обработчики обратных вызовов LangChain, декораторы задач CrewAI, систему плагинов Google ADK и конвейер промежуточного ПО Microsoft Agent Framework.

Несколько интеграций уже функционируют. Dify размещает плагин управления в своём маркетплейсе. LlamaIndex включает интеграцию TrustedAgentWorker. Интеграции для OpenAI Agents SDK, Haystack, LangGraph и PydanticAI поставлены, причём версии для OpenAI Agents и LangGraph опубликованы на PyPI, для Haystack приняты в основную ветку, а для PydanticAI доступен рабочий адаптер.

Архитектура безопасности и покрытие тестами

Дизайн инструментария основан на проверенных вычислительных паттернах: разделении привилегий в стиле ядра операционных систем, взаимном TLS и идентификации из сервисных сетей, а также практиках надёжности на основе SLO из Site Reliability Engineering.

Инструментарий сопоставляет свои возможности со всеми десятью категориями рисков агентного ИИ по OWASP. Например, механизм политик включает семантический классификатор намерений для противодействия подмене целей. Ядро кросс-модельной верификации с мажоритарным голосованием решает проблему отравления памяти. Кольцевая изоляция, затухание доверия и автоматический аварийный выключатель нацелены на поведение скомпрометированных агентов.

Проект поставляется с более чем 9500 тестами для всех пакетов и использует ClusterFuzzLite для непрерывного фаззинга. Сборочный конвейер включает совместимое с SLSA отслеживание происхождения, мониторинг OpenSSF Scorecard, сканирование CodeQL, наблюдение за зависимостями через Dependabot, а также зафиксированные зависимости с криптографическими хешами. Инструментарий также содержит 20 пошаговых руководств, охватывающих каждый пакет.

Лицензирование и направление развития сообщества

Microsoft заявила в релизе о намерении передать проект под управление сообщества через фонд и сообщила о взаимодействии с сообществом OWASP по агентному ИИ и лидерами фондов для облегчения этого перехода. Проект структурирован как монорепозиторий с семью независимо устанавливаемыми пакетами, что позволяет командам внедрять отдельные компоненты постепенно.

Инструментарий работает на Python 3.10 и новее. Отдельные пакеты доступны на PyPI. Для команд, развёртывающих решения в Azure, инструментарий поддерживает sidecar-развёртывание в Azure Kubernetes Service, интеграцию промежуточного ПО со службой Azure Foundry Agent Service и контейнерное развёртывание через Azure Container Apps.

Agent Governance Toolkit доступен бесплатно на GitHub.

Обязательно к прочтению:

  • 40 инструментов с открытым исходным кодом, меняющих подходы к защите инфраструктуры
  • Время и стоимость сканирования прошивок, а также где команды используют EMBA

Подпишитесь на нашу ежемесячную рассылку без рекламы, чтобы быть в курсе самых важных инструментов кибербезопасности с открытым кодом. Подписаться можно здесь!

Microsoft AzureAI AgentsAutonomous SystemsAgent ManagementOpen Source Tooling