У міру того, як AI‑агенти стають дедалі потужнішими, компанії, які намагаються інтегрувати їх у застосунки, робочі процеси й продукти, стикаються з новим викликом: як гарантувати, що агент поводиться належним чином у різних середовищах розгортання.
Microsoft намагається розв’язати цю проблему за допомогою нового відкритого стандарту під назвою Agent Control Specification (ACS), який має надати розробникам більш послідовний і детальний спосіб керувати тим, що саме дозволено AI‑агентам.
Специфікація фактично дає змогу командам розробки, комплаєнсу й безпеки визначати власні політики, яких мають дотримуватися агенти. Правила можуть описувати, що агенту дозволено робити, чого він не має робити, коли потрібне схвалення людини, а також які докази слід зберігати для подальшого аудиту. Ці політики перевіряються в кількох «точках перехоплення», поки агент виконує завдання, щоб переконатися, що він залишається в межах заданих обмежень.
Поява ACS відбувається на тлі того, що розробники сьогодні фактично імпровізують засоби контролю того, що бачить і робить штучний інтелект, на тлі дискусій про збої у робочих процесах через неправильне використання інструментів або небажані дії, які можуть спричиняти каскадні помилки.
Зараз розробники можуть задавати інструкції в системному промпті, додавати власні перевірки в код застосунку або використовувати класифікатори для виявлення проблемних вхідних і вихідних даних. Ці підходи працюють, але часто залишають компаніям «розірвану» систему контролю, яку складно аудіювати й ще складніше повторно використовувати в різних фреймворках, інтерфейсах і системах.
ACS покликаний об’єднати такі механізми в єдиний шар керування. У Microsoft кажуть, що специфікація дає змогу перевіряти, чи дотримується агент обмежень на кількох етапах свого робочого процесу — до того, як він отримає вхідні дані, перед викликом інструмента, після того, як інструмент повернув результат, і перед тим, як фінальна відповідь буде надіслана користувачу. Політика може дозволити дію, заблокувати її, видалити чутливу інформацію або навіть запросити схвалення людини.
Розробники також можуть підключати класифікатори для вхідних і вихідних даних, щоб класифікувати інформацію, прогнозувати наслідки або визначати, як має відповісти агент; додавати LLM із промптами, які діятимуть як «суддя» для політик; а також логіку перевірки викликів інструментів, вибору інструментів, точності вхідних даних, використання результатів інструментів і фінальних відповідей.
Оскільки політики можуть бути описані в окремих файлах, їх можна «пакувати» разом з агентами — це дозволяє політиці безпеки «супроводжувати» агента під час його перенесення між різними фреймворками та середовищами.
ACS постачається у вигляді SDK із плагінами для LangChain, OpenAI Agents SDK, Anthropic Agents SDK, AutoGen, CrewAI, Semantic Kernel, Microsoft.Extensions.AI, MCP‑інструментів та інших рішень.