Демонстрация, после которой захотелось разобрать всё по винтикам
Когда я впервые увидел демонстрацию ИИ-агента в корпоративной ESM-системе, первой мыслью было: «Очередной чат-бот с GPT-обёрткой». Но разработчики SimpleOne показали нечто иное — модульную архитектуру, где агент — не монолит, а набор взаимодействующих компонентов. Разберём, из чего она состоит и почему это напрямую влияет на безопасность.
Проблема многих корпоративных AI-решений — они пытаются скопировать SaaS-ботов: один промпт, одна модель, один эндпоинт. В enterprise так не работает. Здесь нужны изоляция доменов, контроль доступа к чувствительным данным и возможность кастомизировать поведение без переписывания ядра. Именно это и закладывали в архитектуру агентов SimpleOne.
1 Компоненты: не просто промпт, а целый конвейер
Архитектура агента в SimpleOne состоит из четырёх слоёв, каждый из которых отвечает за свою зону ответственности. В отличие от популярного подхода с MCP, который недавно критиковали в практическом руководстве по разработке AI-агентов, здесь нет единого транспортного протокола. Вместо этого — адаптеры.
| Слой | Назначение | Пример реализации |
|---|---|---|
| Оркестратор | Маршрутизация запроса и управление состоянием диалога | Встроенный workflow-движок платформы |
| Адаптеры данных | Извлечение и фильтрация контекста из CMDB, инцидентов, баз знаний | Low-code коннекторы с маппингом полей |
| Контекстный менеджер | Сборка промпта с учётом прав доступа и политик безопасности | Шаблоны с переменными, проверяемые через RBAC |
| Модуль решений | Выбор действия: ответ, создание тикета, запуск скрипта | Вызов API платформы через sandbox |
Каждый слой можно кастомизировать через low-code интерфейс. Разработчик не пишет код на Python, а конфигурирует адаптеры и триггеры. Это снижает порог входа, но главное — уменьшает поверхность для атак. Меньше кода — меньше ошибок, которые могут привести к реальным атакам на AI-агентов, описанным в рамках OWASP ASI.
Сценарии: от «привет, как дела?» до апрува бюджета
Проще всего показать, зачем нужна такая архитектура, на конкретных кейсах. Один из самых частых — обработка инцидентов. Агент получает запрос, через адаптер тянет данные о пользователе и его устройстве из CMDB, контекстный менеджер формирует промпт, а модуль решений создаёт тикет и отправляет ответ.
Более сложный сценарий — approval workflow. Например, запрос на изменение конфигурации. Здесь агент выступает не просто как чат-бот, а как посредник, который проверяет, есть ли у пользователя права, и если нет — запускает цепочку согласований. Именно такой подход описан в статье «Три агента вместо одного», где автор разделил обязанности между специализированными агентами.
Ещё один сценарий — поиск знаний. Агент не просто ищет по статьям, а формирует ответ на основе актуальных записей, при этом гарантирует, что пользователь видит только те данные, к которым у него есть доступ. Это особенно важно в регулируемых отраслях.
Ключевой принцип: агент никогда не получает доступ к сырой БД. Все данные проходят через адаптеры, которые накладывают фильтры на уровне платформы. Это не промпт-инженерия, а архитектурная защита.
Безопасность: как не превратить агента в троянского коня
Самая большая боль корпоративных ИИ-агентов — промпт-инъекции и утечка данных. Когда агент имеет root-доступ к системе, как та самая история с 40 000 голых агентов, беды не избежать. В Simpleone пошли по пути минимальных привилегий.
- Изоляция контекста: каждый запрос обрабатывается в отдельном «песочнице» без сохранения состояния между сессиями.
- Валидация действий: модуль решений не выполняет произвольный код, а вызывает строго определённые API-методы.
- Мониторинг и аудит: все действия агента логируются в том же формате, что и действия человека — для compliance.
Этот подход перекликается с идеями из 8-шагового плана CEO, где предлагается защищать системы с помощью границ, а не промптов. Фактически, архитектура SimpleOne реализует эти границы на уровне платформы, не требуя от разработчика писать сложные инструкции.
Ещё один важный аспект — управление нечеловеческими идентичностями. У агента есть свой аккаунт в системе, с ограниченными правами. Как отмечается в статье «AI-агенты как новая угроза», эти «нелюди» могут стать слабым звеном, если не контролировать их доступ.
Совет: никогда не давайте агенту права на изменение собственного промпта или конфигурации. Если злоумышленник сможет переписать инструкцию через саму платформу — вы получите APT внутри собственного ИИ.
Что дальше: эволюция агентов или их размножение?
Платформа SimpleOne — живой пример того, как корпоративная ESM-система может интегрировать ИИ без риска для безопасности. Но будущее не за одним супер-агентом, а за роем специализированных. Уже сейчас, как показывает пример Джеффа Эмануэля, который управляет 20+ агентами (читайте его кейс), масштабирование идёт через оркестрацию, а не через монолит.
Простой путь — дать агенту права администратора и попросить «делать всё правильно». Сложный — выстроить архитектуру, где каждый компонент отвечает за свою часть, а агент — лишь умный посредник, работающий в жёстких рамках. SimpleOne выбрали второй путь. И похоже, это единственный рабочий вариант для enterprise.
Настоящая проблема, впрочем, не техническая, а культурная. Компании пытаются доверить агенту root-доступ, но боятся дать ему право читать почту. Парадокс. Возможно, через год мы поймём, что самый безопасный агент — тот, у которого меньше всего прав, а не самый умный.