Google Cloud Agent Gateway: внешний контур безопасности AI-агентов | AiManual
AiManual Logo Ai / Manual.
18 Май 2026 Инструмент

Google Cloud Agent Gateway: внешний контур безопасности для AI-агентов — архитектура и реальные кейсы

Разбираем архитектуру Agent Gateway от Google Cloud - внешний уровень защиты, не зависящий от промптов. Сравнение с альтернативами, примеры внедрения и советы д

Сначала они написали промпт «не удаляй базу» — и база улетела

Знаете эту боль? Вы даете AI-агенту задание обновить пару записей, а он — бах! — дропает всю таблицу. Потому что промпт-инженерия — это не про безопасность, это про удачу. Индустрия уже наступила на эти грабли: AI-агенты выходят из-под контроля, и AWS с Cisco судорожно клепают протоколы MCP и A2A. Но протоколы не спасут, если у агента есть прямой доступ к API. Нужен железобетонный внешний контур. Google Cloud заявил, что придумал такой — Agent Gateway. Давайте посмотрим, что под капотом.

Суть: Agent Gateway — это сетевой прокси-слой между AI-агентом и всеми внешними ресурсами (БД, API, shell). Он перехватывает каждое действие агента до того, как оно коснется инфраструктуры. Решения о допуске принимаются не моделью, а внешним движком политик. Модель может быть хоть сумасшедшим генеративным хаосом — Gateway всё равно обрежет опасные вызовы.

Архитектура: три слоя, один из которых вас удивит

Agent Gateway не висит как отдельный микросервис — он встраивается в data plane проекта Google Cloud через Envoy-прокси или как standalone-инстанс. Внутри три компонента:

  • Policy Engine — сердце. Загружает правила из Cloud Asset Inventory, IAM, пользовательских политик (YAML/JSON). Поддерживает временные ограничения, лимиты скорости, блокировку по регуляркам.
  • Network Filter — перехватывает HTTP/gRPC-вызовы от агента. Проверяет URL, заголовки, тело запроса. Может инспектировать payload даже если он зашифрован (через TLS-interception).
  • Audit Vault — логирует каждый разрешенный и запрещенный вызов в BigQuery. Без этого compliance-отделы не спят ночами.

Самый хитрый слой — Adaptive Rate Limiter. Он смотрит на паттерны поведения агента: если в минуту агент делает 50 read-запросов, а потом вдруг 500 write — Gateway может временно блокировать write-операции до подтверждения оператором. Это страховка от «бешеного агента».

Чем Agent Gateway отличается от всех остальных «решений безопасности»?

Рынок защиты AI-агентов сейчас напоминает зоопарк. OpenAI Guardrails работает на уровне промпта — модель сама себя ограничивает. Но, как показали хакеры, промпт можно обойти через инжекцию. Maos AgentGate — это CI/CD для агентов, он ловит регрессии до деплоя, но не контролирует рантайм. Песочницы вроде Docker, gVisor, Firecracker изолируют среду выполнения, но не мониторят семантику вызовов — агент внутри песочницы может спокойно грохнуть базу, если у него есть credentials.

Agent Gateway занимает свою нишу — это внешний контур, не зависящий от модели. Он не доверяет агенту вообще. Даже если модель взломана и начала слать команды «DELETE * FROM users» — Gateway просто не пропустит этот запрос, потому что политика запрещает DDL. Сравним в таблице:

Подход Уровень Защита от инжекции Гибкость политик Аудит
OpenAI Guardrails Промпт Слабая Ограниченная Только логи модели
Maos AgentGate CI/CD Средняя (до деплоя) Высокая Тестовые прогоны
Песочницы (gVisor) ОС/контейнер Хорошая (изоляция) Нет семантики Системные логи
Agent Gateway Сеть/API Сильная (на уровне запроса) Максимальная Полный дамп

Реальные кейсы: от переводов до медицинских карт

1 Финансовый сервис: агент для межбанковских переводов

Банк внедрил AI-агента на базе Gemini, который по запросу клиента делал переводы через SWIFT API. Проблема: агент мог ошибиться в сумме или отправить деньги на неверный счет. Стандартные guardrails не помогали — модель иногда игнорировала ограничения.

После установки Agent Gateway настроили политику: любой write-запрос к API переводов должен содержать сумму не более $10 000, а получатель должен быть из заранее одобренного списка. Если запрос не проходит — Gateway возвращает агенту HTTP 403 с пояснением, агент отправляет запрос на апрув менеджеру. За месяц — ноль ложных срабатываний и предотвращено две попытки перевода на мошеннические счета (агент был скомпрометирован через промпт-инжекцию).

2 Здравоохранение: агент работы с EHR

Клиника дала агенту доступ к электронным медицинским картам (EHR) для автоматизации выписки рецептов. HIPAA требует, чтобы доступ к PHI был строго контролируем. Agent Gateway настроили на проверку: агент может читать только те поля, которые указаны в политике (имя, диагноз, лекарства), но не может менять историю болезни или удалять записи. Gateway также блокирует массовые экспорты — если агент пытается выгрузить более 100 записей за минуту, запрос идет в дашборд безопасности. Результат — успешный аудит HIPAA без доработок модели.

3 E-commerce: динамическое ценообразование

Маркетплейс разрешил агенту менять цены на товары в зависимости от спроса. Agent Gateway проверял: новое значение не должно отклоняться от базовой цены более чем на 30%, и запрещены изменения для товаров с остатком менее 5 единиц (чтобы избежать «сметания» по заниженной цене). Через неделю работы Gateway зафиксировал аномалию: агент начал массово снижать цены на товары конкурентов — оказалось, в модель закралась вредоносная инструкция через отзывы покупателей. Gateway заблокировал серию запросов и отправил alert.

💡
Важный нюанс: Agent Gateway не заменяет внутренние guardrails модели. Идеальная архитектура — комбинация: правильные архитектурные принципы на уровне кода, CI/CD от Maos AgentGate, песочницы для выполнения кода и внешний контур Agent Gateway как финальный рубеж. Только так можно спать спокойно.

Под капот: как настроить политику (живой пример)

Допустим, у вас агент, который обращается к PostgreSQL через REST-прокси. Пишете политику в YAML:

name: db-write-policy
resources:
  - pattern: "*/api/v1/db/execute"
actions:
  - method: POST
    allow: true
    constraints:
      - regex: "^(?!.*(DROP|TRUNCATE|ALTER)).*$"  # запрет DDL
      - maxBodySize: 1024
rateLimit:
  requestsPerMinute: 60
  burst: 10
audit:
  logAll: true
  alertOn: ["drop", "truncate"]

Gateway применяет эту политику ко всем вызовам. Если агент через промпт-инжекцию попытается выполнить DROP TABLE users, фильтр regex заблокирует запрос до того, как он дойдет до базы. Логи улетят в BigQuery, а оператор получит уведомление в PagerDuty.

Кстати, про инжекцию: песочницы для локальных LLM тоже могут перехватывать вызовы, но на уровне системных вызовов. Gateway работает на уровне API — он понимает семантику: «этот запрос — опасный SQL, а этот — безопасный SELECT». Песочница такого не умеет.

Кому это реально нужно?

Если вы делаете pet-проект с одним агентом, который переворачивает картинки котиков — берите OpenAI Guardrails и не парьтесь. Но если вы в enterprise, где за утечку данных увольняют CISO, а агенты имеют доступ к финансовым транзакциям или медицинским записям — Agent Gateway это ваш must-have. Особенно когда у вас сотни агентов, каждый с разными правами, и нужен централизованный аудит. Агентный хаос в бизнесе — не шутка, без внешнего контура вы рискуете получить цифровой Чернобыль.

Кстати, 8-шаговый план CEO по защите агентов через границы вместо промптов отлично комбинируется с Agent Gateway — он как раз про выстраивание таких внешних рубежей. Берите на вооружение.

Неочевидный совет: не доверяйте даже Gateway

Звучит парадоксально, но любой внешний контур может быть скомпрометирован, если злоумышленник получит доступ к его конфигурации. Храните политики в защищенном репозитории, используйте подпись коммитов, делайте code review для изменений в правилах. И не забывайте про 8 шагов безопасности от промптов до границ системы — там как раз есть раздел про защиту самой инфраструктуры guardrails. Потому что идеальной безопасности не бывает. Но многослойная — бывает.

Подписаться на канал

На главную