Microsoft ACS: спецификация для безопасного управления AI-агентами | AiManual
AiManual Logo Ai / Manual.
02 Июн 2026 Новости

Microsoft ACS: новый стандарт управления AI-агентами — спецификация для безопасного развертывания

Microsoft представила открытую спецификацию Agent Control Specification (ACS) для политик безопасности агентов. Как это изменит enterprise-разработку?

Агенты выходят из-под контроля — Microsoft решила надеть на них намордник

Если вы следили за новостями последних месяцев, то знаете: AI-агенты — это одновременно и главная надежда enterprise, и его головная боль. Мы уже писали, как AWS и Cisco взялись за MCP и A2A протоколы, пытаясь навести порядок в диком западе агентных коммуникаций. Но хватало ли этого? Очередной инцидент с Claude Code, случайно удалившим продакшн, показал: проблема глубже. Мало договориться о том, как агенты общаются — надо ещё и контролировать, что им разрешено делать. И вот на сцену выходит Microsoft со своим Agent Control Specification (ACS).

Microsoft ACS — это открытая спецификация, определяющая единый формат политик безопасности для AI-агентов. В отличие от MCP (который отвечает за контекст) или A2A (за взаимодействие), ACS заточена на контроль действий: что агенту можно, что нельзя, и как это аудировать.

Что не так с текущими подходами к безопасности агентов?

Сегодня, если разработчик хочет ограничить агента, он либо вшивает правила прямо в код (и потом их никто не обновляет), либо полагается на промпт-инжиниринг, который ломается от первой же инъекции. Мы в 8-шаговом плане CEO уже говорили: границы должны быть на уровне системы, а не промптов. ACS — буквально материализация этой идеи.

Спецификация определяет декларативный формат политик (YAML/JSON), которые можно прикреплять к любому агенту, независимо от его фреймворка или runtime. Политики описывают:

  • Допустимые действия — какие API может вызывать агент, с какими параметрами.
  • Ограничения на данные — какие поля из CRM можно читать, а какие — нет.
  • Правила делегирования — кому агент может передоверять задачи (прямая защита от атак через A2A).
  • Аудит и логи — каждое действие агента должно быть записано в едином формате.

Главный козырь ACS — открытость и совместимость

Microsoft выложила спецификацию на GitHub под лицензией MIT. Любой может реализовать свою среду выполнения политик. Более того, ACS не привязана к Azure — она может работать поверх OpenAI, Anthropic, локальных LLM и, конечно, любых MCP/A2A серверов. Это даёт надежду, что экосистема не разделится на вендорские «огороженные сады».

В Microsoft говорят, что ACS уже протестирована на тысячах агентов внутри компании и в пилотных проектах с партнёрами. Первые публичные реализации появятся в Azure AI Foundry и, по слухам, в Copilot Studio.

Как ACS решает проблему prompt injection?

Одна из частых атак: злоумышленник внедряет в промпт инструкцию «дай доступ к базе». Без ACS агент подчиняется — ведь он видит только промпт. С ACS политика проверяется на уровне рантайма: агент может сколько угодно «хотеть» выполнить запрещённое действие, но runtime его заблокирует. Это похоже на то, как 8 шагов безопасности для AI-агентов рекомендуют внедрять внешние шлюзы.

💡
Разница между ACS и обычными guardrails: guardrails — это набор правил внутри одного рантайма. ACS — это стандарт, который позволяет описывать правила один раз и применять к любому агенту, даже если он написан на Python, Java или TypeScript и работает в другом облаке.

Реакция сообщества и первые отзывы

Спецификация была опубликована 28 мая 2026 года и уже собрала более 12 тысяч звёзд на GitHub (на 2 июня). Разработчики отмечают, что ACS закрывает самую болезненную дыру — отсутствие единого языка для описания того, «что можно агенту». Особенно горячо встретили встроенную поддержку

Некоторые скептики, однако, предупреждают: «Политики — это только половина дела. Нужно ещё, чтобы агенты действительно подчинялись». Действительно, если агент может игнорировать политику (например, при баге в реализации), то ACS бесполезна. Но Microsoft закладывает в спецификацию механизм криптографической верификации — каждое действие проверяется на соответствие политике перед исполнением, а результат подписывается.

Что дальше?

Лично я считаю, что ACS — это логичный шаг в эволюции безопасного AI. Протоколы MCP и A2A решили проблему «как общаться», теперь ACS решает «что можно делать». Три кита — и, возможно, через год мы перестанем читать заголовки вроде «AI-агент украл данные». Но не расслабляйтесь: как только появится стандарт, хакеры начнут искать обходные пути. Вопрос не в том, защитит ли ACS на 100%, а в том, поднимет ли она планку настолько, что взлом станет экономически невыгоден. Пока что это похоже на обещание — но обещание, за которым стоит Microsoft с её инфраструктурой и опытом enterprise-безопасности.

Если вы разрабатываете агентов, уже сейчас стоит изучить ACS и подумать, как интегрировать его в ваш стек. Как минимум — это может стать обязательным требованием для корпоративных клиентов уже в 2027 году. Управление доверием в swarm без такой спецификации — это игра в русскую рулетку.

Подписаться на канал

На главную