Microsoft offers devs a better way to control AI agent behavior

标题和作者

文档标题为《Microsoft offers devs a better way to control AI agent behavior》（微软为开发者提供控制AI代理行为的更好方法）。文章作者未提及。文档主要介绍了微软推出的一项名为 Agent Control Specification (ACS) 的新开源标准，旨在帮助企业解决在不同环境中部署AI代理时确保其按预期执行任务的挑战，从而提供一致且细粒度的行为控制方法。

摘要

本文介绍并阐述了微软推出的一项名为 Agent Control Specification (ACS) 的开源标准，该标准旨在为开发者提供一种更加一致和细粒度的方式来控制AI代理的行为。在本文之前，开发者们已经在尝试通过系统提示、应用代码中的自定义检查或分类器来控制AI代理的所见所为。然而，这些现有方法虽然有效，却导致企业的控制手段碎片化，难以进行审计，也难以在不同的框架、接口和系统中重用。因此，微软推出了ACS来解决这一痛点。具体而言，ACS允许开发者、合规和安全团队将控制规则定义为单一的策略文件，并在代理执行任务的多个关键“拦截点”（如接收输入前、调用工具前、工具返回结果后以及发送最终响应前）进行检查。这些策略可以允许、阻止操作，脱敏敏感信息，甚至要求人工介入批准。ACS目前以SDK的形式发布，并提供了对多种主流框架（如LangChain、OpenAI Agents SDK等）的插件支持，使得安全策略能够跨不同环境和框架跟随代理，极大地提升了AI代理治理的统一性和可移植性。
为了帮助读者更好地理解，以下是本文涉及的一些关键术语和概念的解释：AI agents（AI代理）是指能够自主执行任务、调用工具并与环境交互的人工智能程序；Agent Control Specification (ACS) 是微软推出的开源标准，用于统一管理和限制AI代理的行为；System prompt（系统提示）是给AI模型设定的初始指令，用于规定其基本行为准则；Classifiers（分类器）是一种机器学习模型，用于对输入或输出进行分类，以捕捉有问题的内容；Interception points（拦截点）是指AI代理执行工作流的特定阶段，系统会在这些阶段检查代理行为是否符合预设策略。

主要主题和概念

主题一：AI代理行为控制的碎片化挑战
What（界定问题）：随着AI代理的能力不断增强并在各种应用和产品中被广泛部署，如何确保它们在不同环境中准确执行预期任务成为了一个重大挑战。开发者目前依赖于在系统提示中指定指令、编写自定义代码检查或使用分类器来控制代理行为。
Why（分析问题）：这些临时拼凑的控制方法虽然能够起作用，但会导致企业的控制体系变得碎片化。这种碎片化不仅使得控制策略难以被有效审计，还导致它们无法在不同的框架、接口和系统中被重复利用，增加了开发和维护的成本。
How（解决问题）：微软通过引入 Agent Control Specification (ACS) 开源标准来解决这一问题。ACS将这些分散的控制手段整合到一个通用的治理层中，使得控制策略可以被统一定义和管理。
主题二：细粒度的策略定义与多节点拦截机制
What（界定问题）：企业需要一种精确且全面的方法来规定AI代理能做什么、不能做什么，以及在何种情况下需要人工干预或留下证据。
Why（分析问题）：AI代理在工作流中可能会发生工具误用或产生意外行为，进而导致级联故障。如果没有在任务执行的各个关键阶段进行严格把控，代理很容易偏离既定的安全轨道，造成不可挽回的损失。
How（解决问题）：ACS允许开发者和安全团队编写单一的策略文件，详细规定代理的行为边界。系统会在代理执行任务的多个“拦截点”——包括接收输入前、调用工具前、工具返回结果后以及向用户发送最终响应前——对这些策略进行检查。策略可以执行允许、阻止、脱敏敏感信息或要求人工批准等操作。
主题三：跨框架的策略可移植性与生态集成
What（界定问题）：企业需要确保设定的安全策略能够无缝地应用于不同的开发框架和运行环境，而不是被锁定在特定的系统中。
Why（分析问题）：现代AI开发涉及多种工具和框架，如果安全策略不能跨平台使用，开发者将不得不为每个环境重复编写控制逻辑，这极大地降低了开发效率并增加了出错的风险。
How（解决问题）：ACS将策略编写为独立的单一文件，这些文件可以与代理捆绑在一起。这意味着安全策略能够跟随代理在不同的框架和环境中自由迁移。同时，ACS以SDK的形式发布，并提供了针对 LangChain、OpenAI Agents SDK、AutoGen 等主流工具的插件支持，实现了广泛的生态集成。
以下是本节中可能令人困惑的术语和概念的解释：Open source standard（开源标准）是指公开可用、允许任何人使用和修改的技术规范；Granular control（细粒度控制）指的是对系统或代理行为进行非常精确和具体的控制；Redact sensitive information（脱敏敏感信息）是指在数据传递或输出前，掩盖或移除其中的机密内容；SDK（Software Development Kit，软件开发工具包）是一组开发工具的集合，帮助开发者更轻松地为特定平台创建应用；LangChain、AutoGen、CrewAI 等均为当前流行的AI代理开发框架或库。

重要引文

论点：现有的AI代理控制方法存在碎片化问题，难以审计和跨平台重用，因此需要一个统一的治理层来规范代理行为。
论据：文章指出，如今开发者可能会在系统提示中指定指令，在应用程序代码中添加自定义检查，或者使用分类器来捕捉有问题的输入和输出。这些方法虽然有效，但往往给企业留下了碎片化的控制手段，这些手段“很难审计，也更难在不同的框架、接口和系统中重用”。此外，由于对话集中在因工具误用或导致级联故障的意外行为而引发的AI工作流出错上，开发者们正在临时拼凑控制方法。
论证：文章首先描述了当前开发者在控制AI代理时的临时性做法（系统提示、代码检查、分类器）。接着，文章分析了这些做法带来的负面后果：控制手段碎片化，不仅难以审计，也无法在不同框架间复用。最后，文章顺理成章地引出了微软的解决方案——Agent Control Specification (ACS)，论证了ACS旨在将这些分散的控制手段整合到一个通用的治理层中，从而有效解决现有方法的不足。
为了确保读者理解，以下是对本节中部分术语的解释：Cascading failures（级联故障）是指系统中一个组件的故障引发其他组件的连续故障，导致整个系统崩溃；System prompt（系统提示）是提供给AI模型的基础指令集；Application code（应用程序代码）是开发者编写的实现软件功能的计算机指令；Frameworks（框架）是为开发者提供基础结构和标准组件的软件平台，简化了开发过程。

总结

微软推出的 Agent Control Specification (ACS) 标志着AI代理治理领域的一项重要进步。其最引人注目的亮点在于，它将原本分散、难以管理的代理控制逻辑（如提示词限制、代码级检查）转化为可移植、可审计的单一策略文件。这不仅解决了企业当前面临的控制碎片化痛点，还通过在接收输入、调用工具、返回结果等关键节点的“拦截点”检查，极大地增强了AI代理运行的安全性和可靠性。ACS以SDK形式发布并广泛支持 LangChain、OpenAI Agents SDK 等主流框架，这意味着它能够无缝融入现有的开发工作流中。当前，随着AI代理越来越多地参与到企业的核心业务流程中，如何防止“工具误用”和“级联故障”是亟待解决的问题。ACS的应用场景涵盖了任何需要部署AI代理的领域，特别是在对合规性和安全性要求极高的金融、医疗等行业。未来，随着该标准的普及，有望看到更多企业放心地解锁AI代理的自动化潜力，而无需牺牲对系统行为的绝对掌控。