Microsoft Agent Governance Toolkit: обзор
Обзор Microsoft Agent Governance Toolkit — open-source инструмент для политик безопасности, zero-trust идентификации и sandboxing автономных AI-агентов.
Microsoft Agent Governance Toolkit: полный обзор
«Governance toolkit is only useful if it works with the frameworks people actually use. We designed the toolkit to be framework-agnostic from day one» — Imran Siddique, Principal Group Engineering Manager, Microsoft
Что это и для кого
AI-агенты уже умеют бронировать авиабилеты, выполнять финансовые транзакции, писать и запускать код, управлять инфраструктурой без участия человека. Фреймворки вроде LangChain, AutoGen, CrewAI и Azure AI Foundry Agent Service сделали эту автономность несложной в развёртывании, но инфраструктура управления безопасностью безнадёжно отстала.
Microsoft выпустил Agent Governance Toolkit (AGT), чтобы закрыть этот разрыв. Это многопакетный OSS-монорепозиторий для runtime-управления AI-агентами: применение политик, zero-trust идентификация, изолированное выполнение, SRE, соответствие требованиям, примеры, документация и SDK.
Для кого предназначен:
- Команды, разрабатывающие production-системы с автономными AI-агентами
- Security-инженеры, которым нужен аудит и контроль над действиями агентов
- DevOps/SRE-команды, управляющие флотами агентов
- Организации, обязанные соответствовать EU AI Act, SOC 2, HIPAA, GDPR
Архитектура: 8 слоёв управления
Toolkit включает восемь модулей: Agent OS (политики и жизненный цикл агентов), Agent Mesh (обнаружение агентов, маршрутизация, trust mesh), Agent Runtime (изолированное выполнение с четырьмя кольцами привилегий), Agent SRE (kill switch, мониторинг SLO, chaos testing), Agent Compliance (верификация по OWASP, линтинг политик), Agent Marketplace (управление плагинами и скоринг доверия), Agent Lightning (управление RL-обучением с штрафами за нарушения), Agent Hypervisor (аудит выполнения, delta engine, commitment anchoring).
graph TD
A[AI-агент] --> B[govern()]
B --> C{Policy Engine}
C -->|Allow| D[Выполнение действия]
C -->|Deny| E[GovernanceDenied]
C --> F[Audit Log < 0.1ms]
B --> G[AgentMesh: Zero-Trust Identity]
B --> H[Agent Runtime: Execution Rings]
B --> I[Agent SRE: SLO + Kill Switch]
G --> J[Ed25519 / SPIFFE / DID]
H --> K[Ring 0–3: Privilege Isolation]
I --> L[Circuit Breaker / Chaos Tests]
Ключевые возможности
1. Policy Engine — детерминированное применение политик
Каждый вызов инструмента, обращение к ресурсу и межагентное сообщение оцениваются по политике перед исполнением — детерминированно, с задержкой менее миллисекунды, с полным аудитом.
Prompt-based безопасность («пожалуйста, следуй правилам») даёт 26,67% нарушений в red-team тестировании. Application-layer enforcement AGT — 0,00%.
Движок поддерживает три языка политик: YAML rules, OPA Rego и Cedar.
Пример политики на YAML и её применение:
# policy.yaml
apiVersion: governance.toolkit/v1
name: production-policy
default_action: allow
rules:
- name: block-destructive
condition: "action.type in ['drop', 'delete', 'truncate']"
action: deny
description: "Destructive operations require human approval"
- name: require-approval-for-send
condition: "action.type == 'send_email'"
action: require_approval
approvers: ["security-team"]
>>> safe_tool(action="read", table="users")
{'table': 'users', 'rows': 42}
>>> safe_tool(action="drop", table="users")
GovernanceDenied: Action denied by policy rule 'block-destructive'
2. Zero-Trust Identity (AgentMesh)
Идентификация агентов строится на DID (Decentralized Identifiers) с поведенческим скорингом доверия. Реализованы Ed25519-криптография с управлением жизненным циклом (active/suspended/revoked), делегационные цепочки, JWK/JWKS импорт/экспорт, экспорт в W3C DID Document.
AgentMesh присваивает оценки доверия по шкале 0–1000. Новый агент получает 500 (Standard tier). Изменение оценки определяется историей соответствия политикам, успешными завершениями задач и нарушениями доверительных границ.
3. Execution Sandboxing — кольца привилегий
Изолированное выполнение кода реализовано через execution rings с ограничениями ресурсов. Для production рекомендуется запускать каждого агента в отдельном контейнере с governance middleware внутри — это даёт одновременно application-level enforcement и OS-level изоляцию.
4. OWASP Agentic Top 10 — полное покрытие
OWASP Top 10 для Agentic Applications (2026), опубликованный в декабре 2025 года — первый peer-reviewed фреймворк, специально нацеленный на безопасность автономных AI. AGT покрывает все 10 рисков:
Goal hijacking закрывается семантическим классификатором намерений в policy engine. Tool misuse — capability sandboxing и MCP security gateway. Identity abuse — DID-идентификация с поведенческим скорингом. Supply chain risks — подпись плагинов через Ed25519. Code execution — execution rings с ограничениями ресурсов. Memory poisoning — Cross-Model Verification Kernel (CMVK) с голосованием большинства.
Toolkit покрывает все 10/10 контролей OWASP ASI 2026 — это верифицируется автоматизированным CLI, который генерирует подписанную аттестацию при каждом развёртывании командой agent-compliance verify.
5. Compliance & Audit
Автоматическое маппирование соответствия для EU AI Act, SOC 2, HIPAA и GDPR. Защищённые от подделки цепочечные Merkle-аудит-логи. Воссоздаваемые Decision BOM из сигналов наблюдаемости.
6. Agent SRE — надёжность и хаос-инжиниринг
SLO, error budgets, replay debugging, chaos engineering и circuit breakers для флотов агентов. Встроенная наблюдаемость в стандарте OTel с структурированными governance-событиями.
7. MCP Security & Supply Chain
Обнаружение tool poisoning, мониторинг дрейфа описаний, проверки typosquatting и сканирование скрытых инструкций в определениях MCP-инструментов.
Начинать рекомендуется с минимальной конфигурации:
pip install agent-governance-toolkit[full]
Каждый слой опционален. Начните с govern() и добавляйте слои по мере роста профиля рисков. Большинство команд ограничивается policy enforcement + audit logging и никогда не переходит к полному стеку.
Поддерживаемые языки и фреймворки
SDK доступны для Python, TypeScript, .NET, Rust и Go. Toolkit работает с LangChain, CrewAI, AutoGen, OpenAI Agents, Google ADK, Semantic Kernel, AWS Bedrock и более чем 20 другими фреймворками.
Toolkit интегрируется с существующими агентными фреймворками без переписывания кода, подключаясь через нативные точки расширения: callback handlers LangChain, task decorators CrewAI, plugin system Google ADK, middleware pipeline Microsoft Agent Framework.
Тарифы и лицензия
Agent Governance Toolkit доступен бесплатно на GitHub. Проект лицензирован под MIT License.
| Компонент | Стоимость |
|---|---|
| Базовый пакет (OSS) | Бесплатно |
| Все SDK (Python, TS, .NET, Rust, Go) | Бесплатно |
| Azure-интеграция (AKS sidecar) | По тарифам Azure |
| Корпоративная поддержка | Через Microsoft |
Плюсы и минусы
| ✅ Плюсы | ❌ Минусы |
|---|---|
| Полное покрытие OWASP Agentic Top 10 (10/10) | Public Preview: возможны breaking changes |
| Задержка применения политик < 0,1 мс | Требует Python 3.10+ / Node.js 18+ |
| 5 языков SDK (Python, TS, .NET, Rust, Go) | Большой стек — не все команды нуждаются в полной комплектации |
| 20+ интеграций с популярными фреймворками | Azure-интеграции требуют настройки credentials |
| Бесплатная MIT-лицензия | Colang/OPA/Cedar требуют изучения |
| Автоматическая аттестация OWASP compliance | Относительно молодой проект (запущен апрель 2026) |
| Compliance mapping: EU AI Act, SOC 2, HIPAA, GDPR | Зависимость от экосистемы Microsoft для Azure-фич |
| 9500+ тестов, фаззинг, SLSA provenance | — |
Сравнение с альтернативами
Рынок «AI agent guardrails» в 2026 году многолюден, но слово означает разные вещи на разных уровнях стека. Четыре слоя: content, evaluation, sandbox, action — каждый ловит свой класс сбоев, и ни один не заменяет другой.
| Параметр | AGT (Microsoft) | NVIDIA NeMo Guardrails | Guardrails AI |
|---|---|---|---|
| Основной фокус | Runtime governance агентов | Диалоговые rails для LLM | Output validation для LLM |
| Слой защиты | Action / Runtime | Content / Dialog | Output / Evaluation |
| Язык политик | YAML, OPA Rego, Cedar | Colang DSL | Python validators |
| Задержка | < 0,1 мс | 100–300 мс | 50–200 мс |
| Идентификация агентов | DID + Ed25519 + trust scoring | ❌ | ❌ |
| OWASP Agentic Top 10 | 10/10 ✅ | Частично | Частично |
| Execution sandboxing | 4 кольца привилегий | ❌ | ❌ |
| Соответствие EU AI Act | Автоматически | Нет | Нет |
| Лицензия | MIT | Apache 2.0 | Apache 2.0 |
| Цена | Бесплатно | Бесплатно | Бесплатно (Cloud — $500/мес) |
| Зрелость | Public Preview | v0.21.0 (Production) | Production |
NeMo Guardrails поставляет все пять категорий rails: input, output, dialog, retrieval и execution. Политики Colang описывают допустимые и недопустимые намерения пользователя. Лучший выбор для регулируемых отраслей, где нужно задать конечный список разрешённых намерений агента.
Установка и быстрый старт
# Python — полный пакет
pip install agent-governance-toolkit[full]
# Отдельные компоненты
pip install agent-os-kernel # Policy enforcement
pip install agentmesh-platform # Zero-trust identity
pip install agent-sre # SLOs и chaos testing
# TypeScript
npm install @agentmesh/sdk
# .NET
dotnet add package Microsoft.AgentGovernance
from agent_os import PolicyEngine, CapabilityModel
engine = PolicyEngine(capabilities=CapabilityModel(
allowed_tools=["web_search", "file_read"],
denied_tools=["file_write", "shell_exec"],
))
decision = engine.evaluate(
agent_id="researcher-1",
action="tool_call",
tool="web_search"
)
Проект поставляется с более чем 9500 тестами по всем пакетам, использует ClusterFuzzLite для непрерывного фаззинга, а пайплайн сборки включает SLSA-совместимое происхождение, трекинг OpenSSF Scorecard, сканирование CodeQL и мониторинг зависимостей Dependabot.
Вердикт
Рейтинг: 9/10
Microsoft Agent Governance Toolkit — наиболее полное на сегодняшний день open-source решение для runtime governance автономных AI-агентов. Runtime policy enforcement, zero-trust идентификация, execution sandboxing и SRE — всё это с покрытием 10/10 OWASP Agentic Top 10 и 6100+ тестами на трёх языках.
Кому подойдёт:
- ✅ Командам, переводящим AI-агентов в production с реальными действиями
- ✅ Организациям под регуляторным давлением (EU AI Act, HIPAA, SOC 2)
- ✅ Security-командам, которым нужен детерминированный аудит каждого действия агента
- ✅ ML-инженерам, использующим LangChain, AutoGen, CrewAI, OpenAI Agents SDK
Кому пока рано:
- ⚠️ Небольшим проектам без требований к compliance — избыточно сложен
- ⚠️ Командам, которым нужен стабильный GA-релиз: проект в Public Preview и до GA возможны breaking changes
Microsoft намерен передать проект в фонд для community governance и активно взаимодействует с OWASP agentic AI community для обеспечения этого перехода — сигнал о серьёзных долгосрочных намерениях.