微软推出开源规范 协助开发者精细管控AI代理行为

随着企业加速把 AI 代理嵌入各类应用、工作流和产品，一个突出难题是：同一个代理在不同环境中运行时，如何确保其行为始终符合预期和合规要求。 目前，开发者往往通过系统提示词、在应用代码中加入自定义校验，或利用分类器拦截问题输入输出等方式“拼接式”地搭建控制机制。 这些做法在短期内可以工作，但很容易导致控制策略分散在不同框架和接口中，既难以审计，也难以在多个系统之间复用。 在行业反思 AI 工具调用错误、意外操作引发连锁故障等问题的背景下，这一痛点愈发突出。

微软表示，ACS 的目标是把分散的控制手段整合到一个统一的治理层中，让开发、替换正文合规和安全团队可以通过一份策略文件来约束代理行为。 在这些策略文件中，团队可以明确规定：代理允许执行哪些操作、禁止执行哪些操作、在什么情况下需要人类审批，以及需要记录哪些证据以备日后审查。 在代理执行任务的多个关键“拦截点”，系统会对照这些策略进行检查，以确保代理始终在“护栏”之内运行。

具体而言，ACS 允许在代理工作流的多个阶段实施检测：包括代理接收输入之前、调用工具之前、工具返回结果之后，以及向用户输出最终回复之前。 策略可以在这些节点上给出不同处置：例如直接允许某个动作、阻断执行、对敏感信息进行脱敏或遮盖，或者将决策提交给指定人员审批。 除此之外，开发者还可以集成输入和输出分类器，对信息进行分类、预测可能结果或指导代理如何回应；也可以引入大型语言模型配合特定提示词，让其充当策略“裁判”，并加入检查工具调用、工具选择、输入准确性、输出使用方式以及回复内容的逻辑。

ACS 的一大设计思路，是将这些控制策略写成独立、可移植的单一文件，并与代理一同“打包”。 这样一来，同样的一套安全与合规策略可以随代理在不同框架和运行环境之间迁移，而无需反复重写规则逻辑，从而增强了跨系统的一致性和可审计性。 对于在多个业务线、多个技术栈中并行推进 AI 部署的大型企业而言，这种“策略随代理走”的模式，有望在降低治理成本的同时，提升合规透明度。

在落地形态上，ACS 以 SDK 形式提供，并已集成到多个主流代理框架和开发工具中。 据介绍，ACS SDK 目前支持 LangChain、OpenAI Agents SDK、Anthropic Agents SDK、AutoGen、CrewAI、Semantic Kernel、Microsoft.Extensions.AI 以及 MCP 工具等生态。 通过这些插件，开发者可以在既有的代理应用中接入 ACS，将策略文件嵌入原有工作流，无需从头重构系统架构。

在 AI 代理快速渗透企业业务的当下，如何在“可用”“好用”和“可控”“可审计”之间找到平衡，已经成为技术团队、合规部门与安全团队共同面对的现实课题。 微软此次推出的 Agent Control Specification，试图以开放标准的方式，为行业提供一套统一的治理基础设施，使 AI 代理在不同场景中运行时，既能保持灵活性，又能够被清晰地约束和追责。