Архитектура ИИ-агентов в корпоративной платформе SimpleOne | AiManual
AiManual Logo Ai / Manual.
02 Июл 2026 Новости

Архитектура ИИ-агентов в корпоративной платформе: компоненты, сценарии и безопасность

Разбираем устройство ИИ-агентов на платформе SimpleOne: от компонентов и сценариев до защиты от атак. Актуально для разработчиков корпоративных систем.

Демонстрация, после которой захотелось разобрать всё по винтикам

Когда я впервые увидел демонстрацию ИИ-агента в корпоративной ESM-системе, первой мыслью было: «Очередной чат-бот с GPT-обёрткой». Но разработчики SimpleOne показали нечто иное — модульную архитектуру, где агент — не монолит, а набор взаимодействующих компонентов. Разберём, из чего она состоит и почему это напрямую влияет на безопасность.

Проблема многих корпоративных AI-решений — они пытаются скопировать SaaS-ботов: один промпт, одна модель, один эндпоинт. В enterprise так не работает. Здесь нужны изоляция доменов, контроль доступа к чувствительным данным и возможность кастомизировать поведение без переписывания ядра. Именно это и закладывали в архитектуру агентов SimpleOne.

1 Компоненты: не просто промпт, а целый конвейер

Архитектура агента в SimpleOne состоит из четырёх слоёв, каждый из которых отвечает за свою зону ответственности. В отличие от популярного подхода с MCP, который недавно критиковали в практическом руководстве по разработке AI-агентов, здесь нет единого транспортного протокола. Вместо этого — адаптеры.

СлойНазначениеПример реализации
ОркестраторМаршрутизация запроса и управление состоянием диалогаВстроенный workflow-движок платформы
Адаптеры данныхИзвлечение и фильтрация контекста из CMDB, инцидентов, баз знанийLow-code коннекторы с маппингом полей
Контекстный менеджерСборка промпта с учётом прав доступа и политик безопасностиШаблоны с переменными, проверяемые через RBAC
Модуль решенийВыбор действия: ответ, создание тикета, запуск скриптаВызов API платформы через sandbox

Каждый слой можно кастомизировать через low-code интерфейс. Разработчик не пишет код на Python, а конфигурирует адаптеры и триггеры. Это снижает порог входа, но главное — уменьшает поверхность для атак. Меньше кода — меньше ошибок, которые могут привести к реальным атакам на AI-агентов, описанным в рамках OWASP ASI.

Сценарии: от «привет, как дела?» до апрува бюджета

Проще всего показать, зачем нужна такая архитектура, на конкретных кейсах. Один из самых частых — обработка инцидентов. Агент получает запрос, через адаптер тянет данные о пользователе и его устройстве из CMDB, контекстный менеджер формирует промпт, а модуль решений создаёт тикет и отправляет ответ.

Более сложный сценарий — approval workflow. Например, запрос на изменение конфигурации. Здесь агент выступает не просто как чат-бот, а как посредник, который проверяет, есть ли у пользователя права, и если нет — запускает цепочку согласований. Именно такой подход описан в статье «Три агента вместо одного», где автор разделил обязанности между специализированными агентами.

Ещё один сценарий — поиск знаний. Агент не просто ищет по статьям, а формирует ответ на основе актуальных записей, при этом гарантирует, что пользователь видит только те данные, к которым у него есть доступ. Это особенно важно в регулируемых отраслях.

Ключевой принцип: агент никогда не получает доступ к сырой БД. Все данные проходят через адаптеры, которые накладывают фильтры на уровне платформы. Это не промпт-инженерия, а архитектурная защита.

Безопасность: как не превратить агента в троянского коня

Самая большая боль корпоративных ИИ-агентов — промпт-инъекции и утечка данных. Когда агент имеет root-доступ к системе, как та самая история с 40 000 голых агентов, беды не избежать. В Simpleone пошли по пути минимальных привилегий.

  • Изоляция контекста: каждый запрос обрабатывается в отдельном «песочнице» без сохранения состояния между сессиями.
  • Валидация действий: модуль решений не выполняет произвольный код, а вызывает строго определённые API-методы.
  • Мониторинг и аудит: все действия агента логируются в том же формате, что и действия человека — для compliance.

Этот подход перекликается с идеями из 8-шагового плана CEO, где предлагается защищать системы с помощью границ, а не промптов. Фактически, архитектура SimpleOne реализует эти границы на уровне платформы, не требуя от разработчика писать сложные инструкции.

Ещё один важный аспект — управление нечеловеческими идентичностями. У агента есть свой аккаунт в системе, с ограниченными правами. Как отмечается в статье «AI-агенты как новая угроза», эти «нелюди» могут стать слабым звеном, если не контролировать их доступ.

Совет: никогда не давайте агенту права на изменение собственного промпта или конфигурации. Если злоумышленник сможет переписать инструкцию через саму платформу — вы получите APT внутри собственного ИИ.

Что дальше: эволюция агентов или их размножение?

Платформа SimpleOne — живой пример того, как корпоративная ESM-система может интегрировать ИИ без риска для безопасности. Но будущее не за одним супер-агентом, а за роем специализированных. Уже сейчас, как показывает пример Джеффа Эмануэля, который управляет 20+ агентами (читайте его кейс), масштабирование идёт через оркестрацию, а не через монолит.

Простой путь — дать агенту права администратора и попросить «делать всё правильно». Сложный — выстроить архитектуру, где каждый компонент отвечает за свою часть, а агент — лишь умный посредник, работающий в жёстких рамках. SimpleOne выбрали второй путь. И похоже, это единственный рабочий вариант для enterprise.

Настоящая проблема, впрочем, не техническая, а культурная. Компании пытаются доверить агенту root-доступ, но боятся дать ему право читать почту. Парадокс. Возможно, через год мы поймём, что самый безопасный агент — тот, у которого меньше всего прав, а не самый умный.

Подписаться на канал