Эволюция и внедрение агентного ИИ: зрелость и архитектура

Складывается впечатление, что агентный ИИ уже вышел за рамки фантастических обещаний и вступил в фазу прагматичной апробации. Так ли это? В статье эксперт онлайн-магистратур Центра «Пуск» МФТИ Денис Прилепский отвечает на этот вопрос и рассказывает, как эволюционировал агентный ИИ и как сегодня технологию внедряют в работу компаний.

Статья разделена на две части. В первой (вы сейчас здесь) поговорим о том, как агентный ИИ переходит из зоны эффектных демонстраций в зону инженерной ответственности. Во второй части — о правилах, рисках и ошибках внедрения технологии в структуру бизнеса.

Кому будет полезно. Статья заинтересует разработчиков, исследователей, инженеров, студентов и предпринимателей, работающих с автономными системами и автоматизацией.

Об авторе. Меня зовут Денис Прилепский. Уже 15 лет работаю в технологическом консалтинге. Моя специализация — архитектура ИТ-систем и трансформация ИТ-ландшафта. За последние пару лет участвовал во внедрении GenAI-решений в высокорегулируемых отраслях (финансы, телеком, здоровье), где особенно важно обеспечить безопасность данных и соответствие требованиям регуляторов. Буду рад поделиться накопленным опытом и наблюдениями.

Эволюция агентного ИИ

Агентный ИИ — это искусственный интеллект, который действует как самостоятельный агент, принимая решения и выполняя задачи в окружающей среде для достижения целей. Он постепенно переходит из зоны эффектных демонстраций в зону инженерной ответственности. Стоимость интеграции, неопределенность результата и риски автономных действий становятся главными причинами, по которым многие инициативы не доходят до устойчивого продакшена.

По оценке Gartner, более 40% проектов в области Agentic AI могут быть отменены к концу 2027 года из‑за роста затрат, неясной бизнес-ценности или недостаточного контроля рисков. Там же отмечена проблема agent washing, а также указано, что реальных вендоров существенно меньше, чем маркетинговых заявлений.

Параллельно формируется инфраструктурный слой для масштабирования агентов. Появляются открытые протоколы взаимодействия (например, A2A под нейтральным управлением Linux Foundation). Создаются организационные оболочки для стандартов (AAIF), куда передаются MCP, AGENTS.md и другие базовые компоненты.

С точки зрения безопасности, 2025–2026 годы стали переломными. OWASP выпустила отдельный топ-10 именно для agentic-приложений. Там перечислены классы угроз, характерные для автономных систем (goal hijack, tool misuse, memory poisoning, insecure inter-agent communication, cascading failures и т. д.). И это уже риски не из теории, а из практики.

От генеративного ИИ к агентному: новый цифровой коллега

Еще недавно корпоративные AI-решения ограничивались генеративными моделями — умными ассистентами, отвечающими на запросы человека (чат-боты, системы автодополнения кода и т. д.).

Агентный ИИ (Agentic AI) представляет следующий шаг. Это не просто инструмент по запросу, а проактивный цифровой коллега, способный самостоятельно выполнять задачи и принимать решения. Если генеративный ИИ генерирует контент по команде, то агентный ИИ действует по цели. GenAI реагирует на промпты, а Agentic AI сам инициирует действия для достижения заданных целей.

Ключевое отличие — у агента цикла есть функция автономного действия. Получив высокоуровневую цель, агент разбивает ее на шаги: планирует решение, вызывает нужные инструменты (через API, базы знаний и т. д.), проверяет результаты и при необходимости корректирует план, пока цель не достигнута.

Такой цикл не является чем-то новым и выглядит так: Plan — Act — Observe — Reflect (Планировать — Действовать — Наблюдать — Переосмысливать). Цикл повторяется до завершения задачи или до наступления ограничений: дедлайн, исчерпание бюджета или возникновение риска. В отличие от привычных чат-ботов, которые пассивно ждут запросов пользователя, агентный ИИ может работать непрерывно и проактивно.

Такой подход открывает новые возможности. Например, если GenAI способен написать письмо по заданному запросу, то агентный ИИ может самостоятельно управлять процессом.

Как это работает:

• получить задачу — повысить удовлетворенность клиентов;

• собрать отзывы;

• выявить проблемные точки;

• сгенерировать план улучшений и даже инициировать их выполнение через доступные инструменты.

Агентный ИИ превращается в цифрового сотрудника, которому можно делегировать ограниченно сформулированные задачи end-to-end. Он не ждет указаний для каждого шага, а сам решает, что и когда делать для достижения цели.

Концепция агентного ИИ вызвала всплеск интереса, но вместе с тем обусловила появление более строгих требований. Дав алгоритмам автономность, бизнес сталкивается с вопросами ответственности, контроля и надежности. Кто будет отвечать, если агент ошибается? Поэтому при внедрении таких решений важно понимать, на каком этапе развития они находятся, как правильно выстроить их архитектуру, по каким практикам внедрять и какие риски учитывать. Рассмотрим эти аспекты по порядку.

Модель зрелости агентных систем (Crawl — Walk — Run — Fly)

Переход от простых AI-скриптов к полноценным автономным агентам — это эволюционный путь. Выделяют 4 фазы зрелости корпоративных ИИ-агентов. Метафорически: ползти — идти — бежать — лететь.

Фазы зрелости:

1. Assistive/Assisted Intelligence (Crawl) — базовая автоматизация и аналитика. Традиционные правила и скрипты, RPA-боты, простые ML-модели, чат-боты FAQ. Они автоматизируют узкие рутинные задачи по заранее заданным правилам, облегчая работу человеку, но не обладают гибкостью или инициативой. Проще говоря, это скриптовые ассистенты, которые делают только то, что запрограммировано заранее.

2. Генеративные ассистенты (Walk) — более продвинутые помощники на базе больших языковых моделей (LLM), способные понимать естественный язык и выполнять сложные запросы. Например, Microsoft 365 Copilot, Google Workspace Duet AI, специализированные GPT-боты. Такие решения дают существенный рост продуктивности. Генеративные ассистенты умеют резюмировать документы, составлять письма, отвечать на произвольные вопросы. Однако они действуют в режиме «один запрос — один ответ» и сами инициативы не проявляют. Фактически это умные коллеги по вызову, которые молчат, пока их не спросят. Они реактивны и не выполняют многошаговых операций без прямой команды.

3. Целеориентированные агенты (Run) — агентный ИИ в нашем понимании. Пользователь (или система) задает агенту высокоуровневую цель, а тот сам планирует и выполняет серию шагов для ее достижения. Такие агенты включают в себя планировщик, доступ к инструментам/API, механизм хранения знаний о предыдущем опыте и обучение на обратной связи. В результате получается цифровой сотрудник, который может автономно решить ограниченно сформулированную задачу end-to-end с минимальным вмешательством человека. Например, агент технической поддержки способен сам обработать заявку: проанализировать проблему, собрать нужные логи, применить исправление и уведомить пользователя, привлекая человека лишь при нестандартной ситуации. В 2026 году большинство продвинутых пилотных проектов агентного ИИ находятся именно на этой фазе: агенты решают нетривиальные, но узкие задачи (маркетинговая аналитика, реагирование на инциденты, оптимизация расходов и т. д.) с минимальной поддержкой оператора. Это огромный скачок по сравнению с фазой 2 (переход от одиночных ответов к многошаговым самостоятельным действиям), но и новые сложности: требуются надежная архитектура и строгие ограничения, чтобы агент действовал правильно и безопасно. На практике фаза 3 обычно реализуется с человеком-наблюдателем в цикле или финальным подтверждением важных действий: агент «бежит», но со страховочным тросом на случай, если понадобится вмешательство.

4. Полностью автономные системы (Fly) — идеальный (и пока во многом теоретический) этап. Это целые цифровые экосистемы агентов, выполняющие работу практически без участия людей. Представьте, что агенту или команде агентов можно поручить бизнес-процесс целиком (например, обработку заказов от оформления до доставки) и они сами адаптируются к любым нестандартным ситуациям. По состоянию на 2026 год реальных продакшен-систем фазы 4 единицы и все они работают в экспериментальном режиме. Технические, этические и организационные барьеры здесь огромны, и далеко не всем компаниям нужно отпускать ИИ в свободный полет в критичных процессах. Фаза 4 пока остается экспериментальным полигоном, визионерской целью, к которой можно стремиться в отдельных нишах после успешного прохождения предыдущих этапов.

Большинство предприятий, продвинутых в части цифровизации, сегодня находятся между фазами 2 и 3. Они используют генеративные инструменты для поддержки персонала и параллельно тестируют первые автономные агенты в пилотах. Начинают с фазы 2 (GenAI-ассистент для сотрудников), затем берут одну приоритетную задачу и пытаются реализовать ее средствами агента (фаза 3). Каждый шаг требует не только улучшения технологий, но и организационной готовности. Важно трезво оценивать свой уровень зрелости: если у вас только простые RPA-скрипты (фаза 1), не стоит сразу «отправляться в полет» и доверять AI критичные процессы. Разумнее сперва внедрить помощника (фаза 2) и набраться опыта работы с AI, затем постепенно повышать автономность на ограниченном участке. Нужно двигаться поступательно, накапливая экспертизу и доверие к технологиям. Сначала учимся ходить, потом — бегать и только потом — летать.

Архитектура: 7 столпов агентного ИИ

Что должно быть «под капотом», чтобы ИИ-агент вышел за рамки прототипа и надежно работал в продакшене?

Практика показывает, что успешные агентные системы строятся из схожих ключевых компонентов — 7 столпов архитектуры. Эти модули образуют полный цикл способностей агента: от восприятия информации до обеспечения безопасности и контроля. Если хотя бы один из столпов слаб, агент рискует не оправдать ожиданий.

Рассмотрим каждый компонент.

Восприятие и ввод данных. Агенту нужны «органы чувств», чтобы понимать, когда действовать и с какими входными данными. Этот слой отвечает за интеграцию с источниками событий и информации: корпоративные базы данных и реестры, файлы, документооборот, шины сервисов, стриминг событий, внешние API, пользовательские интерфейсы и т. д. Агент должен получать актуальные сигналы: от HTTP-запроса или нового тикета в системе до изменения в таблице или наступления определенного времени. Грамотно настроенный слой ввода обеспечивает правильные данные для анализа и действий. Если этот компонент западает, агент либо не запустится, либо будет работать на устаревшей или неполной информации.

Память и знания. В отличие от статичных скриптов, умный агент должен обладать памятью: как краткосрочной (контекст текущей задачи), так и долгосрочной (накопленные знания, история взаимодействий). Память дает агенту ситуационную осведомленность: он помнит, что уже было сделано и какие факты известны по задаче. Это реализуется через совокупность хранилищ: оперативная память (например, последние N шагов диалога или текущий контекст заявки), долговременная память — корпоративные базы знаний и векторные БД эмбеддингов для семантического поиска по документам, эпизодическая память — журнал прошлых действий и результатов агента для анализа опыта. Важно, чтобы память была актуальной и достоверной. Если в знания агента просочится устаревшая или ложная информация, он будет с уверенностью действовать на ошибочной основе (эффект «отравленной памяти»), поэтому нужны механизмы фильтрации, проверки источников, периодической очистки и обновления знаний. Кроме того, крайне важно ограничивать объем контекста. Слишком узкая память — агент «забывчив» и может повторяться, слишком широкая — путается и может случайно раскрыть лишние данные.

Искусство заключается в том, чтобы подмешивать ровно столько контекста, сколько нужно, и не больше. Например, ограничивать глубину истории диалога или объем документов, которые агент обрабатывает единовременно, чтобы не захламлять его «ум».

Логика рассуждений и планирования. Это мозг агента. Компонент, где анализируется ситуация и принимается решение, что делать дальше. Сейчас в этой роли обычно выступает большая языковая модель (LLM), дополненная специальными алгоритмами планирования. LLM отлично подходит для реализации цепочки размышлений (chain-of-thought). Получив задачу и контекст, она может сгенерировать последовательность шагов или план действий для достижения цели. Планирование часто делают более явным: агенту нужен механизм разбивки цели на подцели, построения плана (цель — подзадачи — шаги), определения критериев успеха и ограничений (тайм-ауты, бюджеты вызовов и токенов и т. д.). В современных решениях используются как встроенные возможности LLM (например, chain-of-thought с прогоном инструментов по плану), так и внешние планировщики или алгоритмы event-loop для корректировки стратегии на основе результатов. Важно следить за бюджетом: автономный агент не должен бесконечно генерировать шаги или тратить ресурсы впустую. Ограничения по числу итераций, по стоимости API-вызовов — неотъемлемая часть архитектуры.

Действия и инструменты (исполнительный слой). Если планировщик — это мозг, то этот компонент — руки и ноги агента, позволяющие претворять решения в жизнь. Инструментарий включает API для корпоративных систем (ERP, CRM и т. д.), RPA-роботов для legacy-процессов, внешние SaaS-сервисы и любые утилиты, которые агент может вызывать для выполнения конкретных шагов. Здесь формируется каталог доступных инструментов, которыми агент умеет пользоваться. От качества этого каталога напрямую зависит, сможет ли агент реально выполнить задачу: ведь даже самая умная LLM бесполезна без действий в реальном мире. Инструментальному слою предъявляются серьезные инженерные требования: идемпотентность (повторный запуск шага не должен создавать дубли или приводить к ошибкам), механизм повторов с экспоненциальной паузой на случай временных сбоев, ограничения по времени выполнения, транзакционность (желательно уметь откатить неудачную операцию) и обязательное логирование — кто, что, когда и зачем сделал.

Исполнительный модуль должен обработать все варианты исхода (успех, ошибки, тайм-ауты) и безопасно деградировать при сбоях. Например, если не удалось обновить запись в CRM, агент должен отменить операцию или поместить ее в отложенное состояние, уведомить ответственного сотрудника и т. д. Правильно реализованный слой действий превращает агента в надежный инструмент: он либо выполняет шаг, либо корректно обрабатывает неудачу, не ломая весь процесс.

Обратная связь и обучение. Даже после выполнения действия работа агента не заканчивается. Он должен оценить результат: удалась ли операция, достигнута ли подцель, что можно улучшить. Этот модуль отвечает за метрики, мониторинг и адаптацию. Встраиваются показатели успеха (процент успешно выполненных задач, скорость решения, качество ответов и т. д.), по которым агент оценивает свою работу и может автоматически скорректировать дальнейшие шаги или обновить свои промпты. В продвинутых реализациях сюда добавляют и самоаудит агента — способность объяснять, почему он принял то или иное решение, и выявлять собственные ошибки. Благодаря этому компоненту агент постоянно учится: например, анализирует логи своих действий, сравнивает с обратной связью от пользователей или проверяет альтернативные варианты, чтобы скорректировать стратегию в будущем. Наличие обратной связи со временем повышает эффективность агента и служит страховкой от повторения ошибок.

Оркестрация и контроль (AI Orchestrator/Gateway). Когда агентов много или они активно взаимодействуют с другими системами, нужен координирующий слой — оркестратор, своего рода диспетчер или шлюз. Его можно сравнить с API Gateway в классической архитектуре, только заточенным под ИИ. AI-оркестратор управляет выполнением задач между несколькими агентами, следит за последовательностью шагов, распределяет ресурсы и обеспечивает единые точки наблюдения и управления. Например, в сложном бизнес-процессе могут участвовать несколько узкоспециализированных агентов: один собирает данные, другой анализирует, третий генерирует отчет. Оркестратор последовательно передает задачу от одного к другому, контролируя общую логику и успех каждого этапа. Он же может выступать как промежуточное звено между агентом и внешними системами, внедряя политику контроля: подтверждение действий, лимиты на обращения, трансформация данных.

По сути, оркестратор предотвращает хаос в мультиагентной среде и дает компаниям рычаги управления: можно остановить или перезапустить агента, перенаправить задачи, получить агрегированные логи работы системы и т. д. Без такого слоя крупномасштабное применение агентов становится рискованным.

К оркестрации относится и обеспечение совместимости: общие стандарты взаимодействия агентов. Весной 2025 года Google в партнерстве с другими компаниями представил протокол Agent-to-Agent (A2A) — открытый стандарт (передан под эгиду Linux Foundation) для обмена сообщениями между агентами разных типов и платформ. Параллельно развиваются смежные стандарты. Например, Anthropic предложила Model Context Protocol (MCP) еще в 2024 году для унифицированного подключения моделей к внешним инструментам и API. Вместе MCP и A2A закладывают основу «интернета для агентов», где агенты могут взаимодействовать не только с классическими сервисами, но и между собой, обмениваясь опытом и задачами. Вендоры уже подхватили тренд: AWS, IBM и другие внедряют поддержку подобных стандартов, чтобы их агентные платформы могли стыковаться с решениями сторонних разработчиков. Таким образом, оркестрация охватывает и техническую, и организационную координацию работы агентов.

Безопасность и этический контроль (Security & Compliance by Design). Дав ИИ больше автономии, разработчик не может отпустить рычаги управления. Последний, но важнейший столп — встроенные механизмы безопасности, соответствия требованиям и наблюдения за агентом. Они включают управление идентичностями агентов (собственные учетные записи сервисов с минимальными привилегиями, принцип Zero Trust / POLP), сегментацию сети и окружений для агентов, защиту секретных ключей (например, API-токенов) через безопасные хранилища секретов. Обязательна тотальная трассируемость: все действия агента должны логироваться и связываться с инициатором. Это нужно и для разбора инцидентов, и для аудита регуляторов. В сами агентные модели внедряются политики фильтрации контента (чтобы блокировать недопустимые запросы), проверки на предвзятость и объяснимости решений. Guardrails (ограничители) должны быть встроены в дизайн системы.

На первом месте значится атака через промпты (prompt injection) — попытка внедрить вредоносную инструкцию в контекст агента. Но и другие угрозы специфичны: например, небезопасное межагентное общение (перехват или подделка сообщений между агентами), злоупотребление инструментами (когда агент последовательно вызывает легитимные API, но с вредоносным эффектом), уязвимости в подключаемых модулях, утечка данных из памяти и т. д.

С рисками нужно работать проактивно. Лучшие практики включают многоуровневую систему защиты: минимизация прав доступа, централизованный шлюз для вызовов (белый список разрешенных действий, лимиты, требования подтверждения для опасных операций), регулярные тесты на проникновение (пентесты) и постоянный мониторинг поведения агентов. Отдельное внимание должно быть уделено этическим аспектам: недопущение дискриминации в решениях, обеспечение объяснимости (чтобы можно было обосновать выводы, сделанные агентом) и определение ответственности (например, кто из людей принимает финальное решение по критичным вопросам, если агент подготовил рекомендацию). Безопасность и compliance должны быть частью архитектуры с самого начала — Secure & Responsible AI by Design.