Какие технологии, архитектуры, стандарты, подходы к разработке и практики безопасности набирают силу в мультиагентных корпоративных системах? Мы спросили экспертов.
Agentic AI стала очередной «яркой новинкой» в индустрии ПО. В отличие от более умных чат-ботов, AI-агенты работают с растущей автономией и могут приносить эффект за счет повышения эффективности в компаниях.
«Agentic — это AI-системы, которые могут действовать от имени пользователей, а не только генерировать текст или отвечать на вопросы», — говорит Andrew McNamara, директор по прикладному машинному обучению в Shopify. По его словам, agentic-системы работают непрерывно, пока задача не будет выполнена; примером он называет Shopify Sidekick — проактивного агента для продавцов.
Разработка agentic AI уже охватывает многие бизнес-направления. По данным Anthropic, поставщика large language models (LLM), AI-агенты чаще всего применяются в software engineering, на который приходится примерно половина случаев использования, а затем идут автоматизация back-office, маркетинг, продажи, финансы и анализ данных.
«Наглядный пример — урегулирование инцидентов в IT», — говорит Heath Ramsey, вице-президент группы по управлению продуктами исходящих решений AI platform в ServiceNow. В этом сценарии AI-агенты извлекают контекстные данные из разных систем, проверяют прошлые решения и политики, применяют исправления, обновляют записи и подключают членов команды, отмечает он.
Но разработка, ориентированная на агентов, требует нового системного мышления, чтобы избегать таких проблем, как indeterminism и token bloat. Есть и острые security gaps, связанные с LLM: например, модель может лгать или фабриковать информацию ради достижения цели — это исследователи называют agentic misalignment.
Для команд, которые строят агентов, интегрирующихся с другими системами и выбирающих разные варианты для выполнения многошаговых workflow, правильное предварительное планирование — базовое требование. По этим и другим причинам проектирование agentic architecture требует нового playbook.
«Построение agentic systems требует принципиально новой архитектуры, рассчитанной на автономию, а не только на автоматизацию», — говорит Anurag Gurtu, CEO AIRRIVED, поставщика platform для agentic AI. «Агентам нужны runtime, мозг, руки, память и guardrails».
Хотя agentic AI выглядит многообещающе, ROI от AI остается подвижной целью. По данным Alteryx, меньше половины организаций сообщают об измеримом эффекте от экспериментов с agentic AI, а менее трети доверяют AI точность принятия решений.
Так что же лежит в основе успешных enterprise-grade agentic systems? Вместо того чтобы рассматривать разработку в рамках одной vendor platform, давайте изучим общие признаки agentic systems, чтобы выделить практические рекомендации и уроки для developers и architects.
Архитектурные компоненты agentic system
Agentic systems состоят из нескольких строительных блоков, без которых они были бы невозможны. Вместе они образуют связанную web-архитектуру ПО, где разные компоненты выполняют разные задачи. «Построение AI-агента похоже на создание нервной системы», — говорит Ari Weil, cloud evangelist в Akamai.
Такая система включает уровни для reasoning, memory, сбора context, coordination, validation и human-in-the-loop guardrails. «Agentic systems опираются на сочетание AI, workflow automation и enterprise controls, которые работают вместе», — добавляет Ramsey из ServiceNow.
Модель рассуждения
Если разбирать agentic systems по базовым компонентам, начинать нужно с underlying model.
«В основе лежит reasoning model», — говорит Frank Kilcommins, руководитель enterprise architecture в Jentic, разработчика integration layer для AI. Этот reasoning engine выполняет планирование на основе пользовательского prompt, доступного контекста и имеющихся возможностей.
Некоторые reasoning models подходят лучше других. «Мы ищем модели, которые ощущаются agentic», — говорит McNamara из Shopify. «У них правильное число tool calls, сильное следование инструкциям, а их легко prompt-ить и направлять».
Контекст и данные
Далее агенту нужен context. Он может принимать форму внутренних данных компании, institutional knowledge и политик, system prompts, внешних данных, памяти прошлых чатов и agentic metadata — то есть пользовательских prompt, шагов reasoning и взаимодействий с инструментами и источниками данных, которые позволяют наблюдать и отлаживать поведение агента.
По словам Edgar Kussberg, product director по AI, agents, IDE и devtools в Sonar, источниками данных могут быть базы данных и APIs, системы retrieval-augmented generation (RAG) и vector databases, файловые системы и хранилища документов, внутренние панели или внешние системы вроде Google Drive.
Организации активно создают agentic knowledge bases, чтобы упорядочить такие данные и упростить retrieval. Одновременно формируются паттерны semantic retrieval, которые лежат в основе систем управления контекстом для агентов.
«Для memory большинство команд объединяют vector store вроде pgvector с чем-то структурированным, например data catalog или knowledge graph», — говорит Anusha Kovi, инженер по business intelligence в Amazon.
Инструменты и обнаружение возможностей
Но чтобы агенты могли действовать, им нужен не только статический context — им нужен доступ на чтение и запись к базам данных, инструментам и APIs.
«Одна из важнейших областей, где ведется работа по усилению агентов, — это способы соединения AI и существующих систем», — говорит Jackie Brosamer, руководитель направления data and AI в Block, финансовой компании, стоящей за Square и Cash App.
Чтобы обеспечить доступ к таким возможностям, индустрия в значительной степени сошлась вокруг Model Context Protocol (MCP) как универсального connector между агентами и системами. Появляются MCP registries, которые унифицируют и каталогизируют MCP-возможности для агентов в масштабе.
Есть множество публичных кейсов использования MCP в agentic architecture, включая open-source goose agent от Block для LLM-powered software development и использование MCP в Workato для enterprise workflows на базе Claude.
Определенные workflow
Еще один полезный компонент — четко документированные workflow для типовых процедур. Они включают многошаговые действия, связанные между собой через MCP servers или прямые API calls.
«Важно, чтобы эти агенты координировались через определенные workflow», — говорит Ramsey из ServiceNow, — «чтобы автономия масштабировалась предсказуемо и под управлением, а не превращалась в хаос».
Kilcommins из Jentic описывает, как этого можно добиться с помощью «четких, машиночитаемых описаний возможностей», ссылаясь на спецификацию Arazzo — отраслевой стандарт от OpenAPI Initiative для документирования таких поведений.
Оркестрация нескольких агентов
В этой связи агенты должны уметь интегрироваться друг с другом и хорошо вписываться в непрерывный feedback loop.
Multi-agent systems обычно становятся необходимыми на масштабе, говорит Gurtu из AIRRIVED. «Вместо одного универсального агента у вас часто есть команды специализированных агентов: reasoning agents, retrieval agents, action agents и validation agents».
Эта реальность требует связующей ткани. «В основе нужен orchestration layer для цикла plan-do-evaluate», — говорит Kovi из Amazon.
К распространенным компонентам оркестрации, по ее словам, относятся LangGraph — low-level orchestration framework, CrewAI — Python framework для multi-agent orchestration, и Bedrock Agents, который помогает агентам автоматизировать многошаговые задачи.
Открытые стандарты и протоколы, такие как A2A protocol для agent-to-agent communications, также будут важны, чтобы AI-агенты могли эффективно сотрудничать.
Безопасность и авторизация
Учитывая склонность LLM к галлюцинациям и отклонениям от ожиданий, безопасность — пожалуй, самый важный элемент построения безопасных agentic systems.
«Вы больше не защищаете ПО, которое только предлагает, вы защищаете ПО, которое действует», — говорит Gurtu. «Как только агенты могут менять доступ, запускать workflow или устранять инциденты, каждое решение становится потенциальным сбоем контроля, если оно не управляется».
По словам Kilcommins, потенциальная зона поражения от действий агентов огромна, особенно при неконтролируемых цепочечных execution. Он рекомендует четко определять permissions, чтобы избежать privilege escalation и утечки sensitive data.
В agentic systems нужны более тонкие security methods. «Агент решает во время выполнения, что запрашивать и какие tools вызывать, поэтому нельзя ограничить permissions традиционным способом», — добавляет Kovi. Эксперты считают, что just-in-time authorization будет критически важна, чтобы подготовить non-human internet к будущему.
Kovi добавляет, что правила безопасности, вроде «не запрашивай столбцы с персональной информацией», не должны жить в окне prompt. «Guardrails должны быть в identity and access management policy и конфигурации, а не только в инструкциях prompt».
Human checkpoints
Даже при продвинутой authentication и authorization чувствительные действия будут требовать подтверждения человека.
Shopify по умолчанию придерживается подхода «human-in-the-loop by design», говорит McNamara. Компания внедрила approval gates, чтобы не допустить полностью автономных изменений в production systems. Это позволяет продавцам проверять контент, сгенерированный Sidekick, до его публикации.
Другие придерживаются похожей позиции, особенно когда речь идет о financial transactions. «Наше общее правило таково: все, что затрагивает production systems, требует human checkpoints», — говорит Brosamer из Block, поясняя, что подтверждение пользователя — ключевой элемент Moneybot, агента внутри Cash App.
Возможности оценки
Построение agentic systems также требует серьезного предварительного тестирования, чтобы понять, соответствует ли результат ожидаемому.
Например, Shopify проводит строгую pre-deployment evaluation агентных выходных данных, используя как human testing, так и user simulation со специализированными LLM-based judges. «Как только ваш judge надежно совпадает с human evaluators, ему можно доверять в масштабе», — говорит McNamara.
Другие согласны, что evaluations критически важны для enterprise-grade agentic systems. «Относитесь к агентам как к регулируемым системам», — говорит Gurtu. «Изолируйте изменения в sandbox и тестируйте агентов в simulation».
Behavioral observability
Наконец, еще один ключевой слой — observability. Для agentic systems она должна выходить за рамки традиционного monitoring или обнаружения сбоев и фиксировать расширенные сигналы, например почему агенты не справились или почему выбрали одни действия вместо других.
«Observability нужно закладывать с первого дня», — говорит Kussberg из Sonar. «Нужна прозрачность на каждом шаге выполнения: prompts, tool calls, промежуточные решения и финальные результаты».
Чем более наблюдаемым становится поведение агентов, тем лучше систему можно улучшать со временем. Как говорит Kussberg, «transparency fuels improvement».
Стратегии оптимизации контекста
Почти все эксперты согласны: давать AI-агентам минимальный и релевантный data гораздо лучше, чем перегружать их data overload. Это критически важно, чтобы не переполнять context windows и не ухудшать качество ответов.
«Продуманная data curation гораздо важнее объема data», — говорит Brosamer. «Качество ответа агента напрямую связано с качеством его context».
В Block инженеры поддерживают понятные README files, придерживаются единых стандартов документации и хорошо структурированных иерархий проектов, а также других semantic conventions, которые помогают агентам находить нужную информацию.
«Agentic systems не нужны большие объемы данных, им нужны правильные данные в нужный момент», — добавляет Kussberg из Sonar. «Эффективные системы дают агентам гибкие discovery tools и позволяют запускать retrieval loops, пока не станет ясно, что context достаточен».
Доминирующая философия — progressive disclosure информации. Shopify делает на это ставку, применяя modular instruction delivery. «Ключ — just-in-time delivery context», — говорит McNamara. «Вместо того чтобы перегружать system prompt, мы возвращаем релевантный context вместе с данными инструмента, когда он нужен».
Другие отмечают, что context должен включать и semantic nuances, говорит Kovi. «Если агент не знает, что “active users” в product и marketing означает разное, он уверенно выдаст неверный ответ», — говорит она. «Это сложно отловить».
Лучшие архитектурные практики
Есть и другие рекомендации по разработке agentic systems. Первая из них — не все нужно agentify.
Связка LLM и MCP integrations отлично подходит для новых ситуаций, где нужны высокомасштабируемое, учитывающее контекст reasoning и высокая отзывчивость. Но MCP может быть избыточным для повторяющейся детерминированной автоматизации, особенно если context статичен, а требования к security строгие.
Поэтому Kilcommins рекомендует определять, какое поведение является adaptive, а какое deterministic, и кодировать именно второе — это позволит агентам запускать намеренно определенные запрограммированные действия и повысит стабильность.
Определение приоритетных зон для agentic processes также сводится к поиску переиспользуемых use cases. «Организации, которым удалось успешно внедрить agentic AI, чаще всего начинают с выбора процесса с высоким friction», — говорит Ramsey. Это могут быть запросы сотрудников в service desk, onboarding новых сотрудников или обработка customer incident response, отмечает он.
Gurtu добавляет, что агенты работают лучше всего, когда им дают конкретные business goals. «Начинайте с решений, а не с демо», — говорит он. «Не работает подход, при котором агентов воспринимают как stateless chatbots или пытаются заменить людей за одну ночь».
Другие считают, что сужение autonomy агента улучшает результат. «Агенты лучше всего работают как specialists, а не как generalists», — говорит Kussberg.
Например, Shopify задает четкие границы при масштабировании tools. «Где-то между 20 и 50 инструментами границы начинают размываться», — говорит McNamara. Хотя некоторые предлагают разделять роли с помощью отдельных task-specific agents, Shopify выбрала sub-agent architecture с low-level tools.
«Наше рекомендация — на раннем этапе вообще избегать multi-agent architectures», — говорит McNamara. «Сейчас мы переходим к sub-agents с правильным подходом, и один из ключевых принципов — строить очень low-level tools и учить систему переводить natural language в этот low-level language, а не разрабатывать tools по сценарию за сценарием».
Эксперты делятся и другими советами по проектированию и разработке agentic systems:
- Используйте открытую инфраструктуру: open agents и vendor-agnostic frameworks позволяют применять модели, которые лучше всего подходят для задачи.
- Думайте в логике API-first: хорошее проектирование API и четкие машиночитаемые определения лучше подготавливают организацию к AI-агентам.
- Синхронизируйте данные: поддержание общих данных в синхронном состоянии — еще одна сложность. Event-driven architecture помогает сохранять актуальность данных.
- Балансируйте доступ и контроль: для безопасности agentic systems потребуются offensive security exercises, полные audit logs и defensive data validation.
- Постоянно улучшайте систему: чтобы избежать agent drift, разработка agentic systems неизбежно потребует постоянной поддержки по мере развития индустрии и AI-технологий.
Что ждет agentic systems дальше
Разработка agentic AI движется стремительно. Сейчас мы дошли до точки, где паттерны agentic system начинают стабилизироваться.
В будущем эксперты ожидают большего смещения в сторону multi-agent systems, что потребует более сложных orchestration patterns и большей опоры на open standards. Некоторые прогнозируют масштабную перестройку knowledge work в целом.
«Я ожидаю, что в 2026 году мы увидим эксперименты с framework для создания “фабрик” агентов, которые будут координировать создание сложной интеллектуальной работы, начиная с coding», — говорит Brosamer из Block. Самой сложной задачей, по ее словам, станет оптимизация существующих потоков информации под agentic use cases.
Одним из аспектов этого будущего может стать больший акцент на alternative clouds и edge-based inference, чтобы переносить часть workloads из централизованной cloud architecture и снижать latency.
«Будущее конкурентного AI требует близости, а не только вычислительной мощности», — говорит Weil из Akamai. «Агенты должны действовать в реальном мире, взаимодействуя с пользователями, устройствами и данными по мере развития событий».
В целом построение agentic systems — чрезвычайно сложная задача, а практики все еще формируются. Чтобы довести такие проекты до масштабируемого и устойчивого результата, потребуется сочетание новых технологий, мышления в духе microservices и security guardrails — и при этом агентам нужно сохранить значимую автономию.
Будущее выглядит agentic. Но именно умное системное проектирование, лежащее в основе agentic systems, отделит успешные результаты от неудачных пилотов.
Материал — перевод статьи с английского.