Microsoft и Google усиливают управление AI-агентами в корпоративной ИТ-среде

Компании дают администраторам больше способов контролировать AI-агентов, но более сложная задача для бизнеса — управление агентами, которые выходят за рамки нативных платформ.

Microsoft и Google добавляют новые средства контроля для AI-агентов, поскольку команды корпоративной ИТ стремятся успевать за инструментами, которые могут получать доступ к корпоративным данным и действовать в разных бизнес-приложениях.

Agent 365 от Microsoft, анонсированный в ноябре прошлого года и ставший общедоступным для коммерческих клиентов 1 мая, предназначен для того, чтобы помочь организациям находить, управлять и защищать AI-агентов, включая тех, что работают в средах Microsoft, сторонних SaaS-сервисов, облака и локальной инфраструктуры.

Новый AI-центр управления для Workspace от Google, анонсированный на этой неделе, более узко фокусируется на том, чтобы дать администраторам централизованный обзор использования AI, настроек безопасности, средств защиты данных и механизмов конфиденциальности в Workspace.

Сроки этих анонсов отражают сдвиг в корпоративном использовании AI. Многие компании уже не просто тестируют чатботов, а начинают применять агентов, которые могут получать доступ к корпоративным системам и выполнять задачи от имени пользователей.

Аналитики считают, что этот сдвиг меняет то, как CIO и CISO должны смотреть на AI-агентов внутри компании.

«Размещая средства управления агентами рядом с управлением идентичностью, доступом, данными и рабочими нагрузками, вендоры позиционируют AI-governance как операционную дисциплину, которой совместно занимаются ИТ и безопасность», — сказал Biswajeet Mahapatra, ведущий аналитик Forrester. «Для CIO это означает, что AI-агентов теперь нужно управлять как любой другой цифровой рабочей силой, с контролем жизненного цикла, видимостью затрат и интеграцией в service management».

Для CISO это расширяет задачу далеко за пределы рисков модели и утечек данных. По мере того как агентам дают больше автономии, службам безопасности потребуется более непрерывный способ контролировать их действия и сдерживать последствия, если их поведение создает риск.

По словам Lian Jye Su, главного аналитика Omdia, эти анонсы также поднимают AI-governance до уровня «ключевого компонента всех enterprise applications с поддержкой AI», показывая CIO и CISO, что управление придется встраивать в AI-развертывания по мере перехода от пилотов к внедрению на уровне всей компании.

Чем отличаются Microsoft и Google

Agent 365 от Microsoft и AI control center от Google решают схожие задачи управления, но исходят из разных отправных точек.

«С учетом того, как предприятия все чаще разворачивают AI в multicloud- и hybrid IT-средах, эти два решения дополняют друг друга, — сказал Su. — Они сильно оптимизированы под AI-нагрузки в своих соответствующих средах, а значит, компании, которые глубоко завязаны на одного вендора, получат более плавный нативный опыт AI-governance».

По словам Mahapatra, различие следует воспринимать как вопрос охвата платформы, а не зрелости управления. Подход Microsoft рассматривает AI-агентов как корпоративных участников, которым нужен широкий организационный контроль, тогда как средства Google в большей степени сосредоточены на том, как AI взаимодействует с данными для совместной работы и пользовательским контентом.

«Это не полностью конкурирующие подходы, потому что они управляют разными control planes, но и не по-настоящему дополняющие друг друга, если только предприятие не стандартизируется на обеих экосистемах, — сказал Mahapatra. — Со временем каждая модель укрепляет возможности governance, тесно привязанные к своим базовым productivity- и data-платформам, и это повышает риск того, что решения по AI-governance окажутся неявно привязаны к выбору вендора, а не к стратегии enterprise architecture».

Pareekh Jain, CEO Pareekh Consulting, занял промежуточную позицию, заявив, что подходы одновременно дополняют друг друга и конкурируют между собой, особенно по мере того как компании, использующие и Microsoft, и Google, могут обнаружить, что AI-governance все теснее привязывается к базовой платформе каждого вендора.

Риски, которые еще предстоит решить

Новые средства контроля могут дать компаниям лучшую видимость AI-агентов, но, по словам аналитиков, они не устраняют более серьезные риски, связанные с shadow AI, сторонними интеграциями и ответственностью за автономные действия.

По словам Jain, shadow AI-агенты по-прежнему могут появляться через инструменты разработчика, расширения браузера, локальных ассистентов, SaaS-copilot’ы и несанкционированные подключения инструментов. Он добавил, что сторонние интеграции могут расширяться быстрее, чем службы безопасности успевают их проверять.

«Audit logs могут показать, что произошло, но не всегда — почему автономный агент выбрал именно такое действие», — сказал Jain.

Это оставляет компании с трудными вопросами, когда агент совершает действия, создающие бизнес- или security-риски. Более подробные логи сами по себе не решают вопросы контроля или ответственности.

Mahapatra сказал, что самые большие пробелы, вероятно, останутся за пределами нативных платформ. Shadow-агенты, созданные с помощью low-code-инструментов, внешних API или встроенных SaaS-приложений, могут обходить центральный контроль и работать с избыточными или унаследованными правами.

«Сторонние интеграции часто расширяют охват агентов без сопоставимой видимости последующих действий или распространения данных, — сказал Mahapatra. — Auditability остается неравномерной, когда агенты выстраивают цепочки действий между системами, и становится трудно восстановить намерение по сравнению с результатом. Вопрос accountability по-прежнему не решен, когда автономные агенты вызывают существенные бизнес- или security-последствия, поскольку ответственность распределяется между пользователями, разработчиками и средствами платформы».

Посыл для компаний заключается в том, что нативные средства контроля от Microsoft или Google могут помочь, но, скорее всего, не охватят весь ландшафт агентов. Компаниям, которые используют несколько облаков, SaaS-инструменты, платформы разработчиков и браузерных AI-ассистентов, все равно понадобится governance, выходящее за рамки консоли любого одного вендора.

Материал — перевод статьи с английского.

Оригинал: Microsoft, Google push AI agent governance into enterprise IT mainstream