随着AI智能体能力持续提升,众多企业正加速将其嵌入各类应用、业务流程与产品中。然而,一个关键挑战随之凸显:如何确保这些智能体在复杂多变的环境下,始终严格遵循预设目标与行为规范?

在刚刚开幕的Build 2026大会上,微软正式推出了一项名为Agent Control Specification(ACS,智能体控制规范)的开源标准。简而言之,该标准为开发者提供了一套更统一、更细粒度的管控方案,用于精确约束AI智能体的行为。
微软的构想是:开发团队、合规团队与安全团队可协同制定智能体必须遵从的策略规则。这些规则明确界定了智能体的行为边界——哪些操作允许执行,哪些行为被严格禁止,哪些动作需先获得人工审批,以及哪些步骤必须留存记录以备后续审计。
当智能体开始运行时,ACS会在多个关键“拦截点”对策略文件进行校验,确保其始终在授权范围内运作。这些拦截点包括:接收输入之前、调用工具之前、工具返回结果之后,乃至向用户发送最终回复之前,ACS均会介入检查。
根据策略配置,系统可执行以下操作:放行某项请求、直接拦截违规行为、对敏感信息进行脱敏处理,或将决定权移交人类——要求人工审批通过后方可继续执行。
坦白而言,此前开发者对智能体行为控制的方式较为碎片化。随着越来越多AI工作流因工具误用或意外操作引发连锁故障,业界常见的应对手段包括:在系统提示词中嵌入规则、在应用代码中添加自定义校验逻辑,或通过分类模型筛查输入输出。这些方法虽有一定效果,但核心问题在于——控制逻辑分散于不同组件,审计极为困难,跨框架、跨系统的复用更是障碍重重。
ACS的核心目标正是将这些分散的控制能力整合为一体。不仅如此,它远不止于策略检查。开发者可在ACS中集成分类器,对输入输出内容进行分类、结果预测,或决定智能体的响应方式;也可接入大语言模型,使其临时充当“裁判”;甚至能增加针对工具调用、工具选择、输入准确性、输出使用方式及最终响应内容的专项校验逻辑。
更关键的是,这些策略可被定义为一个单一文件,与AI智能体打包部署。这意味着同一套安全策略可随智能体在不同框架与运行环境间迁移,无需每更换一处便重复配置。对企业级治理而言,这种一致性所带来的优势显而易见。
目前,ACS已以SDK形式正式发布,并同步支持多个主流AI智能体开发框架与工具——包括LangChain、OpenAI Agents SDK、Anthropic Agents SDK、AutoGen、CrewAI、Semantic Kernel、Microsoft.Extensions.AI以及MCP工具生态等。可见,微软此次意在拓展生态,而非仅局限于自家领地。
