微软开源 ACS 规范:给 AI 智能体套上策略缰绳

行业快讯

微软在 Build 2026 上推出 Agent Control Specification(ACS)开源规范,用一套可移植的策略文件统一管理智能体在工作流各阶段的行为约束,试图终结当前控制逻辑散落各处、难以审计的乱象。

微软在今天开幕的 Build 2026 大会上扔出了一份新规范——Agent Control Specification,简称 ACS。这是一份开源标准,核心目的只有一个:让开发者用统一的方式,精细化控制 AI 智能体到底能干什么、不能干什么。

听起来像是又一个治理框架,但 ACS 解决的问题挺具体:现在大部分团队管智能体的方式还是东拼西凑。系统提示词里塞一段约束、应用层加几个 if 判断、再训练个小分类器筛一下输入输出——能用,但散得到处都是,换个框架就得重写一遍,出了事故想审计都找不到证据链。

微软 Build 2026 大会上 ACS 规范的发布画面

为什么微软要做这件事

智能体落地这一年多,翻车案例堆得不少。工具误调用、参数传错、链式调用里一个环节出问题导致整条流程崩盘——这些都不是模型能力问题,而是行为约束问题。Anthropic 前段时间公开的那套漏洞闭环流程,本质上也是在解决同一个事。

微软的观察是:开发团队、合规团队、安全团队三方各管一摊,但落地到代码里时,三方的规则混在一起,谁也说不清哪条策略是谁定的、在哪一步生效、有没有被绕过。ACS 想做的是把这三方的诉求统一到一个策略文件里,然后让运行时去强制执行。

这里有个关键判断要说清楚:ACS 不是又一个智能体开发框架,它跟微软自家的 Agent Framework、跟 LangChain、跟 AutoGen 都不冲突。它更像是一层横切的治理规范,跟具体框架解耦——这也是为什么微软强调它是"vendor-agnostic"的。实际上,ACS 这个开源项目背后还有 Zenity 等安全厂商在共同推动,并不是微软单独造的轮子。

拦截点的设计

ACS 最值得说的是它的拦截点(interception points)设计。智能体的一次完整执行被拆成几个阶段,每个阶段都可以挂策略检查:

  • 接收输入之前:用户的请求进来,先过一遍策略
  • 调用工具之前:智能体决定要调某个 API 或函数,先检查这个调用允不允许、参数对不对
  • 工具返回之后:拿到结果,决定要不要脱敏、要不要拦下来
  • 发送最终回复之前:在结果给到用户之前再过一道

每个拦截点上,策略可以做四件事:放行、阻断、脱敏、要求人工审批。这套设计其实挺像 Web 开发里的中间件(middleware),只不过对象从 HTTP 请求换成了智能体的行为流。

这种切片思路的好处是显而易见的:以前你想知道"这个智能体为什么调了删库的工具",得翻日志、看提示词、查代码;现在策略文件本身就是答案——要么策略允许了,要么策略漏掉了,要么策略被绕过了,三种情况各自有各自的修法。

策略怎么写

根据微软放出的信息,ACS 的策略不是只能写硬规则。开发者可以在策略里集成三类判断逻辑:

  1. 分类器:训练好的小模型,专门用来判断输入输出是否敏感、是否违规
  2. LLM-as-judge:用一个大模型当裁判,通过提示词让它判断某个行为该不该放行
  3. 规则检查:针对工具调用、工具选择、输入准确性、输出使用方式的硬编码逻辑

这三类可以混着用。比如对一个客服智能体,简单的关键词过滤用规则,是否泄露用户隐私交给分类器,要不要执行退款这种复杂判断丢给 LLM 裁判。

策略以单一文件形式定义,可以跟智能体一起打包部署。这个设计的隐含意义是:智能体从 Azure 迁到 AWS、从 Agent Framework 换到 LangGraph,那套安全策略不用重写——这在企业场景里是真痛点。我见过不少团队因为换框架把治理规则全推倒重来,最后干脆放弃了系统化治理。

跟现有方案的对比

横向比一下:

  • NeMo Guardrails(英伟达):用 Colang DSL 写对话护栏,主打对话流控制,对工具调用的细粒度治理偏弱
  • Guardrails AI:聚焦输入输出验证,偏校验层,治理面没铺这么开
  • OpenAI 的 moderation API:只解决内容过滤这一小块
  • LangChain 的 callbacks:能挂钩子,但要自己实现策略逻辑,不是规范

ACS 想做的是把这些点状能力统一成一个规范层。好处是治理面更全,从输入到工具到输出全覆盖;风险是规范本身的复杂度上去了,小团队可能觉得用不上。

ACS 策略文件在智能体工作流中的拦截点示意图

现在能用什么

ACS 目前以 SDK 形式发布,支持几个主流的智能体开发框架和工具。微软没有把它锁死在自家的 Agent Framework 里,这一点姿态摆得还算开放——但要看后续社区怎么接。说实话,这类规范类项目能不能跑出来,关键不在技术,在生态。OpenTelemetry 能成是因为云厂商集体下场,OpenAPI 能成是因为工具链跟上。ACS 现在还在很早期,能不能进入到 LangChain、LlamaIndex 这种事实标准框架的核心路径里,才是判断它命运的关键指标。

开发者实际用起来的体感大致是这样:

  • 安全/合规团队写一份 policy.yaml(或类似格式)
  • 开发团队在初始化智能体时挂上这个策略文件
  • 运行时 SDK 在四个拦截点自动调用策略检查
  • 触发拦截的行为会被记录下来,作为审计证据

这套流程把治理从"代码里的散点"变成了"配置层的集中声明",对企业场景的友好度是真的高。尤其是金融、医疗这种合规要求重的行业,合规团队终于可以直接 review 一份文件,而不是去读开发者的代码。

一个判断

智能体治理这件事,2025 年大家还在讲故事,2026 年开始真要落地了。ACS 不是第一个尝试,也不会是最后一个,但它选的切入点——拦截点 + 可移植策略文件——是对的。

值得观察的几个点:一是 SDK 对非微软系框架的支持深度有多深,二是策略文件格式会不会成为事实标准(类似 OpenAPI 之于 REST),三是 LLM-as-judge 这块的性能开销在生产环境到底能不能扛。

智能体不可控这件事,已经从一个理论风险变成了实际事故。ACS 这种规范化治理的路子,方向上没什么可质疑的。剩下的问题就是谁先把它做成行业默认。

参考来源