Перейти к содержанию

Глава 20. Управление изменениями в агентных системах

Актуальность главы

Последняя редакционная проверка: 14 мая 2026 года. Следующая плановая проверка: 14 июня 2026 года.

Что изменилось после предыдущей проверки: поверхности безопасности MCP/A2A, контракты проверяющего, управленческая телеметрия и замечания по готовности к печатной версии теперь покрыты конкретными контрактами и проверками документации.

Быстрее всего здесь меняются:

  • готовые средства для управления релизами агентных систем, подтверждениями и поэтапным выпуском;
  • наборы поверхностей, которые разные платформы считают значимыми для релиза;
  • вендорские интерфейсы для наборов политик, изменений маршрутизации и управляемых обновлений агентов.

Медленнее меняются:

  • сама идея risk-based change taxonomy;
  • требование считать инструкции, политики, извлечение и изменения возможностей настоящими релизами;
  • необходимость связывать проверку изменений с оценками, подтверждениями и шлюзами поэтапного выпуска.

Роль главы в части VIII

Главный вопрос: какие изменения агентной системы требуют формального выпуска, оценки и отката.

Уникальный артефакт: пакет изменения.

Граница с соседними главами: управление изменениями решает, что требует выпуска; контур заверения начинается после сигнала риска.

Что эта глава не покрывает: происхождение артефактов, реагирование на инциденты и владение всем контуром агентов.

Продолжение сквозного сценария: защита от дубля заявки поддержки проходит как управляемый пакет изменения.

1. Почему агентной системе нужна отдельная дисциплина изменений

После того как команда признала, что живет уже не только в SDLC, а в ADLC, следующий вопрос звучит очень практично: что именно считать изменением и как этим изменением управлять?

У обычного сервиса ответ часто сравнительно прост:

  • поменяли код;
  • поменяли инфраструктуру;
  • изменили схему данных;
  • выпустили релиз.

У агентной системы так уже не работает. Здесь релиз-значимые изменения шире, а риск может прийти не только из кода.

Именно поэтому управление изменениями становится отдельной операционной функцией, а не просто “что-то отправили в основную ветку”.

Эта глава отвечает на один вопрос: как превратить суждение о релиз-значимости в повторяемую дисциплину. Не в абстрактные предупреждения о риске, а в способ классифицировать изменение, подбирать под него доказательную базу и решать, что именно заслуживает формального шлюза. Главный артефакт этой главы — пакет изменения: пакет решения о релиз-значимости, а не общий журнал задач или запись проектного управления.

Нужны артефакты изменения?

Для практического слоя открой схему проверки изменений и шлюза поэтапного выпуска, схему артефактов жизненного цикла и схему наборов для оценки и контракта проверки.

Если тебе нужен связующий слой, который показывает, как запрос, политика, подтверждения, трассы, оценки, инциденты и решение о поэтапном выпуске остаются связаны вместе, используй отдельную страницу Сквозная цепочка доказательств.

Заметка о сквозных сценариях управления изменениями: пакет изменения должен уметь классифицировать все три канонических сценария. Разбор обращений поддержки делает релиз-значимыми изменения правил подтверждения, повторов и пишущих возможностей. Внутренний ассистент знаний делает релиз-значимыми изменения корпуса извлечения, окон свежести, семантики записи в память и контроля доступа. Координация инцидентов делает релиз-значимыми изменения политики эскалации, маршрутизации уведомлений, передачи владения и состояния инцидента.

2. Что в агентной системе вообще считается изменением

Полезно заранее считать изменениями не только код, но и все поверхности, которые реально меняют поведение системы:

  • выбор модели или маршрутизация;
  • системная инструкция, рабочие процедуры и правила;
  • наборы политик;
  • контракты возможностей;
  • правила подтверждения;
  • правила делегированной авторизации и предположения об обращении с токенами;
  • корпус извлечения;
  • семантику записи в память;
  • выбор схемы оркестрации и границы делегирования рабочим агентам;
  • семантику прерывания и истечения для сессий возможностей;
  • наборы данных для оценки и логику оценивания;
  • рубрику проверяющего, предположения о связи с доказательствами и правила атрибуции отказов;
  • параметры поэтапного выпуска.

Если такие изменения выпускаются как “мелкие настройки”, команда почти неизбежно теряет контроль над поведением системы. Эта логика узнаваема и вне ИИ: в NIST контроль изменений и подотчетность компонентов давно заданы как самостоятельные контуры управления, а у агентных систем просто расширяется перечень артефактов, которые нужно держать под этим режимом.4

3. Не все изменения одинаково рискованны

Очень полезно ввести простую классификацию изменений.

Например:

  • low-risk: правки формулировок, безвредная настройка извлечения, внутренние изменения наблюдаемости;
  • medium-risk: перестройка инструкций, изменения ранжирования, обновления маршрутизации моделей;
  • high-risk: новые пишущие возможности, ослабление политик, расширение записи в память, изменения исходящего доступа, расширение автономии, а также изменения поведения прерывания или повторной инициализации для возможностей с состоянием, привязанных к подтверждению.

Это не идеальная классификация, но она помогает перестать обсуждать все изменения в одном тоне.

Сильное управление изменениями начинается с явной классификации изменений

flowchart LR
    A["Изменение предложено"] --> B["Классифицировать изменение"]
    B --> C["Низкий риск"]
    B --> D["Средний риск"]
    B --> E["Высокий риск"]
    C --> F["Легкая проверка"]
    D --> G["Оценка и проверка"]
    E --> H["Формальный шлюз, подтверждение и поэтапный выпуск"]

4. Классическая ошибка: считать изменение инструкции “не настоящим релизом”

Одна из самых частых операционных ошибок в командах агентных систем звучит так: “Мы же не меняли код, только подправили системную инструкцию.”

Это опасная логика.

Изменение инструкции, рабочей процедуры или правила может:

  • поменять выбор инструмента;
  • изменить склонность агента к риску;
  • увеличить стоимость;
  • сломать дисциплину эскалации;
  • обойти исходный смысл политики;
  • ухудшить качество на критичном сценарии.

То есть изменение инструкции в промышленной системе почти всегда должно жить внутри дисциплины выпуска.

5. Минимальный пакет изменения должен быть проверяемым

Полезно, чтобы любое значимое изменение собиралось в небольшой проверяемый пакет:

  • что меняется;
  • зачем меняется;
  • какой риск-класс у изменения;
  • какие оценки это покрывают;
  • какие точки отката существуют;
  • какой радиус воздействия у поэтапного выпуска.

Если изменение приходит в виде “я тут немного улучшил поведение”, его почти невозможно нормально оценить.

Сквозной кейс: change packet для защиты от дублей

Для исправления в разборе обращений поддержки минимальный пакет изменения должен назвать риск-класс как high-risk, потому что меняются пишущая возможность, поведение повторов и шлюз поэтапного выпуска. В пакете должны лежать: различие набора политик для side_effect_unknown, обновленный контракт create_support_ticket, оценка на дубль тикета, точка отката для отключения пишущего пути и наблюдение за первой контрольной волной. Без этого “исправили повтор” звучит безопаснее, чем оно есть на самом деле.

6. Оценки должны быть привязаны к типу изменения

Не все изменения требуют одинаковых проверок.

Рабочая логика обычно такая:

  • изменения инструкций или рабочих процедур -> оценки задач, сценарии, чувствительные к политике, проверки стоимости;
  • изменения политик -> случаи разрешения и запрета, сценарии злоупотреблений, покрытие контрольным следом;
  • изменения извлечения -> проверки релевантности, утечек и бюджета контекста;
  • изменения инструментов -> тесты контрактов, проверки идемпотентности, проверка пути подтверждения;
  • изменения делегированной авторизации -> проверки привязки принципала, видимости области доступа, поведения при отзыве во время паузы и преемственности между трассами и записями подтверждений;
  • изменения управления прерываниями -> проверки истечения приостановленного запуска, поведения повторной инициализации, связи с телеметрией и инвариантов подтверждения-продолжения;
  • изменения проверяющего -> проверки ложноположительных и ложноотрицательных срабатываний, проверки связи с доказательствами, согласованность между оценкой процесса и результата и проверкой атрибуции отказа, а также видимость экспортируемых полей неудачного запуска вроде failure_reason;
  • изменения схемы оркестрации -> покрытие классов маршрутизации, проверки состояния объединения, проверки границ рабочих агентов, проверки точек рецензирования и преемственность трасс для конкретной схемы;
  • изменения маршрутизации моделей -> изменения качества, задержки, безопасности и стоимости.

Это важный практический принцип: стратегия оценок должна быть привязана к классу изменения, а не быть одной универсальной проверкой на все случаи.

7. Высокорисковые изменения должны идти через формальные шлюзы

Когда изменение влияет на автономию, побочные эффекты, записи в память или границы исходящего доступа, ручного “посмотрели глазами” уже недостаточно.

Такие изменения полезно пускать только через формальные шлюзы:

  • архитектурную проверку;
  • явную проверку политики;
  • проход офлайн-оценок;
  • покрытие учением по неудачному запуску для затронутого пути;
  • явную проверку того, что неудачные запуски остаются трассируемыми через идентичность выпуска, связь с трассой, доказательства уровня сессии, экспортируемые поля вроде failure_reason, операторское резюме вроде latest_failure_reason и traceable_failed_runs на уровне проверки сессии;
  • ограниченный поэтапный выпуск;
  • наблюдение во время первой волны;
  • ясный путь отката.

А если изменение затрагивает привязанные к подтверждению или сессионные потоки возможностей, шлюз почти всегда должен задавать еще один явный вопрос:

Не поменяли ли мы поведение прерывания, обработку истечения или семантику повторной инициализации так, что управление средой исполнения уже изменилось, хотя видимый пользователю набор функций остался прежним?

Именно этот класс изменений особенно легко недооценить: продуктовая поверхность может выглядеть прежней, а рабочий профиль риска уже заметно сдвинулся.

Та же осторожность нужна и там, где доказательства выпуска зависят от выходов проверяющего. Если меняются рубрика проверяющего, оценка процесса и результата или связь с доказательствами, это тоже нужно считать изменением управляющего контура, значимым для релиза, а не невидимой частью оценочной обвязки.

То же самое верно и для ситуации, когда рантайм меняет схему оркестрации без изменения видимого пользователю описания функции. Перевод пути с фиксированного рабочего процесса на routing, добавление parallelization или внедрение orchestrator-workers могут существенно поменять поведение контрольных точек, порядок подтверждений, экспозицию делегированных рабочих агентов и восстановление после отказа. Такие изменения тоже нужно считать релиз-значимыми изменениями управления средой исполнения.

OpenAI и Microsoft в разных формулировках приходят к одной и той же операционной мысли: агентные системы нужно усиливать через измеримую готовность, поэтапное внедрение и управляемую эксплуатацию, а не через выпуск на надежде.12

8. Откат в агентных системах сложнее, чем кажется

В обычной системе откат часто мыслится как “вернули предыдущую выкладку”. В агентной системе этого иногда недостаточно.

Нужно уметь откатывать отдельно:

  • набор инструкций и рабочих процедур;
  • набор политик;
  • маршрут модели;
  • версию корпуса извлечения;
  • экспозицию возможности;
  • порог подтверждения;
  • семантику прерывания и истечения для сессий возможностей, привязанных к подтверждению;
  • выбор схемы оркестрации, экспозицию безопасного каталога рабочих агентов и границы проверки делегированных рабочих агентов.

Если все эти вещи смешаны в один неделимый артефакт выкладки, откат становится слишком грубым и слишком медленным.

9. Управление изменениями должно учитывать радиус воздействия

У хорошего процесса почти всегда есть вопрос: “Какой максимальный ущерб может нанести это изменение, если мы ошибемся?”

Полезные способы ограничивать радиус воздействия:

  • теневой режим;
  • контрольные клиенты;
  • подмножество возможностей;
  • сначала только чтение;
  • сначала только действия с подтверждением;
  • поэтапное включение записи в память.

Такой подход особенно полезен для агентов, потому что побочные эффекты и регрессии политик часто видны не сразу.

10. Происхождение нужно не только для цепочки поставки, но и для проверки изменений

Google Research хорошо показывает, что происхождение полезно не только как понятие безопасности, но и как операционный инструмент.3

Для управления изменениями это означает, что ты должен уметь ответить:

  • какой именно набор инструкций ушел в промышленную среду;
  • какая конфигурация политики действовала;
  • какой набор для оценки использовался;
  • какой маршрут модели был активен;
  • какой контракт проверяющего и какие правила связи с доказательствами действовали;
  • кто утвердил это изменение.

Без этого проверка изменения и расследование инцидента быстро превращаются в реконструкцию “по памяти”.

И происхождение здесь все чаще должно включать еще и детали управления средой исполнения:

  • какая политика паузы и продолжения была активна;
  • какое правило истечения управляло приостановленными запусками;
  • была ли повторная инициализация разрешена, запрещена или привязана к подтверждению;
  • какой режим делегированной авторизации, правило привязки принципала и поведение отзыва действовали;
  • какая версия контракта сессии возможности действовала в момент инцидента.

11. Пример политики изменений

Ниже очень практичный каркас:

changes:
  low_risk:
    require_code_review: true
    require_offline_eval: false
    rollout_mode: direct
  medium_risk:
    require_code_review: true
    require_offline_eval: true
    rollout_mode: canary
  high_risk:
    require_code_review: true
    require_policy_review: true
    require_offline_eval: true
    require_approval: true
    rollout_mode: staged

Смысл не в конкретных полях, а в том, что процесс изменений становится машиночитаемым и обсуждаемым.

12. Пример простого классификатора изменений

Ниже каркас, который показывает саму идею:

from dataclasses import dataclass


@dataclass
class ChangeRequest:
    touches_prompt: bool = False
    touches_policy: bool = False
    touches_write_capability: bool = False
    touches_egress: bool = False


def classify_change(change: ChangeRequest) -> str:
    if change.touches_write_capability or change.touches_egress:
        return "high_risk"
    if change.touches_policy or change.touches_prompt:
        return "medium_risk"
    return "low_risk"

Это очень простой пример, но он хорошо показывает правильное направление: сначала формализовать логику решения, потом автоматизировать шлюз.

13. Что чаще всего ломается в управлении изменениями

Проблемы тут повторяются очень часто:

  • изменения инструкций не считаются релизами;
  • изменения политик выкатываются без оценок;
  • изменения в схеме оркестрации проходят как «деталь реализации»;
  • новая экспозиция инструмента проходит как “техническая мелочь”;
  • откат существует только на словах;
  • анализ воздействия никто не делает;
  • один и тот же процесс пытаются применить и к низкорисковым, и к высокорисковым изменениям без различия.

Если это происходит, команда начинает либо жить в хаосе, либо душить себя тяжелым процессом там, где он не нужен.

14. Быстрый тест зрелости для дисциплины изменений

Команде не стоит считать процесс выпуска зрелым только потому, что изменения проходят проверку и проходят через CI.

Более сильная планка такая:

  • изменения инструкций, политик, извлечения и возможностей считаются полноценными релизами;
  • риск изменения классифицируется явно, а не угадывается по настроению;
  • оценки и шлюзы привязаны к типу изменения;
  • радиус воздействия ограничивается до поэтапного выпуска, а не объясняется после сбоя;
  • откат работает на том уровне, где действительно живет риск.

Если большинство этих условий не выполняется, у команды уже может быть механика доставки, но реальной дисциплины изменений для агентных систем пока нет.

15. Практический чеклист

Если хочешь быстро проверить свой процесс изменений, пройди по вопросам:

  • Считаете ли вы изменения инструкций, политик и извлечения полноценными релизами?
  • Есть ли классификация изменений по риску?
  • Привязаны ли оценки к типу изменения?
  • Есть ли формальный шлюз для автономии, исходящего доступа и пишущих возможностей?
  • Можно ли откатывать инструкцию, политику и маршрут модели по отдельности?
  • Понятен ли радиус воздействия каждого поэтапного выпуска?

Если на несколько вопросов подряд ответ “нет”, у тебя пока еще не управление изменениями, а просто доставка изменений по инерции.

Шаблон завершения главы

Что запомнить: управление изменениями в агентной системе должно охватывать не только код, но и инструкции, политики, память, оценки, инструменты и происхождение.

Типичные ошибки: считать изменение инструкции не релизом; не описывать радиус воздействия; не связывать откат с побочными эффектами и состоянием памяти.

Что проверить в своей системе: какие изменения требуют пакета; где указаны оценочные доказательства; как определяется риск, откат и владелец решения.

Сопутствующие материалы: используй схему пакета изменения, поэтапного выпуска, происхождения артефактов и канонические сценарии.

Что читать дальше: переходи к Главе 21, чтобы увидеть, как находки и сигналы риска превращаются в сдерживание и исправление.

16. Что читать дальше

После управления изменениями естественно переходить к контуру заверения: соревновательному тестированию, управлению уязвимостями, обнаружению и реагированию. Именно там жизненный цикл перестает быть только дисциплиной выпуска и превращается в постоянную операционную защиту.

17. Полезные справочные страницы

  1. OpenAI, A practical guide to building agents 

  2. Microsoft Learn, Agentic AI adoption maturity model 

  3. Google Research, Securing the AI Software Supply Chain 

  4. NIST, SP 800-53 Rev. 5: Security and Privacy Controls for Information Systems and Organizations