Минулого тижня Microsoft вивела Agent 365, свою платформу керування для ШІ-агентів, з попередньої версії загальнодоступної. Цей крок свідчить про те, що софтверний гігант вважає проблему управління автономними ШІ вже не теоретичною, а практичною та нагальною.
Продукт, вперше анонсований на конференції Microsoft Ignite у листопаді, позиціонується як єдиний центр управління, що дозволяє ІТ-відділам та командам безпеки підприємств спостерігати, керувати та захищати ШІ-агентів незалежно від того, де вони працюють: у власній екосистемі Microsoft, на сторонніх хмарних платформах, таких як AWS Bedrock та Google Cloud, на пристроях співробітників, і все частіше в розгалуженій екосистемі SaaS-агентів, створених партнерами-розробниками програмного забезпечення.
Однак найвражаючішим елементом запуску є не саме досягнення загальнодоступності. Це агресивний наступ Microsoft на виявлення та управління локальними ШІ-агентами — помічниками з кодування, інструментами особистої продуктивності та автономними робочими процесами, які співробітники встановлюють на своїх пристроях, часто без відома чи дозволу ІТ-відділу. Microsoft називає це явище “тіньовим ШІ” (shadow AI) і це абсолютно нова категорія ризиків безпеки підприємства, з якою більшість організацій лише починають боротися.
“Більшість підприємств намагаються зрозуміти, як використати потенціал автономних агентів”, – сказав Девід Вестон, корпоративний віце-президент з питань безпеки ШІ в Microsoft, в ексклюзивному інтерв’ю VentureBeat. “Вони намагаються знайти баланс між тим, що ми називаємо YOLO — просто дозволити все запускати — і “ой, ні”, коли нічого взагалі не працює”.
Чому Microsoft стверджує, що несанкціоновані ШІ-агенти вже є кризою безпеки в підприємствах
Час загальної доступності Agent 365 відображає неприємну реальність: ШІ-агенти вже випередили інфраструктуру управління, призначену для їх контролю. Підприємства, які роками створювали засоби контролю для хмарних додатків та SaaS-програм, тепер стикаються з принципово іншим типом розповсюдження — таким, де автономне програмне забезпечення може викликати інструменти, отримувати доступ до конфіденційних даних, зв’язуватися з іншими агентами та вживати заходів від імені користувачів або повністю самостійно.
Вестон описав три конкретні категорії інцидентів безпеки, які Microsoft вже спостерігає серед своїх корпоративних клієнтів. Перша, і найпоширеніша, стосується розробників, які поспішають підключати агентів до бекенд-систем і мимоволі викривають чутливу інфраструктуру. “Типова річ, яку ми бачимо повсюдно, – це сервери MCP, які потім підключаються до чутливої бекенд-системи і виставляються в Інтернет без автентифікації”, – сказав Вестон. “Це може призвести до витоку персональних даних (PII) або іншої конфіденційної інформації”.
Друга категорія включає те, що дослідники безпеки називають міжзапитною ін’єкцією (cross-prompt injection) — зловмисники вбудовують шкідливі інструкції в джерела даних, такі як програмні тікети, веб-сайти або вікі, які агент, ймовірно, буде обробляти. “Ми бачимо, як зловмисники використовують недовірені джерела даних для введення того, що ми називаємо міжзапитними ін’єкціями, які, по суті, змусять вашого агента робити те, що хоче зловмисник”, – пояснив Вестон. Хоча він зазначив, що цей вектор атаки залишається менш поширеним, “коли ми його бачимо, то він має вищий вплив”.
Третя, і, можливо, найпоширеніша проблема, є більш буденною, але не менш небезпечною: агенти, підключені до джерел даних та систем запобігання втраті даних (DLP), які просто не розроблені для розуміння патернів доступу агентів. “Джерела даних та системи DLP, які не розпізнають агентів, виставляють високочутливі дані, можливо, навіть сторонньому постачальнику”, – сказав Вестон, додавши, що такі інциденти несуть “великі витрати та значні ризики”.
Agent 365: центр управління за 15 доларів на користувача для масштабованого контролю ШІ-агентів
По суті, Agent 365 функціонує як централізований реєстр та механізм політик для ШІ-агентів. Він надає ІТ-адміністраторам єдиний огляд усіх агентів, що працюють у їхньому середовищі — незалежно від того, чи був агент створений за допомогою Microsoft Copilot Studio, розгорнутий на AWS Bedrock, інтегрований як SaaS-рішення від партнера, такого як Zendesk або SAP, чи встановлений локально на комп’ютері розробника під керуванням Windows.
Платформа підтримує три окремі категорії агентів, кожна з яких має різний статус доступності на момент запуску. Агенти, що діють від імені користувачів через делегований доступ — наприклад, організатор поштової скриньки, що працює з дозволами користувача — тепер загальнодоступні в центрі управління. Агенти, що працюють у фоновому режимі зі своїми власними обліковими даними доступу, як-от автономна система, що обробляє запити підтримки, також загальнодоступні. Третя категорія, агенти, що беруть участь у командних робочих процесах з власним доступом, сьогодні виходить у публічний попередній перегляд.
Agent 365 доступний як частина нового пакету Microsoft 365 E7 або як окремий продукт за ціною 15 доларів США на користувача на місяць. Кожна ліцензія охоплює особу, яка керує, спонсорує або використовує агентів для роботи від її імені. Модель ціноутворення розроблена для передбачуваного масштабування: організації платять за кожну особу, яка взаємодіє з екосистемою агентів, а не за кожного агента — структура, що враховує реальність, коли кількість агентів у більшості підприємств є змінною величиною.
Як Microsoft виявляє неавторизовані ШІ-інструменти, що ховаються на ноутбуках співробітників
Мабуть, найважливішою новою можливістю запуску сьогодні є здатність Agent 365 виявляти та керувати локальними ШІ-агентами — інструментами, які розробники та аналітики встановлюють безпосередньо на своїх пристроях Windows, часто без будь-якого нагляду з боку ІТ.
Починаючи з сьогоднішнього дня, організації, що беруть участь у програмі Microsoft Frontier, можуть використовувати Agent 365, що працює на базі Microsoft Defender та Intune, для виявлення агентів OpenClaw, які працюють на керованих пристроях Windows. Адміністратори можуть бачити, на яких пристроях працює OpenClaw, і застосовувати політики Intune для блокування поширених методів виконання. Нова сторінка “Shadow AI” в центрі адміністрування Microsoft 365 служить центральною панеллю для цього процесу виявлення.
Вибір почати з OpenClaw був свідомим. “Нашими критеріями є просто запити клієнтів”, – сказав Вестон VentureBeat. “Ми чуємо повсюдно, що підприємства розуміють, що OpenClaw представляє новий тип програмного забезпечення. Вони хочуть бути на передовій, вони хочуть використовувати всі переваги, але вони також хочуть детермінованого контролю, який дозволяє їм встановити чітку межу у своєму підприємстві”.
Microsoft планує розширити виявлення локальних агентів до 18 різних типів агентів до червня 2026 року, включаючи GitHub Copilot CLI та Claude Code. Компанія використовує свою існуючу телеметрію кінцевих точок для ідентифікації додатків, які викликають кінцеві точки висновку (inference endpoints), а потім надає цю інформацію ІТ-відділам та командам безпеки. “Використовуючи нашу видимість на кінцевій точці, ми можемо бачити різноманітні додатки, які, по суті, викликають кінцеві точки висновку”, – пояснив Вестон. “А потім ми можемо надати сукупність цих даних ІТ- та безпековим фахівцям, і вони зможуть вирішити, чи є це прийнятним, чи це ставить їх під ризик”.
Microsoft Defender відображає “радіус ураження” у разі некоректної роботи ШІ-агента
Починаючи з червня, Microsoft Defender надаватиме те, що компанія називає “картуванням контексту активів” (asset context mapping) для кожного виявленого агента. Ця функція створює граф зв’язків, що показує, на яких пристроях працює агент, до яких MCP-серверів він підключається, які ідентичності з ним пов’язані, і до яких хмарних ресурсів ці ідентичності мають доступ. Мета полягає в тому, щоб дозволити командам безпеки оцінити потенційний радіус ураження, якщо агент буде скомпрометований або почне діяти некоректно.
Вестон пояснив технічну основу: “Радіус ураження обчислюється шляхом інвентаризації активів та перетворення кожного активу на вузол у графі. Ребра представляють зв’язки між різними активами чи джерелами даних”. Система накладає контекстні деталі на кожен вузол — наприклад, позначаючи, що певний пристрій запускає недовірений ШІ-агент і одночасно підключений до критично важливої бізнес-бази даних або комп’ютера з тисячами облікових записів користувачів.
“Це високоточне, оскільки воно обчислюється на основі графу активів, який зазвичай базується на хмарі, або будується з даних кінцевих точок, якщо у вас розгорнуто щось на кшталт NDE”, – сказав Вестон. “Ми обчислюємо це на основі того, що у вас вже є — що, по суті, є істинним станом”. Цей тип відображення вразливостей саме те, що запитують CISO, додав Вестон. “Одна з перших речей, яку ви хочете знати при оцінці ризиків агента, це: до чого він підключений? Чи підключений він до чогось, що мене турбує, чи до чогось помірного?”
Платформа не обмежується видимістю. Agent 365 вводить політики контролю, які дозволяють адміністраторам встановлювати “захисні бар’єри” щодо того, що агенти можуть і не можуть робити. Якщо керований агент демонструє зразки шкідливої поведінки — наприклад, намагаючись отримати доступ або викрасти конфіденційні дані — Microsoft Defender може заблокувати агента під час виконання та генерувати сповіщення з багатим контекстом інциденту для розслідування. Вестон наголосив, що існуючі можливості класифікації Defender безпосередньо переносяться у світ агентів. “Введення коду в процес, що керує входами в систему, незалежно від того, чи це OpenClaw, чи браузер, завжди буде сильним сигналом”, – сказав він. Картування контексту, політики контролю та блокування під час виконання будуть доступні в публічному попередньому перегляді через Intune та Defender у червні 2026 року.
Agent 365 дістається до AWS та Google Cloud для управління агентами на конкуруючих платформах
У помітному конкурентному кроці Microsoft розширює охоплення управління Agent 365 на конкуруючі хмарні платформи. Новий публічний попередній перегляд синхронізації реєстру Agent 365 дозволяє ІТ-командам підключатися до AWS Bedrock та Google Cloud (зокрема, до Google Gemini Enterprise Agent Platform, раніше Google Vertex AI). Через ці підключення адміністратори можуть автоматично виявляти та інвентаризувати агентів, що працюють на цих платформах, і виконувати базові дії з управління життєвим циклом агентів, такі як запуск, зупинка або видалення.
“Якщо ми хочемо бути єдиним центром управління, ми повинні йти туди, де є наші клієнти, а багато з них використовують мультихмарні рішення”, – сказав Вестон VentureBeat. Він визнав, що глибина доступних контролів дещо відрізняється залежно від хмарного провайдера. “Як тільки ви знаєте, що це там, які запобіжні заходи чи блокування ви можете надати? І це буде дещо відрізнятися залежно від того, з чим працює хмарний провайдер”. Але він додав, що платформи пропонують “досить порівнянні можливості” в більшості сценаріїв і висловив оптимізм щодо поліпшення міжхмарної узгодженості з часом.
Також загальнодоступний сьогодні: Agent 365 розширює мережеві засоби контролю Microsoft Entra для охоплення трафіку агентів з Microsoft Copilot Studio та локальних агентів, таких як OpenClaw. Ці засоби контролю дозволяють командам безпеки перевіряти мережеву активність агентів, виявляти несанкціоноване використання ШІ, обмежувати підключення до затверджених веб-сайтів, фільтрувати ризиковані передачі файлів та допомагати блокувати шкідливі атаки на основі запитів на мережевому рівні, перш ніж вони призведуть до шкідливих дій. Поєднання синхронізації хмарного реєстру та примусового виконання на мережевому рівні надає Microsoft надзвичайно широку поверхню управління — яка охоплює хмару, кінцеву точку та мережу, що мало хто з конкурентів може запропонувати сьогодні.
Windows 365 для агентів надає підприємствам “пісочницю” для високоризикових ШІ-робочих навантажень
Для організацій, які хочуть отримати переваги продуктивності від автономних агентів, але не готові запускати їх безпосередньо на пристроях співробітників, Microsoft також запускає Windows 365 для агентів у публічному попередньому перегляді, наразі обмеженому США. Це рішення створює новий клас хмарних ПК, спеціально розроблених для агентних робочих навантажень, керованих через Intune, і контрольованих тими самими засобами ідентифікації та безпеки, що застосовуються до людей-співробітників.
Вестон охарактеризував цю можливість як спосіб сегментації. “З точки зору принципу безпеки, чим більшу сегментацію ви можете досягти, тим краще”, – сказав він. “Якщо ви не хочете цього на своїй кінцевій точці, але все ще хочете цю можливість, ви можете ізолювати її в “пісочниці”. Ми бачили, як великі компанії, як Nvidia, говорили про це. Ми створюємо цей шаблон для всіх”.
Наскільки критичною є ця ізоляція, додав Вестон, залежить від контексту. “Якщо ви працюєте на військовому об’єкті, само собою зрозуміло, що ви, ймовірно, захочете ізолювати цю інформацію. Якщо ви працюєте в компанії, яка в основному займається творчістю, і у вас трохи вища толерантність до ризику, ви можете не захотіти цього робити”. Публічний попередній перегляд вимагає ліцензії Agent 365, ліцензії Intune та активної підписки Azure.
Microsoft створює широку партнерську мережу для управління екосистемою агентного ШІ
Microsoft позиціонує Agent 365 не як замкнену систему, а як відкритий рівень управління. Компанія оголосила, що агенти партнерів екосистеми від Genspark, Zensai, Egnyte, Zendesk, а також агенти, побудовані на платформах, таких як Kasisto, Kore.ai та n8n, тепер повністю сумісні з управлінням через Agent 365 — без необхідності додаткової інтеграції з боку ІТ-команд. Додаткові партнери-розробники програмного забезпечення включають Adobe, SAP, Manus, Nvidia та Celonis.
Для SaaS-агентів, створених партнерами, процес онбордингу починається з ідентифікації. “У нас є можливість просто надати йому ідентифікатор або використовувати наш SDK залежно від рівня необхідних вам можливостей”, – пояснив Вестон. “Просто почавши з ідентифікатора, ми можемо бачити, особливо для користувачів Entra, які можливості потребує додаток і які обмеження слід встановити”. Глибша інтеграція SDK надає більш багаті дані для спостереження, але сама по собі ідентифікація надає платформі значний контроль управління.
У сфері послуг Microsoft залучила такі компанії, як Accenture, KPMG, Capgemini, Protiviti, Slalom та майже два десятки інших як партнерів з запуску Agent 365. Ці фірми співпрацювали з інженерною командою Microsoft для розробки пропозицій щодо оцінки інвентаризації, забезпечення мінімальних привілеїв, відповідності вимогам, міжплатформового аналізу загроз та постійного управління життєвим циклом.
Більш важлива ставка Microsoft: агенти — це нові додатки, і їм потрібні ті самі корпоративні засоби контролю
Ставка Microsoft з Agent 365 з’являється в той момент, коли галузь корпоративного програмного забезпечення поспішає визначити, як насправді виглядає “агентна ера” у виробництві. Конкуренти, включаючи Google, Amazon та Salesforce, розробляють власні інструменти для оркестрації та управління агентами, але підхід Microsoft — використання своєї глибоко вкоріненої позиції в управлінні кінцевими точками (Intune), виявленні загроз (Defender), ідентифікації (Entra) та продуктивності (Microsoft 365) — надає їй незвичайну перевагу на різних платформах.
Для підприємств, які розглядають Agent 365, Вестон окреслив поетапну модель впровадження. “Насамперед, вони отримають видимість та інвентаризацію — ви не можете по-справжньому захистити те, про що не знаєте”, – сказав він. “Наступне, що вони зможуть зробити, це призначити ідентифікатори та почати керувати доступом, який мають ці агенти, що є величезним першим кроком у керуванні ризиками”. Глибші можливості — ізоляція через Windows 365 для агентів, блокування під час виконання, картування радіусу ураження — йдуть наступними. “Повзання — це інвентаризація. Ходьба — це отримання ідентичності та доступу. Біг — це отримання ізоляції, кращого контролю, глибшої видимості”, – підсумував Вестон. “Я думаю, що це досяжно протягом 90 днів”.
Чи будуть підприємства рухатися так швидко, залежатиме від зрілості їхньої існуючої інфраструктури безпеки та темпів поширення “тіньового ШІ” всередині їхніх стін. Онлайн-сесія “Запитайте Microsoft будь-що” щодо Agent 365 запланована на 12 травня, що дасть ІТ-спеціалістам та фахівцям з безпеки можливість поставити інженерній команді уточнюючі запитання.
Але, можливо, найпоказовішою деталлю інтерв’ю було найневимушеніше. “Зараз у мене за командою чату працює 18 агентів”, – сказав Вестон. Якщо навіть головний фахівець з безпеки Microsoft має невелику армію автономних агентів, що працюють у його повсякденному робочому процесі, для кожного іншого підприємства питання полягає вже не в тому, чи керувати агентською робочою силою — а в тому, чи зможуть вони зробити це до того, як ця робоча сила почне керувати сама собою.
Як захиститися (Порада ІТ-Блогу): Уникайте встановлення будь-яких сторонніх програм, що обіцяють “інтелектуальні” функції або автоматизацію, без попереднього схвалення вашого ІТ-відділу. Ретельно перевіряйте дозволи, які ви надаєте будь-якому новому програмному забезпеченню, особливо якщо воно просить доступ до ваших файлів, облікових записів або мережі.
Інформація підготовлена на основі матеріалів: venturebeat.com