🌍 English | 日本語 | 简体中文 | 한국어

Agent Governance Toolkit (Agent 管理工具包)

让 AI Agent 生产环境部署不再令人焦虑

[!IMPORTANT] 公开预览版 —— 达到生产质量，由微软签名发布。在正式发布（GA）前可能会有重大变更。

针对自主 AI Agent 的策略执行、身份认证、沙箱隔离以及 SRE（站点可靠性工程）工具包。只需一条 pip install 指令，适配任意框架。

---

面临的问题

你的 AI Agent 会调用工具、浏览网页、查询数据库并委派任务给其他 Agent。一旦部署，它们便会自主决策。你需要回答以下三个问题：

1. 该操作是否被允许？ 一个有权限访问 send_email 和 query_database 的 Agent，不应有权执行 drop_table。OAuth 作用域和 IAM 角色只能控制 Agent 能连接到哪些服务，而无法控制连接后的操作行为。

2. 到底是哪个 Agent 做的？ 在多 Agent 系统中，五个 Agent 可能共用一个 API Key。当出现问题时，“某个 Agent 做的”这种回复无法用于事件响应。

3. 你能证明发生了什么吗？ 审计人员和监管机构需要关于每项决策的防篡改记录：当时启用了什么策略、Agent 请求了什么、以及为什么该操作被允许或拒绝。

基于 Prompt 的安全机制（如“请遵守规则”）并不是有效的控制手段。这只是对随机系统的一种礼貌请求。OWASP LLM01:2025 明确指出：“目前尚不清楚是否存在防止 Prompt 注入的万无一失的方法。” 现有数据支持这一结论。Andriushchenko 等人 (ICLR 2025) 报告称，通过使用具有对数概率访问权限和后缀优化的自适应攻击，针对 JailbreakBench (Chao 等人, NeurIPS 2024) 基准进行评估，GPT-4o、GPT-3.5、Claude 3 和 Llama-3 的攻击成功率 (Attack Success Rate) 高达 100%。微软自己的 AI Red Teaming Agent 将攻击成功率 (ASR)（即在对抗性输入下违反策略的比率）正式定为衡量此类失败的核心指标。Lessons from Red Teaming 100 Generative AI Products 进一步强调：“缓解措施无法完全消除风险”，且红队测试必须是一个持续的过程，因为模型层的防御在设计上就是概率性的。

AGT 并不试图在 Prompt 层面进行对抗。每一个工具调用、消息发送和任务委派，都会在模型意图到达网络传输之前，于确定性的应用程序代码中被拦截。AGT 内核拒绝的操作并非“不太可能发生”，而是在架构层面绝对不可能发生。这就是“请求 Agent 遵守规矩”与“让 Agent 无法违规”之间的本质区别。

---

快速入门

前置条件： Python 3.10+

pip install agent-governance-toolkit[full]

对于 Claude Code，将 AGT 添加为插件市场并安装治理插件：

/plugin marketplace add microsoft/agent-governance-toolkit
/plugin install agt-governance@agent-governance-toolkit

只需两行代码即可管控任何工具函数：

from agentmesh.governance import govern

safe_tool = govern(my_tool, policy="policy.yaml")   # 每次调用都会经过检查、记录和强制执行

就是这样。safe_tool 会在每次调用时评估你的 YAML 策略，记录决策结果，并在操作被拦截时抛出 GovernanceDenied 异常。

# policy.yaml
apiVersion: gov