Перейти к содержимому
Цена founder — зафиксирована для ранних клиентовНачать →

Agent as a Service: модели ценообразования, изоляция арендаторов и фреймворк принятия решений AaaS

Agent as a Service (AaaS) — это коммерческая модель доставки, при которой агенты ИИ работают на управляемой инфраструктуре поставщика, обеспечивая оркестрацию, выполнение инструментов, память и управление учётными данными, и выставляют счета за токен, за действие или за час агента, без необходимости клиентам развёртывать собственную среду выполнения. AaaS сформировалась как корпоративная категория закупок в 2026 году: OpenAI Operator запустился в январе 2025 года, Google Agent Space достиг общей доступности, а AWS Bedrock Agents масштабировался до корпоративного использования, объём поиска вырос с 90 запросов в месяц в июне 2025 до 260-390 в месяц к Q1 2026, цена за клик $32,88.

Agent as a Service (AaaS) — это коммерческая модель доставки, при которой агенты ИИ работают на управляемой инфраструктуре поставщика, обеспечивая оркестрацию, выполнение инструментов, память и управление учётными данными, и выставляют клиенту счёт на основе потребления (за входной токен, за выполненное действие или за час агента) без необходимости развёртывать и эксплуатировать собственную среду выполнения агента.

Что означает Agent as a Service: три обещания платформы

Каждая платформа AaaS делает три утверждения. Понимание того, какие из них хорошо выполняются, а какие являются маркетингом, помогает покупателям оценивать поставщиков до принятия обязательств по бюджету на инфраструктуру.

Обещание 1: Управляемая инфраструктура (без среды выполнения для эксплуатации)

AaaS передаёт весь стек среды выполнения агента поставщику: движок оркестрации, среда выполнения инструментов, бэкенды памяти, конвейер наблюдаемости, горизонтальное масштабирование и SLA доступности. Клиент определяет агента (системный промпт, инструменты и конфигурацию памяти) и вызывает его. Поставщик запускает его.

Это тот же компромисс, что и с любым управляемым сервисом: RDS против самостоятельно управляемого Postgres, Lambda против самостоятельно управляемых контейнеров. Вы жертвуете настраиваемостью и, возможно, платите надбавку в обмен на то, что не несёте операционную нагрузку. Обещание управляемой инфраструктуры хорошо выполняется AWS Bedrock Agents, Google Agent Space и большинством зрелых платформ AaaS.

Обещание нарушается, когда клиенту нужна конфигурация среды выполнения, которую платформа не предоставляет: пользовательские среды выполнения инструментов, нестандартные бэкенды памяти, конкретные версии моделей или логика цикла агента, отличающаяся от фиксированной модели оркестрации платформы.

Подробности об инфраструктурном слое см. в инфраструктура развёртывания агентов ИИ и варианты хостинга.

Обещание 2: Ценообразование по потреблению (платите за токен, действие или час)

Ценообразование AaaS в 2026 году сошлось к трём структурам:

Плата за оркестрацию за токен поверх стоимости модели. Платформа взимает плату за свой слой оркестрации отдельно от базового LLM. AWS Bedrock Agents: $0,000025 за входной токен, обрабатываемый слоем оркестрации, взимается поверх стандартного тарифа LLM. Для Claude 3.5 Sonnet на Bedrock ($3,00/M входных токенов) плата за оркестрацию добавляет $0,025/M входных токенов, менее 1% накладных расходов. Но для более дешёвых моделей, таких как Amazon Titan Text по $0,30/M, плата за оркестрацию составляет 8,33% дополнительных накладных расходов к стоимости модели.

Плата за действие для интеграций инструментов. Запросы AWS Bedrock Knowledge Base: $0,0004/запрос. Агент, делающий 50 поисков в KB за сессию, платит $0,02/сессию в виде сборов KB. При 100 000 запросов KB/день: $40/день только в виде сборов за действия.

Уровни подписки за час агента. Некоторые платформы предлагают уровни, где каждый активный агент засчитывается против включённых часов независимо от потребления токенов. Эта модель обеспечивает предсказуемость затрат для стабильных флотов агентов, но может быть неэффективной для непредсказуемых нагрузок.

Ценообразование по потреблению согласовывает стимулы поставщика с использованием клиента, но создаёт непредсказуемость затрат для длительно работающих агентов. Вышедший из-под контроля цикл агента генерирует расходы как на слое оркестрации, так и на слое модели одновременно.

Стратегии снижения затрат см. в оптимизация стоимости LLM и стратегии бюджета токенов для флотов агентов.

Обещание 3: Изоляция учётных данных (учётные данные никогда не находятся в контексте агента)

Изоляция учётных данных — это защитный примитив AaaS, отличающий управляемую платформу от "кода агента, работающего на облачной VM с ключами API в переменных среды". Учётные данные вводятся на стороне сервера во время выполнения и никогда не появляются в контекстном окне агента, в файлах журналов или в параметрах вызовов инструментов.

CVE-2024-5184 (Palo Alto Unit 42, июнь 2024, CVSS 9.1 CRITICAL) продемонстрировал, что внедрение промптов через ответ инструмента может заставить агента утечь своё контекстное окно. Если ключи API находятся в контекстном окне, они могут быть украдены через этот вектор.

Диагностический вопрос к каждому поставщику AaaS: "Если злоумышленник извлечёт полное контекстное окно моего агента через внедрение промптов, какие учётные данные окажутся под угрозой?" Правильный ответ: никакие, учётные данные не находятся в контекстном окне агента.

  • AWS Bedrock Agents: принятие роли IAM при каждом вызове; агент выполняется под временным токеном роли IAM и никогда не хранит необработанных ключей API
  • OpenLegion: разрешение хэндла $CRED{} в Zone 2; код агента ссылается на учётные данные по имени; Zone 2 разрешает фактическое значение во время выполнения, не возвращая его агенту

Паттерн прокси хранилища и архитектуру хэндла $CRED{} см. в управление учётными данными и область API-ключей для каждого арендатора для агентов ИИ.

Ландшафт поставщиков AaaS в 2026 году

AWS Bedrock Agents: корпоративный AaaS с изоляцией IAM

AWS Bedrock Agents — доминирующая корпоративная платформа AaaS по охвату рынка. Агенты определяются через консоль Bedrock или API с группами действий и базами знаний.

Ценообразование (2026):

  • Слой оркестрации: $0,000025/входной токен
  • Стоимость модели: стандартные тарифы Bedrock (Claude 3.5 Sonnet: входные $3,00/M, выходные $15,00/M)
  • Запросы Knowledge Base: $0,0004/запрос
  • Code Interpreter: $0,000025/входной токен

Изоляция учётных данных: Принятие роли IAM при каждом вызове. Каждому Bedrock Agent присвоена роль выполнения IAM. Сам агент никогда не хранит необработанных учётных данных.

Ограничения: Тесная связь с сервисами AWS. Пользовательская логика цикла агента не поддерживается. Плата за оркестрацию за токен быстро накапливается для агентов с объёмным контекстом.

OpenAI Operator: потребительский AaaS для задач браузера

OpenAI Operator запустился в январе 2025 года как первый массовый потребительский продукт AaaS. Он выполняет веб-задачи в изолированной браузерной сессии от имени пользователя с оплатой за завершение задачи.

Изоляция учётных данных: Изолированная браузерная сессия на каждую задачу. Сессии не сохраняются и не используются совместно между задачами.

Ограничения: Только браузер, без пользовательских интеграций инструментов за пределами просмотра веб-страниц. Нет API разработчика для пользовательских определений агентов.

Google Agent Space: AaaS для предприятий с упором на Workspace

Google Agent Space (запущен в 2025, общая доступность в 2026) — корпоративная платформа AaaS от Google Cloud для организаций, стандартизированных на Google Workspace.

Ценообразование: Через потребительский биллинг Google Cloud, связанный со стоимостью моделей Vertex AI плюс стоимость вызовов Cloud Run.

Ограничения: Привязка к экосистеме Google Cloud. Менее гибко для мультиоблачных интеграций. Непрозрачность цен по нескольким параметрам биллинга.

Сравнение платформ AaaS на уровне функций см. в функции платформы агентов ИИ и сравнение фреймворков.

Ценообразование AaaS: понимание ваших общих затрат

Плата за слой оркестрации

МодельЦена входных токеновПлата за оркестрациюОркестрация % от стоимости модели
Claude 3.5 Sonnet$3,00/M$0,025/M0,83%
Claude 3 Haiku$0,25/M$0,025/M10%
Amazon Titan Text$0,30/M$0,025/M8,33%

Плата за действие и налог на длительно работающих агентов

  • AWS Bedrock KB при 100 000 запросах/день: $40/день = $1 200/месяц
  • Самостоятельно размещённый OpenSearch на t3.medium при 100 000 запросах/день: ~$0,16/день = $5/месяц

Расчёт точки пересечения: платы за действие AaaS превышают стоимость самостоятельно размещённой инфраструктуры при примерно 12 500 запросах/день.

Стоимость вышедших из-под контроля циклов в AaaS: двойной биллинг

Вышедшие из-под контроля циклы агента обходятся дороже в AaaS, чем при самостоятельном размещении, потому что AaaS выставляет счёт за стоимость модели и плату за слой оркестрации при каждой итерации.

Безопасность AaaS: изоляция учётных данных и тест CVE-2024-5184

Тест CVE-2024-5184 для платформ AaaS

CVE-2024-5184 (Palo Alto Unit 42, июнь 2024, CVSS 9.1 CRITICAL): внедрение промптов через ответ API инструмента.

Тест CVE-2024-5184: "Если злоумышленник извлечёт контекстное окно моего агента через внедрение промптов, какие учётные данные будут доступны?"

Пройден (учётные данные не в контекстном окне):

  • AWS Bedrock Agents
  • OpenLegion

Не пройден (учётные данные доступны):

  • Любая платформа, где разработчик разместил ключи API в системном промпте

Изоляция промптов для нескольких арендаторов

Изоляция на уровне инфраструктуры (наиболее сильная):

  • AWS Bedrock Agents: отдельные роли IAM для каждого арендатора
  • Google Agent Space: изоляция через границы проектов Google Cloud
  • OpenLegion: ACL пространства имён доски по каждому проекту

Изоляция на уровне системного промпта (наиболее слабая): Не работает, когда внедрение промпта перезаписывает инструкцию арендатора (OWASP LLM06:2023).

Полную архитектуру области учётных данных для каждого арендатора и ACL пространств имён см. в мультиарендная архитектура агентов ИИ и изоляция между арендаторами.

Модель разделённой ответственности в AaaS

Распространённые ошибки клиентов, создающие бреши в безопасности:

  1. Учётные данные в системных промптах
  2. Чрезмерно широкие разрешения инструментов
  3. Отсутствие области инструментов для каждого агента
  4. Отсутствие прерывания HITL для необратимых действий

AaaS против самостоятельного хостинга: фреймворк принятия решений

Когда AaaS выигрывает

AaaS является лучшим выбором, когда:

  • Малый или средний объём: плата за действие меньше стоимости самостоятельно размещённой инфраструктуры (точка пересечения ~12 500 запросов/день)
  • Быстрый выход в продакшн: AaaS устраняет недели настройки инфраструктуры
  • Наследование соответствия требованиям: платформы AaaS, сертифицированные по SOC 2 Type II

Когда самостоятельный хостинг выигрывает

Самостоятельно размещённая инфраструктура — правильный выбор, когда:

  • Объём превышает точку пересечения: более 50 000 действий агента/день
  • Требования к пользовательской среде выполнения: нестандартные среды выполнения инструментов
  • Требования к месту хранения данных: регулируемые отрасли
  • Риск привязки к поставщику неприемлем

Совокупная стоимость владения

Сравнение TCO для 100 000 действий/день:

AaaS (в стиле AWS Bedrock):

  • Запросы KB: $1 200/месяц
  • Плата за оркестрацию: ~$300/месяц
  • Итого: ~$1 500/месяц + стоимость моделей

Самостоятельный хостинг:

  • Кластер Kubernetes: $800/месяц
  • Векторное хранилище: $200/месяц
  • Стек наблюдаемости: $150/месяц
  • Инжиниринг: $2 400/месяц
  • Итого: ~$3 550/месяц + стоимость моделей

Позиция OpenLegion: безопасность AaaS — это вопрос архитектуры учётных данных

Agent as a Service — это самая быстрорастущая категория корпоративных закупок ИИ в 2026 году, и также категория с наименее стандартизированным базовым уровнем безопасности.

Архитектурное обеспечение: учётные данные никогда не попадают в код агента или контекстное окно. Это свойство нельзя обойти ошибкой разработчика.

Изоляция на основе соглашений: разработчикам предписывают не размещать учётные данные в системных промптах. Ломается под давлением сроков, пробелами в проверке кода и неудачами при адаптации разработчиков.

Три конкретные цифры:

  • CVE-2024-5184 (CVSS 9.1 CRITICAL, июнь 2024)
  • $32,88 CPC для "agent as a service" в Q1-Q2 2026
  • Рост в 4 раза в годовом исчислении объёма поиска с июня 2025 по начало 2026
Контроль безопасностиOpenLegionAWS Bedrock AgentsGoogle Agent SpaceOpenAI OperatorLangGraph (самостоятельный хостинг)
Хранилище учётных данных с разрешением хэндла $CRED{}Zone 2, архитектурноеПринятие роли IAMОбласть действия сервисного аккаунтаИзоляция сессииОтветственность разработчика
Дневной лимит расходов на агента (инфраструктурный слой)Zone 2, $0-$50/деньНедоступноНедоступноНедоступноОтветственность разработчика
ACL доски по арендаторскому проектуАрхитектурноеНа основе IAMНа основе проектаН/ПОтветственность разработчика
Область разрешений инструментов для каждого агентаПринудительно средой выполненияIAM группы действийНа основе IAMН/ПОтветственность разработчика
Журнал аудита WORM для каждого арендатора (SOC 2 CC6.1)ВстроенныйCloudTrailCloud Audit LogsН/ПОтветственность разработчика
Определение агента в gitINSTRUCTIONS.mdКонсоль/APIКонсоль/APIН/ПОтветственность разработчика

Начните создавать на OpenLegion — развёртывайте агентов с архитектурной изоляцией учётных данных через разрешение прокси хранилища $CRED{} в Zone 2, дневными лимитами расходов на агента, применяемыми в Zone 2, и ACL досок, делающими доступ к состоянию между арендаторами архитектурно невозможным.

Часто задаваемые вопросы

Что такое Agent as a Service (AaaS)?

Agent as a Service (AaaS) — это коммерческая модель доставки, при которой агенты ИИ работают на управляемой инфраструктуре поставщика, обеспечивая оркестрацию, выполнение инструментов, память и управление учётными данными, выставляя клиенту счёт на основе потребления. Категория AaaS сформировалась в 2026 году с запуском OpenAI Operator (январь 2025), общей доступностью Google Agent Space и достижением AWS Bedrock Agents корпоративного масштаба. Каждая платформа AaaS даёт три обещания: управляемая инфраструктура, ценообразование по потреблению и изоляция учётных данных.

Сколько стоит Agent as a Service?

Ценообразование AaaS имеет три уровня затрат: стоимость базовой модели LLM, плата за слой оркестрации (AWS Bedrock Agents: $0,000025/входной токен) и плата за действие для интеграций инструментов (AWS Bedrock Knowledge Base: $0,0004/запрос). При 100 000 действиях агента/день плата за платформу AaaS обычно достигает $1 500-$3 600/месяц до стоимости моделей.

Что такое AWS Bedrock Agents и как он тарифицируется?

AWS Bedrock Agents — управляемая платформа AaaS от Amazon, обеспечивающая оркестрацию агентов, группы действий и базы знаний на управляемой инфраструктуре AWS с изоляцией учётных данных на основе ролей IAM. Ценообразование (2026): $0,000025 за входной токен для слоя оркестрации; запросы Knowledge Base стоят $0,0004 за запрос.

Что такое OpenAI Operator и почему он важен для AaaS?

OpenAI Operator, запустившийся в январе 2025 года, — первый массовый потребительский продукт Agent as a Service, агент ИИ, выполняющий веб-задачи в изолированной браузерной сессии от имени пользователя с оплатой за завершение задачи. Значимость Operator в том, что он продемонстрировал: потребители тоже будут платить за выполнение задач агентом как за услугу, что напрямую коррелирует с четырёхкратным ростом объёма поиска "agent as a service" в начале 2026 года.

Как работает изоляция учётных данных в платформах AaaS?

Изоляция учётных данных в AaaS означает, что платформа никогда не предоставляет коду агента ключи API LLM клиента, учётные данные баз данных или секреты инструментов. AWS Bedrock Agents достигает этого через принятие ролей IAM. OpenLegion использует разрешение хэндла $CRED{} в Zone 2: код агента ссылается на учётные данные по имени; Zone 2 разрешает фактическое значение во время выполнения, не возвращая его агенту.

Какие риски безопасности специфичны для платформ AaaS?

Основной специфический риск AaaS — расширенная поверхность атаки для внедрения промптов (CVE-2024-5184, CVSS 9.1 CRITICAL): агенты AaaS вызывают внешние API и обрабатывают внешний веб-контент от имени арендаторов, и любой из этих внешних ответов может содержать враждебные инструкции. Второй риск — утечка промптов между арендаторами при слабой архитектуре изоляции. Третий риск — пробел в разделённой ответственности.

Когда использовать AaaS против самостоятельно размещённой инфраструктуры?

AaaS является лучшим выбором при малом или среднем объёме, быстром выходе в продакшн или наследовании соответствия требованиям. Самостоятельный хостинг выигрывает при масштабировании (более 50 000 действий/день), при требованиях к пользовательской среде выполнения, при регулировании места хранения данных или когда риск привязки к поставщику неприемлем. Расчёт TCO всегда должен включать время инжиниринга для эксплуатации самостоятельно размещённой инфраструктуры.

Что такое изоляция промптов для нескольких арендаторов в AaaS?

Изоляция промптов для нескольких арендаторов в AaaS означает, что системный промпт, история разговора, результаты инструментов и состояние памяти арендатора A никогда не появляются в контексте агента арендатора B. Наиболее сильные механизмы изоляции находятся на уровне инфраструктуры. Наиболее слабый паттерн — изоляция на уровне системного промпта, которая не работает, когда внедрение промпта перезаписывает инструкцию арендатора (OWASP LLM06:2023).