Перейти к содержимому
Цена founder — зафиксирована для ранних клиентовНачать →

Агентные рабочие процессы: паттерны, безопасность и production-дизайн

Агентный рабочий процесс — это многоэтапный процесс ИИ, в котором один или несколько агентов автономно решают, какие инструменты вызывать, когда делегировать подзадачи другим агентам и как адаптировать свой подход на основе промежуточных результатов. В отличие от фиксированного конвейера, где каждый шаг жёстко закодирован и выполняется ровно один раз, агентный рабочий процесс динамичен: агент считывает среду, рассуждает о состоянии и выбирает следующее действие. Эта автономность — его функция. Она же является поверхностью атаки.

OpenLegion — это security-first платформа ИИ-агентов, которая рассматривает дизайн агентных рабочих процессов как инженерную дисциплину: каждый шаг выполняется в изолированном контейнере, учётные данные никогда не присутствуют в процессе агента, и каждый цикл итерации имеет жёсткое условие остановки, применяемое на уровне инфраструктуры.

Что такое агентный рабочий процесс?

Агентный рабочий процесс — это многоэтапный процесс ИИ, в котором автономные агенты выбирают инструменты, делегируют подзадачи и обновляют план выполнения на основе промежуточных результатов, в отличие от статических конвейеров, где каждый шаг фиксирован на этапе проектирования.

TL;DR

  • Четыре основных паттерна: цикл ReAct, «план и выполнение», цикл рефлексии, параллельный fan-out. У каждого свои режимы отказа.
  • ReAct (Reason + Act, Yao et al. 2023) — наиболее широко реализованный паттерн, используемый в LangGraph, OpenAI Agents SDK, AutoGen и OpenLegion.
  • Основной вектор атаки: инъекция промпта через результаты инструментов (OWASP LLM Top 10 2025, LLM02). Вредоносная веб-страница или документ может перехватить следующее действие агента.
  • Неконтролируемые циклы — не краевые случаи: цикл рефлексии или ReAct без жёсткого условия остановки будет работать до исчерпания бюджета.
  • Меры OpenLegion: бюджет шагов на агента (жёсткий лимит итераций), изоляция контейнеров (скомпрометированный шаг не может получить доступ к учётным данным других агентов), нулевая телеметрия.
  • Бюджет шагов vs. бюджет токенов: оба важны. Бюджеты токенов ограничивают расходы; бюджеты шагов ограничивают неограниченные циклы рассуждений.

Чем агентный рабочий процесс отличается от конвейера

Традиционный конвейер выполняет фиксированную последовательность: шаг 1, шаг 2, шаг 3. Разработчик определяет каждый переход на этапе проектирования. Система детерминирована: один и тот же входной сигнал даёт один и тот же путь выполнения.

Агентный рабочий процесс вводит точку принятия решения на каждом шаге. Агент считывает текущее состояние, выбирает действие (вызвать инструмент, делегировать другому агенту, выдать финальный ответ или снова зациклиться) и обновляет состояние. Путь выполнения определяется во время выполнения моделью, а не разработчиком.

Это различие имеет прямые последствия для безопасности. В фиксированном конвейере радиус поражения скомпрометированного шага ограничен выводом этого шага. В агентном рабочем процессе скомпрометированный шаг может поручить агенту выполнить дополнительные действия: вызвать внешние API, утечь данные, генерировать вредоносные выводы, влияющие на последующие шаги. Руководство по безопасности ИИ-агентов охватывает полную модель угроз; эта страница сосредоточена на том, как выбор паттерна рабочего процесса влияет на поверхность атаки.

Четыре основных паттерна агентных рабочих процессов

Паттерн 1: Цикл ReAct (Reason + Act)

Что это такое. Введённый Yao et al. (2023), ReAct чередует следы рассуждений с вызовами действий в одном цикле. На каждом шаге модель производит Мысль (рассуждение о текущем состоянии), Действие (вызов инструмента или делегирование) и Наблюдение (результат инструмента). Цикл продолжается до тех пор, пока модель не выдаст финальный ответ.

Где используется. ReAct является циклом по умолчанию в LangGraph, OpenAI Agents SDK, групповом чате AutoGen и OpenLegion. Это наиболее широко развёрнутый паттерн агентного рабочего процесса.

Режимы отказа:

  • Неограниченный цикл: без жёсткого лимита итераций агент ReAct может зацикливаться бесконечно.
  • Инъекция промпта через наблюдение: шаг Наблюдения является основной поверхностью атаки. OWASP LLM02 (инъекция промпта) — наибольший риск для рабочих процессов на основе ReAct.
  • Раздувание контекстного окна: длинные цепочки ReAct накапливают тройки мысль/действие/наблюдение в контексте.

Мера OpenLegion: бюджет шагов на агента (максимальное число итераций, принудительно применяемое оркестратором) плюс изоляция контейнеров.

Паттерн 2: «План и выполнение»

Что это такое. Агент-планировщик заранее создаёт полную декомпозицию задач. Один или несколько агентов-исполнителей затем выполняют каждый шаг плана без перепланирования между шагами.

Преимущества перед ReAct. Разделение планирования и выполнения значительно снижает стоимость токенов: тяжёлые рассуждения происходят один раз в планировщике. Путь выполнения также можно проверить до начала работы.

Режимы отказа:

  • Дрейф плана: если исполнитель сталкивается с неожиданным результатом в середине плана, он может продолжить работу по устаревшему плану.
  • Единая точка отказа планировщика: инъекция промпта, искажающая вывод планировщика, влияет на каждый последующий шаг выполнения.
  • Отсутствие адаптивного перепланирования: чистый «план и выполнение» не справляется с задачами, где промежуточные результаты существенно меняют то, что должны делать последующие шаги.

Мера OpenLegion: планировщик и исполнители работают в отдельных контейнерах. Радиус поражения ограничен выводом контейнера планировщика.

Паттерн 3: Цикл рефлексии

Что это такое. Агент (или отдельный агент-критик) оценивает собственный вывод и повторяет итерации до достижения порога качества. Распространён при генерации контента, написании кода и аналитических задачах.

Режимы отказа:

  • Неконтролируемая итерация без условия остановки: если критик всегда может найти что-то для улучшения, цикл работает бесконечно.
  • Самоусиливающиеся ошибки: модель, неправильно понявшая задачу, будет генерировать критику, усиливающую непонимание.
  • Усиление затрат: цикл рефлексии из 10 раундов стоит в 10 раз дороже базовой генерации.

Мера OpenLegion: бюджет шагов на агента устанавливает максимальное число рефлексий на уровне инфраструктуры.

Паттерн 4: Параллельный fan-out

Что это такое. Несколько агентов одновременно выполняют независимые подзадачи. Агент синтеза ждёт завершения всех параллельных ветвей, затем объединяет результаты.

Режимы отказа:

  • Усиление затрат: N параллельных агентов стоят в N раз дороже последовательного эквивалента.
  • Отравление синтеза: вредоносный вывод ветви может испортить объединённый результат.
  • Конфликты конкурентности и общего состояния: CVE-2025-64168 (Agno, CVSS 7.1) это продемонстрировал: состояние гонки в общем состоянии сессии при асинхронном параллелизме раскрыло данные одного пользователя другому.

Мера OpenLegion: каждый параллельный агент работает в собственном изолированном Docker-контейнере. Между ветвями нет общего изменяемого состояния.

Дизайн безопасности для агентных рабочих процессов

Угроза 1: Инъекция промпта через результаты инструментов

Результаты инструментов являются основным вектором инъекции в агентных рабочих процессах. OWASP LLM02 (инъекция промпта) — наибольший риск для LLM-приложений в Top 10 2025 года. Для агентных рабочих процессов риск усиливается, поскольку агенты имеют доступ к инструментам, и инжектированная инструкция может вызвать реальные действия.

OpenLegion применяет Unicode-санитизацию при приёме результатов инструментов (56 контрольных точек для bidi-переопределений, символов тегов и символов нулевой ширины) плюс изоляцию контейнеров для ограничения радиуса поражения при любой успешной инъекции.

Угроза 2: Усиление вызовов инструментов

Агент, вызывающий дорогостоящий инструмент в цикле ReAct без бюджета шагов, может совершить сотни вызовов инструментов, прежде чем разработчик это заметит. Реальные инциденты включают агентов, работавших всю ночь и генерировавших тысячи API-вызовов к сторонним сервисам, что повлекло неожиданные счета и блокировки из-за превышения лимита запросов.

OpenLegion применяет оба ограничения: бюджет токенов на агента (потолок расходов) и бюджет шагов на агента (потолок итераций). Любой из лимитов останавливает агента при достижении.

Угроза 3: Раскрытие учётных данных при делегировании

В фреймворках, где агенты совместно используют Python-процесс, агент B по умолчанию имеет доступ к переменным среды агента A. Скомпрометированный шаг делегирования может раскрыть все учётные данные, доступные рабочему процессу.

OpenLegion использует инъекцию учётных данных через Vault-прокси посредством Mesh Host. Контейнер агента B получает только учётные данные, явно назначенные ему в ACL-матрице fleet, а не учётные данные агента A.

Угроза 4: Неограниченная рекурсия и самопорождение

Агентный рабочий процесс, позволяющий агентам порождать подагентов без ограничений, может быть манипулирован для создания экспоненциальной рекурсии. OpenLegion ограничивает это: разрешение can_spawn требует явного одобрения администратора, глубина подагентов ограничена конфигурацией mesh, а шаблоны fleet определяют максимальное число агентов.

Бюджет шагов vs. бюджет токенов: почему нужны оба

Бюджеты токенов ограничивают общие расходы на агента в день. Они необходимы, но недостаточны. Бюджет токенов не предотвращает выполнение 500 итераций циклом ReAct с использованием дешёвых инструментов. Бюджет шагов ограничивает число итераций рассуждений или вызовов инструментов независимо от стоимости токенов.

OpenLegion реализует оба: бюджет токенов, принудительно применяемый Cost Tracker в Зоне 2, и бюджет шагов, принудительно применяемый оркестратором на уровне инфраструктуры.

Проектирование агентных рабочих процессов для production

Выбор правильного паттерна для задачи

Тип задачиРекомендуемый паттернПочему
Открытое исследованиеЦикл ReAct с бюджетом шаговТребует адаптивного выбора инструментов; ограничьте цикл
Структурированная многошаговая задача«План и выполнение»Проверяемый план; снижение стоимости токенов
Генерация, чувствительная к качествуЦикл рефлексии с лимитом шаговСамокоррекция; жёсткая остановка предотвращает неконтролируемые циклы
Параллельный сбор данныхFan-out + синтезНезависимые подзадачи; изоляция на агента
Обработка длинных документовFan-out + последовательное объединениеРаспараллеливает пословную обработку

Определение условий остановки до развёртывания

Каждый цикл в агентном рабочем процессе нуждается в явном условии остановки, применяемом на уровне инфраструктуры. Если модель решает, когда остановиться, инъекция промпта может помешать ей это сделать.

Валидация выводов на границах шагов

Каждая граница шага — это возможность проверить, что вывод соответствует ожидаемой схеме, прежде чем передать его на следующий шаг. Координация fleet-модели OpenLegion применяет валидаторы вывода в каждой точке передачи. Подробности реализации см. в руководстве по оркестрации ИИ-агентов.

Ограничение разрешений до необходимого минимума

Каждый агент должен иметь только те инструменты и разрешения, которые необходимы для его конкретного шага. Агенты с избыточными правами усиливают радиус поражения при любой компрометации. ACL-матрица на агента в конфигурации fleet OpenLegion обеспечивает минимальные привилегии на уровне оркестратора.

Фреймворки агентных рабочих процессов: сравнение поддержки паттернов

ФреймворкReAct«План и выполнение»РефлексияFan-OutБюджет шаговИзоляция контейнеров
OpenLegionДаДаДаДаДа (жёсткий)Да (обязательная)
LangGraphДаДаДаДаНет встроенногоНет
CrewAIДа (Flows)Да (Crews)ОграниченноДа (parallel)НетНет (только CodeInterpreter)
OpenAI Agents SDKДаОграниченноОграниченноДа (handoffs)НетНет
AutoGenДаДаДаДа (group chat)НетDocker только для кода

Подробное сравнение безопасности и архитектуры этих фреймворков см. в сравнении фреймворков ИИ-агентов.

Позиция OpenLegion

Агентные рабочие процессы — это то место, где технический долг безопасности большинства фреймворков становится заметен в production. Циклы ReAct без бюджетов шагов генерировали неожиданные счета за API с пятизначными и шестизначными суммами. CVE-2025-64168 (Agno, CVSS 7.1, октябрь 2025) продемонстрировал, что параллельные агентные рабочие процессы, совместно использующие Python-процесс, могут раскрыть состояние сессии одного пользователя другому при высокой асинхронной нагрузке. OWASP LLM02 (инъекция промпта, Top 10 2025) определяет инъекцию через результаты инструментов как основной вектор атаки против агентных рабочих процессов на основе ReAct.

OpenLegion архитектурно решает три свойства: жёсткие бюджеты шагов (максимальное число итераций, применяемое оркестратором), изоляция контейнеров на агента (нет общего изменяемого состояния между параллельными ветвями) и инъекция учётных данных через Vault-прокси (передачи делегирования маршрутизируются через Зону 2). Это не параметры конфигурации — это архитектура по умолчанию.

Компромисс: у OpenLegion около 59 звёзд на GitHub против примерно 25 200 у LangGraph и примерно 44 600 у CrewAI. Сравнение реализации этих паттернов в фреймворках см. в сравнении фреймворков ИИ-агентов.

Создавайте агентные рабочие процессы с жёсткими условиями остановки, а не с надеждой на остановку.

Часто задаваемые вопросы

Что такое агентный рабочий процесс?

Агентный рабочий процесс — это многоэтапный процесс ИИ, в котором один или несколько агентов автономно выбирают инструменты, делегируют подзадачи другим агентам и адаптируют план выполнения на основе промежуточных результатов. В отличие от статических конвейеров с фиксированными шагами, путь выполнения агентного рабочего процесса определяется во время выполнения рассуждением модели. Четыре основных паттерна — цикл ReAct, «план и выполнение», цикл рефлексии и параллельный fan-out — каждый со своими режимами отказа и последствиями для безопасности.

Что такое паттерн ReAct в агентных рабочих процессах?

ReAct (Reason + Act) введён Yao et al. в 2023 году и чередует следы рассуждений с вызовами инструментов в одном цикле. На каждом шаге модель производит Мысль (рассуждение), Действие (вызов инструмента) и Наблюдение (результат инструмента). ReAct является паттерном агентного рабочего процесса по умолчанию в LangGraph, OpenAI Agents SDK, AutoGen и OpenLegion. Его основные режимы отказа — неограниченные итерации и инъекция промпта через результаты инструментов.

Как предотвратить неконтролируемые циклы в агентных рабочих процессах?

Единственный надёжный способ предотвратить неконтролируемые циклы — применить условие остановки на уровне инфраструктуры, не полагаясь на то, что модель остановится сама. Необходимы два элемента управления: бюджет шагов (максимальное число итераций или вызовов инструментов, применяемое оркестратором) и бюджет токенов (максимальные расходы, применяемые cost tracker). Только бюджеты токенов не остановят высокочастотные циклы с дешёвыми инструментами. Только бюджеты шагов не ограничат высокую стоимость LLM за итерацию. OpenLegion применяет оба как жёсткие ограничения на агента.

Что такое «план и выполнение» в агентных рабочих процессах?

«План и выполнение» делит агентный рабочий процесс на две фазы: агент-планировщик заранее создаёт полную декомпозицию задач, а один или несколько агентов-исполнителей выполняют каждый шаг без перепланирования. Это снижает стоимость токенов по сравнению с ReAct (тяжёлые рассуждения один раз против каждого шага) и делает путь выполнения проверяемым до начала работы. Основной режим отказа — дрейф плана: если исполнитель сталкивается с неожиданным результатом, он может продолжить работу по устаревшему плану вместо того, чтобы сообщить о расхождении.

Каков основной риск безопасности в агентных рабочих процессах?

Основной вектор атаки — инъекция промпта через результаты инструментов (OWASP LLM02, Top 10 2025). Когда агент читает веб-страницу, файл, запись базы данных или ответ внешнего API, этот контент поступает как доверенный входной сигнал. Вредоносный документ может содержать инструкции, перенаправляющие агента к непреднамеренным действиям. Меры противодействия включают Unicode-санитизацию при приёме результатов инструментов, валидацию схемы вывода на границах шагов и изоляцию контейнеров для ограничения радиуса поражения при успешной инъекции.

Как работает параллельный fan-out в агентных рабочих процессах?

Параллельный fan-out заставляет несколько агентов одновременно работать над независимыми подзадачами, а затем объединяет результаты на шаге синтеза. Это сокращает реальное время для задач, которые можно разбить на независимые рабочие потоки. Режимы отказа: усиление затрат (N агентов стоят в N раз дороже), отравление синтеза (вредоносный вывод ветви портит объединённый результат) и конфликты общего состояния в фреймворках, где параллельные агенты совместно используют изменяемое состояние процесса. OpenLegion запускает каждого параллельного агента в изолированном Docker-контейнере с собственным состоянием, предотвращая конфликты общего состояния и независимо ограничивая каждую ветвь.

Что такое дрейф плана в агентных рабочих процессах?

Дрейф плана происходит в рабочих процессах «план и выполнение», когда агенты-исполнители сталкиваются с неожиданными промежуточными результатами, но продолжают выполнять исходный план вместо того, чтобы сообщить о расхождении. Меры противодействия включают явные контрольные точки валидации плана, шлюзы одобрения человека на критических шагах плана и структурированные протоколы передачи, которые выявляют расхождения до продолжения работы. Координация fleet-модели OpenLegion поддерживает контрольные точки с участием человека через интеграции каналов в любой точке передачи.

Чем дизайн агентного рабочего процесса отличается от оркестрации ИИ-агентов?

Дизайн агентного рабочего процесса фокусируется на анатомии на уровне шагов: какой паттерн (ReAct, «план и выполнение», рефлексия, fan-out), какие условия остановки, как валидируются результаты инструментов и как разграничены учётные данные на каждом шаге. Оркестрация ИИ-агентов фокусируется на координации на уровне fleet: как последовательно выполняются несколько рабочих процессов, как агенты передают друг другу работу, как управляется общее состояние в мультиагентной системе. Руководство по оркестрации ИИ-агентов охватывает примитивы координации на уровне fleet, работающие поверх паттернов рабочих процессов, описанных здесь.