Архитектура мультиагентных систем: топологии проектирования, протоколы коммуникации и границы доверия

Мультиагентная система — это сеть автономных ИИ-агентов, координирующихся для выполнения задач, с которыми ни один агент не справится в одиночку. Архитектурные решения, принятые на этапе проектирования, а именно топология, протокол коммуникации, модель совместного использования состояния и размещение границ доверия, определяют, будет ли система масштабироваться изящно или потерпит катастрофический сбой в продакшне. Звёздная топология с общим состоянием создаёт единую точку отказа; тесная связанность агентов означает, что скомпрометированный компонент может атаковать другие; общая память процесса создаёт гонки состояний, проявляющиеся как CVE.

Что такое мультиагентная система?

Мультиагентная система — это сеть из двух и более автономных ИИ-агентов, которые общаются, координируют и действуют коллективно для выполнения задач, превышающих возможности любого отдельного агента, определяемая своей топологией (как агенты соединены), протоколом коммуникации (как агенты обмениваются информацией), моделью совместного использования состояния и размещением границ доверия.

Фундаментальные архитектурные свойства

Автономия агента vs. координация: фундаментальное напряжение

Каждый агент в мультиагентной системе имеет собственное контекстное окно, набор инструментов и процесс принятия решений. Архитектура разрешает это напряжение: слабая связанность сохраняет автономию; тесная связанность снижает сдерживание радиуса взрыва. CVE-2025-64168 (Agno, CVSS 7.1, октябрь 2025) — производственный пример: при высоком асинхронном параллелизме общий между агентами session_state был назначен неверной пользовательской сессии.

Паттерны топологии мультиагентных систем

Звёздная топология: «ступица — спицы» с центральным супервизором

Звёздная топология создаёт единую точку отказа: если супервизор скомпрометирован через инъекцию подсказки из результата инструмента, он может выдавать вредоносные инструкции всем рабочим агентам.

Ячеистая топология: одноранговая коммуникация агентов

В ячеистой топологии агенты общаются напрямую без центрального координатора. В полной ячейке из N агентов существует N*(N-1)/2 потенциальных каналов связи, каждый из которых является поверхностью атаки.

Иерархическая топология: вложенные команды и делегирование суб-агентам

Риск: скомпрометированный координатор среднего уровня может выдавать вредоносные инструкции всем агентам, которыми он управляет.

Плоская/флотовая топология: равноранговые агенты, координирующиеся через общую шину

Плоская флотовая топология использует равноранговых агентов, общающихся исключительно через общую шину сообщений (блэкборд) без прямых вызовов между агентами. Это флотовая модель OpenLegion: скомпрометированный агент может влиять только на то, что он пишет в блэкборд.

Межагентные протоколы коммуникации

A2A: открытый стандарт Google для межагентной коммуникации между фреймворками

Протокол A2A (Agent-to-Agent) (Google, апрель 2025) стандартизирует межагентную коммуникацию между различными фреймворками. A2A определяет три примитива: обнаружение возможностей, делегирование задач и потоковые результаты. К середине 2026 A2A поддерживается более чем 50 технологическими партнёрами. OpenLegion поддерживает A2A для координации агентов между фреймворками.

MCP: стандартизация доступа к инструментам между агентами

Model Context Protocol (MCP) (Anthropic, ноябрь 2024) стандартизирует доступ агентов к внешним инструментам. К середине 2026 MCP насчитывает более 1 000 серверов сообщества. MCP также вводит риски безопасности: описания инструментов могут быть отравлены для инъекции вредоносных инструкций в контекст агента.

Паттерн блэкборда: общее персистентное состояние как средство коммуникации

Паттерн блэкборда маршрутизирует всю межагентную коммуникацию через общее персистентное хранилище данных. OpenLegion реализует паттерн блэкборда с SQLite в режиме WAL для параллельного доступа в сочетании с pub/sub-сообщениями для событийно-ориентированной координации.

Позиция OpenLegion: почему архитектура — это решение безопасности

Большинство сбоев мультиагентных систем — это архитектурные сбои, а не баги приложений. Общее состояние между агентами создаёт гонки: CVE-2025-64168 (Agno, CVSS 7.1, октябрь 2025). Тесная связанность усиливает радиус взрыва инъекции подсказок: исследование COLM 2025 показало 97% успешность атаки на AutoGen Magentic-One.

Границы доверия в мультиагентных системах

Почему общий процесс = общий радиус взрыва

Когда несколько агентов работают в одном процессе Python, они делят кучу, окружение и интерпретатор. Успешная инъекция подсказки в агент A может читать переменные агента B. Изоляция по контейнеру на агента устраняет эту проблему.

Распространённые режимы отказа в архитектуре мультиагентных систем

Гонки состояний в общем хранилище: CVE-2025-64168 как кейс-стади

CVE-2025-64168 (Agno, CVSS 7.1, CWE-362 + CWE-668, октябрь 2025, исправлено в Agno v2.2.2) раскрыл гонку состояний в слое управления session_state фреймворка Agno. При высоком асинхронном параллелизме session_state был назначен неверной сессии.

Усиление инъекции подсказок в тесно связанных системах

Исследование, опубликованное на COLM 2025, продемонстрировало 97% успешность атаки на Magentic-One (мультиагентную систему AutoGen) через вредоносные локальные файлы для перехвата потока управления.

Мультиагентные системы в OpenLegion

OpenLegion реализует плоскую флотовую топологию с четырёхзонным разделением доверия. Агенты работают в изолированных Docker-контейнерах (Zone 1), общаются исключительно через блэкборд Mesh Host и pub/sub-шину (Zone 2), получают учётные данные через Vault Proxy (Zone 4) и никогда не общаются напрямую друг с другом.

Часто задаваемые вопросы

Что такое архитектура мультиагентной системы?

Архитектура мультиагентной системы определяет, как множество автономных ИИ-агентов структурированы для общения, координации и поддержания границ доверия. Она задаёт топологию, протокол коммуникации, модель совместного использования состояния и размещение границ доверия.

В чём разница между звёздной топологией и плоской флотовой?

В звёздной топологии центральный агент-супервизор координирует всех остальных, создавая единую точку отказа. В плоской флотовой топологии (используемой OpenLegion) равноранговые агенты координируются через общую шину сообщений без прямой коммуникации между агентами.

Что такое протокол A2A для мультиагентных систем?

A2A (Agent-to-Agent) — открытый межагентный протокол коммуникации, выпущенный Google в апреле 2025. Он стандартизирует, как агенты обнаруживают возможности друг друга, делегируют задачи и обмениваются потоковыми результатами. OpenLegion поддерживает A2A для координации агентов между фреймворками.

Что вызывает гонки состояний в мультиагентных системах?

Гонки состояний возникают, когда несколько агентов одновременно читают и записывают общее состояние без должной синхронизации. CVE-2025-64168 во фреймворке Agno (CVSS 7.1, октябрь 2025) — задокументированный производственный пример.

Как инъекция подсказок распространяется в мультиагентной системе?

В тесно связанных мультиагентных системах успешная инъекция подсказки в одного агента может распространиться на других. Исследование COLM 2025 показало 97% успешности против AutoGen Magentic-One. Архитектурные меры включают изоляцию по контейнеру на агента и коммуникацию через шину-посредник.

Что такое паттерн блэкборда в мультиагентных системах?

Паттерн блэкборда — архитектура координации мультиагентной системы, где агенты общаются через чтение и запись в общее персистентное хранилище, а не вызовая друг друга напрямую. OpenLegion реализует паттерн блэкборда с SQLite в режиме WAL в сочетании с pub/sub-сообщениями.