Эпоха «совестливых» ИИ-агентов закончилась, так и не начавшись. Пока бизнес внедряет автономные системы в лоскутное одеяло сред — от локальных терминалов до облачных платформ — разрыв в управлении становится критическим. Как отмечает Цзэсюнь Ван из Ond Holdings Inc., высокорисковая операция (например, публикация данных на внешнем сервере) выглядит совершенно по-разному в зависимости от среды исполнения: в одном случае это shell-команда, в другом — вызов инструмента через SDK, в третьем — переход внутри хостинг-сессии. Эта гетерогенность делает невозможным контроль за тем, что именно было авторизовано и кто дал добро. Современные «карточки моделей» (system cards) здесь бесполезны: они описывают риски семейства нейросетей, но не дают переносимого объекта доверия для конкретного действия.
Архитектура Proof-Carrying Actions Суть перехода, предложенного Ваном в препринте от мая 2026 года, заключается в отказе от веры в «благие намерения» модели в пользу верификации исполнения через протокол Proof-Carrying Agent Actions (PCAA). Вместо того чтобы полагаться на проприетарные логи вендоров, PCAA вводит «сертификат действия» — нейтральную к среде рантайма модель управления. Контроль выстраивается вокруг пяти контрольных точек: пре-авторизация (admissibility), открытие действия, фиксация допущений (assumption capture), утверждение и закрытие результата. Эти точки привязываются к портативному «конверту» действия, создавая запись, которая остается валидной, даже если вы меняете провайдера облака или среду исполнения. По сути, это превращает каждое движение агента в юридически значимый и технически проверяемый чек.
Формализация риска и контекст экстерналий Безопасность должна обеспечиваться на уровне среды исполнения, а не через промпт-инжиниринг. PCAA внедряет два критических расширения: сертификаты с учетом экстерналий и явные классы исполнения. Контекст экстерналий несет в себе «факты о границах» — видимость места назначения и происхождение учетной записи. Это позволяет понять реальный масштаб последствий маневра агента. Кроме того, протокол заменяет примитивную бинарную логику «проверено/не проверено» на детальные категории одобрения. Данные референсной имплементации показывают: удаление контекста экстерналий катастрофически снижает качество маршрутизации, а отказ от «полосы целостности» (integrity lane) ведет к коллапсу стабильности доказательств.
«PCAA организует контроль через пять чекпоинтов и привязывает их к портативному конверту действия, превращая хаос в проверяемую последовательность».
Несмотря на стройность концепции, внедрение PCAA в распределенных системах с высокой задержкой (latency) потребует от архитекторов поиска компромиссов. Оценка, проведенная на 96 трассах в четырех семействах рантаймов, подтверждает, что протокол сохраняет качество выполнения задач, но чувствителен к абляции (удалению компонентов). Для CTO это означает смену парадигмы: от пассивного наблюдения (observability) — простого созерцания того, как агент «галлюцинирует» в консоли — к жесткому комплаенсу через формальный системный контракт. PCAA предлагает конкретный чертеж для любого предприятия, которое не готово рассматривать автономию ИИ как «черный ящик» с непредсказуемыми последствиями для P&L.