На рынке AI-агентов царит гонка за универсальностью: кто даст модели больше инструментов, доступа и свободы. Мы пошли против течения. Вместо бесконтрольного расширения возможностей сделали ставку на безопасность, предсказуемость и экономию ресурсов. Так появился десктопный агент «Союз».

Сегодня мы открываем исходные коды проекта. Рассказываю, как всё начиналось, какие решения привели нас к результату и почему ограничения оказались преимуществом.

Начало: агенты повсюду

В июле 2025 года я писал статью для «Космотекста» о том, как создать своего AI-агента. К тому времени десктопные агенты уже были везде: друзья показывали голосовых помощников на базе API OpenAI и Anthropic, коллеги разрабатывали решений для автоматизации рутины.

Хакатон: отказ от гонки с Anthropic

В августе 2025 года мы с коллегой решили поучаствовать в ИИ-хакатоне Сбера. Решили не конкурировать с универсальными агентами вроде Claude Code — это казалось нереалистичным.

Вместо этого выбрали узкую, но важную задачу — агент для слепых. Не требовал UI, но нуждался в распознавании экрана и управлении мышью и клавиатурой. У меня уже был опыт автоматизации: в 2016 году я писал боты для клавиатурных тренажёров, а позже создал библиотеку на Clojure и DSL-интерпретатор для автоматизации десктопа.

Победа в отборочном, провал в финале

За неделю до хакатона собрали прототип: невидимый агент, управляющийся голосом — открывает сайты, кликает, печатает, работает с закладками. Судьи были впечатлены, и мы прошли в финал.

За день до финала Гигачат обновился: даже слово «закладка» попадало под цензуру. Мы провели ночь без сна, переключив агент на модели Anthropic и запуская его через VPN. Это замедлило работу, но спасло демонстрацию.

Новый старт: KMP и свой фреймворк

В сентябре 2025 года начали с нуля. Разрабатывали агента для мобильных приложений, открыли для себя Kotlin Multiplatform и создали собственный фреймворк для агентов.

Этот опыт лег в основу нового стека: KMP и отказ от готовых решений в пользу полного контроля.

Фокус на безопасность — и неожиданная экономия

К ноябрю 2025 стало ясно: агентов для программистов — много, а для обычных пользователей — нет. Они не понимают, что безопасно, а что нет. Мы поставили три условия:

• Работать из коробки, без настроек.
• Не требовать VPN, криптовалют или иностранных карт.
• Быть безопасным по умолчанию.

Эти требования исключили использование MCP — он избыточен, небезопасен и раздувает контекст. Это критично для Гигачата и локальных моделей, которые теряют эффективность при большом объёме данных.

Наши guardrails: контроль через код

Поскольку все инструменты мы пишем сами, можем жёстко контролировать поведение агента:

• Опасные действия — удаление файлов, отправка сообщений — требуют подтверждения.
• Агент не может скачивать и запускать бинарные файлы.
• Доступ ограничен папкой $HOME.
• Файлы из компьютера отправляются только в сохранённые сообщения Telegram, исключая случайную передачу третьим лицам.

Каждый из более чем 70 инструментов проектируется с учётом безопасности.

Сравнение: наш подход vs. индустрия

Типичный универсальный агент проходит через десятки этапов, включая множественные guardrails, проверки LLM и подключение MCP. Получается машина Голдберга.

Наш агент работает проще:

1. Промпт.
2. Классификация.
3. Добавление своих функций.
4. Добавление RAG.
5. Ответ от LLM.
6. Вызов инструментов.
7. Возврат результата.

Нет MCP. Нет многоуровневых проверок. Всё безопасно на уровне кода. Это даёт не только защиту, но и экономию токенов.

Релиз и развитие

В феврале 2026 года, после выхода Claude Cowork, OpenClaw и Perplexity Computer, стало ясно: нужно выходить на рынок. Мы подготовили релиз: улучшили UI, добавили онбординг, настройки, политики безопасности.

Сборка под macOS заняла целую неделю отпуска — KMP выдал ожидаемые сложности.

К марту 2026 года добавили бесплатный интернет-поиск, поддержку локальных моделей, метрики, улучшили работу с текстом и UX.

Как я использую «Союз»

Агент помогает мне в работе с текстами: исправляет опечатки, находит ссылки для подтверждения тезисов, приводит контраргументы с доказательствами. Например, он помог отредактировать эту статью.

Возможности «Союза»

• Работа с документами: doc, pdf, xls, csv, txt, md.
• CRUD и fuzzy-поиск по файлам.
• Запись экрана и скриншоты.
• Интеграция с заметками, календарём, почтой.
• Автоматический логин (с подтверждением кода).
• Суммаризация и поиск в чатах.
• Отправка и чтение сообщений.
• Управление через Telegram.
• Передача файлов между компьютером и Telegram (в сохранённые сообщения).
• Поиск в интернете и глубокий ресерч.
• Работа с браузером: вкладки, закладки, история.
• Анализ таблиц, построение диаграмм.
• Создание презентаций (пока в зачаточной форме).
• Запоминание команд пользователя.
• Поддержка локальных моделей.

Итог: меньше — значит надёжнее

Другие агенты обещают магию и универсальность. Мы выбрали иной путь: «агент не делает лишнего».

Фокус на ограничениях дал безопасность, экономию токенов и простую архитектуру. Не через бесконечные проверки, а через контроль на уровне кода.

Пока доступна версия для macOS. В планах — Windows и Linux. Скачать можно на souz.app или с GitHub.

Когда смотришь на рынок AI-агентов, создаётся впечатление, что все соревнуются в одном и том же: кто даст модели больше инструментов, больше доступа и больше свободы. Мы попробовали зайти с другой стороны. Что будет, если не наваливать возможностей без разбора, а думать в первую очередь о безопасности и предсказуемости? Так и появился «Союз».

Сегодня мы с товарищем открываем исходники, а я расскажу, как мы к этому пришли и почему такой подход вообще сработал.

Обзор и ссылки на исходники в конце статьи.

Начало: написать агента может каждый

Июль 2025, пишу статью для «Космотекста» о том, что такое агент и как написать своего. Если пропустили тему агентов, можете глянуть статью как введение — «Пишем агента на Kotlin: KOSMOS». К этому моменту десктопные агенты уже были повсюду: меня звали в конторы, которые делают агентов на заказ для компаний; друзья показывали мне своих агентов — писали обёртки над API OpenAI и Anthropic, чтобы общаться с ними голосом и помогать с рутиной на рабочем столе.

Хакатон. Конкурировать с Anthropic — бесполезно

Август 2025, узнаю об ИИ-хакатоне в Сбере. Приглашаю коллегу поучаствовать.

Кстати, какого бы агента для хакатона выбрали бы вы?

Мы решили, что универсального агента для десктопа делать не будем. Потому что уже есть Claude Code от Anthropic, который использовался буквально для всего. Если агент может всё, то он может и код писать, а тут конкурировать с Claude Code, Cursor, Codex казалось нереалистично.

Брейнштормили и пришли к агенту для слепых. Не нужен UI, это уже радовало. Зато нужно было распознавание экрана и управление клавиатурой и мышью. Идея нравилась мне тем, что я уже имел похожий опыт. Еще в 2016 баловался с ботами, которые ставили рекорды на клавагонках. Скрипты для автоматизации вынес в библиотекуRobot на Clojure, а поздее писалинтерпретаторс DSL для автоматизации десктопа.

Победа в отборочном, поражение в финале

У нас была неделя на подготовку. Потом хакатоновые выходные, на которых надо было дописать версию для показа. Если судьям понравится, проходим в финал, до которого будет еще ~2 недели на подготовку.

Первых судей смогли удивить невидимым агентом, который по голосовым командам открывает фотографии, сайты, кликает мышью, печатает, жмет горячие клавиши. В общем, в финал прошли.

Спустя пару недель, за день до финала Гигачат обновился, и наш агент перестал работать. Даже слово «закладка» в промпте убивало запрос по цензуре. А речь-то была о закладках браузера. Ночь не спали и добавили поддержку Anthropic моделей. Показывали на них с VPN. Из-за этого агент работал намного медленнее, чем было с Гигачатом. Описал эту ситуациюподробнее в TG.

Начали с нуля

Сентябрь 2025. Начали новый проект, тоже с агентом, но теперь под мобильные приложения. Детали выходят за рамки повествования, скажу только, что мы открыли для себя Kotlin Multiplatform — c его возможностями и проблемами, — а также заморочились с разработкой своего фреймворка для написания агентов.

Результатом месячной+ работы стали две статьи:

• Агент на Kotlin без фреймворков, где показываю, как реализовать своего с нуля, на основе графов, и объясняю, зачем это нужно.

• KMP, XCode и 5% мазохистов: как мы писали AI-агентов на 4 платформы— опубликовал ее в 2026, но большая часть черновиков была готова еще в сентябре 2025.

Опыт работы над другим проектом и заложил основу для нового уникального стека написания агентов: KMP и своё решение вместо фреймворка.

Фокус на безопасности дал экономию токенов

Ноябрь 2025. Стало понятно, как обстоят дела на рынке: агентов для программистов много, но нет агентов для обычных людей. Они не держат данные в репозитории, не понимают, что безопасно, а что нет. Если мы выбираем такую аудиторию, то придётся учесть следующее:

1. Агент должен работать из коробки, без всяких настроек.
2. Агент должен работать без VPN, крипты или зарубежных карт.
3. Агент должен быть безопасным.

Все три пункта подразумевают, чтоMCPиспользовать нельзя. Проблемы MCP в многословности и открытости к уязвимостям. Объёмный контекст — это сразу большое НЕТ для Гигачат и локальных моделей, потому что оба решения начинают тупить, когда и функций много, и контекст большой.

Выше я обвинил MCP в небезопасности. В качестве подтверждения сошлюсь наисследование с 16 уязвимостямии на свою статью, где рассказываю, почемуMCP — это отвратительный трейдофф между безопасностью и возможностями. Тут же привожу пример MCP-тулов Notion для демонстрации, насколько один сервер раздувает контекст.

Обратите внимание, что некоторые описания сколлятся вправа, всего ~45к символов.

Примеры наших guardrails

Поскольку мы пишем свои тулы, мы контролируем агента от и до.

• Любое действие, которое мы считаем опасным, вроде удаления файла или отправки сообщения, нельзя сделать без разрешения пользователя.
• Агент не может скачивать бинари и запускать их.
• Агент не может рыться вне папки $HOME.
• Если пользователь взаимодействует с агентом через телеграм и просит отправить файл с компьютера, то этот файл отправится в сохранённые сообщения (исключена случайная отправка кому-то другому).

Реализуя каждый тул — а у нас их более 70, — мы думаем о том, как сделать его безопасным.

Примеры чужих guardrails

Выбранный нами подход дал случайный бонус — мы оказались оченьэкономными. Представьте, как выглядит некий средний десктопный агент общего назначения (упрощенный ибездушный):

1. Промпт.
2. Классификация.
3. Добавление своих функций.
4. Добавление функций MCP.
5. Добавление RAG к запросу.
6. Guardrails на запрос к LLM.
7. Получение ответа от LLM.
8. Вызов тулов.
9. Guardrails на проверку параметров для тулов.
10. Guardrails на проверку параметров после вызова тулов.
11. Возвращение результатов LLM.

А теперь сравните это с нашим агентом:

1. Промпт.
2. Классификация.
3. Добавление своих функций.
4. Добавление RAG к запросу.
5. Получение ответа от LLM.
6. Вызов тулов.
7. Возвращение результатов LLM.

Во-первых, нет MCP. Во-вторых, нет guardrails, потому что мы всё это проконтролировали кодом на наших собственных тулах. С guardrails проблема в том, что лидеры индустрии пишутмашины Голдберга: регекспы, вызовы LLM для проверки безопасности на разных этапах. Подробнее описал проблему встатье про агентов: разделПопулярные guardrails дают иллюзию безопасности, раздувая систему, а чуть позже утекли исходники Claude Code, несмотря на ихUndercover Mode.

Февраль 2026. На рынок выходят Claude Cowork, OpenClaw, Perplexity Computer. Кажется, что с релизом тянуть нельзя, тем более что в день появляется с десяток клонов.

Начинаем готовить сборку. Привели в порядок UI, сделали онбординг, получение разрешений. Перенесли переменные окружения в UI-настройки. Сделали сайт, прописали политики безопасности.

Оказалось, собрать релизный билд для macOS не так-то просто: заняло у меня целый недельный отпуск. Подробнее о релизных проблемах я написалв статьепро KMP на хабре.

Март 2026. Поддержали умный (и бесплатный) поиск в интернете, локальные модели,добавили метрики, улучшили UI и UX, придумали более удобную работу с текстом.

Как я лично использую «Союз»

Агент помогает мне работать с текстом: исправлять опечатки, находить ссылки для подтверждения тезисов, приводить критику со ссылками на пруфы. Ниже пример исправления опечаток в этой самой статье:

Что агент может сейчас

• Поддержка работы с doc, pdf, xls, csv, txt, md.
• CRUD, fuzzy-поиск по файлам.
• Запись экрана, скриншоты.
• Заметки, Календарь, Почта, другие приложения.

• Автоматический логин (только ввести код и пароль, если есть).
• Суммаризация чатов, поиск информации в чатах.
• Отправка и чтение сообщений.
• Управление агентом через телеграм.
• Передача файлов с компьютера в телеграм (сохранённые сообщения).
• Передача файлов из чата с агентом на компьютер.

• Поиск информации в интернете, полноценный ресерч на заданную тему.
• Открытие вкладок и закладок браузера.
• Поиск по истории браузера.

• Анализ таблиц и создание чартов и диаграмм.
• Презентации — текущее решение «завайбкожено», нам еще предстоит найти подход к тому, как делать презентации качественно.
• Запоминание команд пользователя.
• Локальные модели

В заключение

Другие агенты обещают универсальность, автономность и магию. Мы пошли в другую сторону. Сделали ставку не на «агент может всё», а на «агент не делает лишнего».

Именно этот фокус на ограничениях дал нам и безопасность, и экономию токенов, и более понятную архитектуру. Не через бесконечные guardrails поверх guardrails, а через контроль над собственными тулами и реальными инвариантами в коде.

Пока доступна macOS версия, в планах Windows и Linux. Скачать можно либо на сайтеsouz.app, либо сGitHub.