Build 2026 में, Microsoft ने Azure API Management में दो AI-gateway क्षमताएं जोड़ीं जो मिलकर रेखांकित करती हैं कि model-और-agent control plane किधर जा रहा है। पहली, Unified Model API, अब public preview में, एक client को OpenAI Chat Completions format में एक बार requests लिखने देती है जबकि APIM उन्हें पारदर्शी रूप से Anthropic की Messages API, Google Vertex AI, या अन्य providers के native schemas में अनुवाद करता है। व्यावहारिक फायदा यह है कि आप client code को फिर से लिखे बिना backends बदल सकते हैं, models जोड़ सकते हैं, या लागत, latency या region के हिसाब से traffic route कर सकते हैं, और governance, यानी rate limits, content safety, token metering, उस एक endpoint के पीछे हर provider पर एक समान लागू होती है।

ज्यादा तीखा जोड़ agentic परत के लिए content safety है। Microsoft ने अपनी मौजूदा llm-content-safety policy को सादे LLM text से आगे बढ़ाकर Model Context Protocol tool calls और Agent-to-Agent संचार को कवर किया, तीन ऐसी चीजें scan करते हुए जो पुरानी policy ने कभी नहीं देखीं: MCP tool-call arguments, MCP response text, और A2A agent payloads। इसमें category filters (घृणा, आत्म-हानि, यौन, हिंसा, 0 से 7 की severity scale पर) और एक shield-prompt attribute है जो prompt-injection प्रयासों को flag करता है। streaming responses के लिए यह events को एक sliding window में buffer करता है और उल्लंघन पर बस forwarding रोक देता है; non-streaming एक 403 लौटाता है, और एक window-size knob Azure Content Safety की 10,000-character सीमा से आगे की सामग्री संभालता है। इसके साथ, APIM अब OpenAI, Anthropic, Bedrock और Vertex के पार reasoning, cached और audio tokens log करता है, पंजीकृत MCP servers, tools और agents खोजने के लिए एक generally available API Center MCP Server शिप किया, और REST-से-MCP conversion जोड़ा ताकि मौजूदा APIs बिना rebuild के MCP servers के रूप में expose हों।

Timing ही कहानी है। यह उसी हफ्ते उतरता है जब gateway ही सक्रिय हमले की चीज है: LiteLLM का command-injection bug CISA की known-exploited सूची पर इसलिए गया क्योंकि हर model के आगे खड़ा एक proxy AI infrastructure का सबसे केंद्रित credential ढेर रखता है। Azure की चाल उसी एहसास का दूसरा चेहरा है। अगर किसी संगठन का सारा model और agent traffic एक control plane से होकर बहता है, तो वह plane एक साथ सबसे ऊंचे-मूल्य का target है और वह अकेली जगह जहां आप हर चीज पर policy लागू कर सकते हैं। content safety को MCP और A2A तक बढ़ाना रेखांकित करने लायक हिस्सा है, क्योंकि जैसे-जैसे agents tools को call करते हैं और एक-दूसरे को call करते हैं, खतरनाक payload सिर्फ user का prompt होना बंद हो जाता है। यह एक agent द्वारा बनाया गया tool argument और एक agent द्वारा दूसरे को भेजा गया message बन जाता है, और gateway वह अकेला चोक-पॉइंट है जो यह सब देखता है।

यह इस हफ्ते के अन्य security धागों में भी साफ-साफ बैठता है। NIST का यह प्रमाण कि guardrails का कोई finite set अटूट नहीं है, एक-बार की दीवार के बजाय निरंतर, update-योग्य enforcement के पक्ष में तर्क देता है, और एक केंद्रीय gateway policy ठीक वहीं है जहां आप निरंतर patch करते हैं। Microsoft स्पष्ट है कि वह APIM को AI workloads के लिए control plane के रूप में स्थापित कर रहा है, और नोट करता है कि प्रतिस्पर्धी, AWS Bedrock Guardrails, Google Apigee, Cloudflare AI Gateway, multi-provider और multi-protocol की चौड़ाई पर संकरा मैदान कवर करते हैं। builder के लिए सार Microsoft का gateway विशेष रूप से चुनने पर निर्भर नहीं है: अगर आप एक से ज्यादा model provider route करते हैं या multi-agent systems चलाते हैं, governance gateway पर केंद्रित हो रही है चाहे आप चाहें या न चाहें, और content safety का अब मतलब होना चाहिए tool calls और agent-to-agent messages का निरीक्षण, सिर्फ chat moderate करना नहीं।