Cómo diseñar un system prompt enterprise para agentes de IA
Microsoft documentó, en detalle, cómo los agentes con "generative orchestration" en Copilot Studio usan realmente las instrucciones que reciben: para decidir qué herramienta o fuente de conocimiento invocar, para completar los parámetros de esa herramienta, y para generar la respuesta final. Eso da una base concreta - no teórica - de cómo estructurar un system prompt enterprise.
Las instrucciones no sustituyen la configuración
El primer punto de la documentación de Microsoft es también el más fácil de olvidar: "agents can't act on instructions to use tools or knowledge sources if the agent doesn't have those tools or knowledge sources configured." Un system prompt no crea capacidad - solo dirige una capacidad que ya existe. Eso cambia el punto de partida: antes de escribir la instrucción, hay que asegurarse de que las herramientas y fuentes de conocimiento estén correctamente nombradas y descritas, porque es el nombre y la descripción de cada una - no el texto del prompt - lo que el agente usa para decidir qué invocar.
Tres capas de control, no una sola
La parte más aplicable de la documentación es la estructura de decisión en tres capas que Microsoft recomienda para cualquier agente de producción:
- Capa determinística - acciones irreversibles o críticas (pago, eliminación de registro) corren sobre lógica fija, sin interpretación de IA
- Capa híbrida (intercept) - el agente actúa, pero con puntos de control para aprobación humana (por ejemplo, aprueba solo hasta cierto monto; por encima, escala)
- Capa de orquestador de IA - totalmente generativa, para consultas de bajo riesgo (preguntas, búsquedas de información), dentro de políticas que el agente no puede violar
La regla práctica de Microsoft: "if something must happen exactly as specified, handle it deterministically" - nunca dejar que la IA decida sola qué es irreversible.
Qué poner en la instrucción (y qué no)
La documentación lista un vocabulario específico para instrucciones - verbos como Get y Use para recuperación de datos, From y With para actuar sobre resultados - y recomienda numerar o listar instrucciones cuando el orden importa. Pero el punto más contraintuitivo es: no hace falta listar todas las herramientas disponibles en la instrucción - el agente ya las ve por el nombre y la descripción configurados. La instrucción debe enfocarse en desambiguar los casos donde la elección correcta no es obvia, por ejemplo: "Use the FAQ documents only if the question is not relevant to Hours, Appointments, or Billing."
Seguridad contra jailbreak vía triggers
Un punto que cualquier guía de system prompt enterprise debería cubrir y a menudo no cubre: los triggers automáticos (que disparan al agente sin mensaje de usuario) son vulnerables a ataques donde alguien inyecta instrucciones en el propio payload del trigger - por ejemplo, pidiendo al agente que envíe por correo información sensible al propio atacante. La defensa recomendada es explícita: limitar qué herramientas puede usar el agente cuando se dispara desde un trigger, y limitar qué parámetros puede completar (por ejemplo, restringir el correo solo a una lista predefinida de destinatarios).
Probar no es opcional
Microsoft recomienda un ciclo de prueba específico: usar el "activity map" (una vista en tiempo real del plan que el agente decidió ejecutar) para inspeccionar qué herramienta se invocó, en qué orden, y si la pregunta de seguimiento tuvo sentido; revisar transcripciones de conversaciones reales en producción; y cambiar una cosa a la vez, observando el efecto antes del siguiente cambio.
Una estructura de referencia
Combinando la documentación de Microsoft con la práctica de mercado, un system prompt enterprise cubre, en la práctica:
- Rol del agente
- Objetivo del agente
- Alcance de actuación (qué responder, qué rechazar)
- Fuentes de conocimiento (descritas de forma genérica, no citadas literalmente)
- Herramientas permitidas (nombradas con exactitud - los nombres pesan más que las descripciones)
- Herramientas prohibidas o restringidas por contexto/trigger
- Reglas de seguridad (límites de alcance en triggers automáticos, contra jailbreak)
- Criterios de formato de respuesta (tabla, lista, tono)
- Criterios de escalamiento humano (capa híbrida: cuándo aprobar antes de actuar)
- Registros y trazabilidad (activity map, transcripciones, métricas de fallback)
Fuentes
- Microsoft Copilot Studio - Configure high-quality instructions for generative orchestration - https://learn.microsoft.com/en-us/microsoft-copilot-studio/guidance/generative-mode-guidance
- Microsoft Copilot Studio - Generative orchestration - https://learn.microsoft.com/en-us/microsoft-copilot-studio/guidance/generative-orchestration