在 AI Agents 產(chǎn)業(yè)快速發(fā)展的當(dāng)下，雖有 MCP 和 A2A 協(xié)議的助力，但距離產(chǎn)業(yè)真正繁榮仍面臨諸多挑戰(zhàn)。如同互聯(lián)網(wǎng)時(shí)代 HTTPS 的關(guān)鍵作用，AI Agents 產(chǎn)業(yè)也需要在安全層面有所突破。

01 AI Agents需要它的HTTPS

1981年，今天互聯(lián)網(wǎng)共同遵守的網(wǎng)絡(luò)規(guī)則“TCP/IP協(xié)議”誕生。在此之前，不同的計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)“各說各話”，而以傳輸控制協(xié)議（TCP）和網(wǎng)際協(xié)議（IP）為主的設(shè)計(jì)則提供了一套標(biāo)準(zhǔn)化的通信規(guī)則，使得不同廠商的設(shè)備以及不同網(wǎng)絡(luò)能夠互聯(lián)互通。

有了這樣統(tǒng)一“接口”的基礎(chǔ)，1989年，后來被稱為“互聯(lián)網(wǎng)之父”的蒂姆·伯納斯 – 李（Tim Berners-Lee）提出了在互聯(lián)網(wǎng)上構(gòu)建超鏈接文檔系統(tǒng)的構(gòu)想，HTTP（超文本傳輸協(xié)議）誕生。它讓通過TCP/IP協(xié)議統(tǒng)一了交流語言的機(jī)器們，可以通過互聯(lián)網(wǎng)實(shí)現(xiàn)全球范圍更廣泛的互通。

一切就此改變，繁榮有了可能。

同樣的故事正在今天的AI Agents產(chǎn)業(yè)里上演。

AI Agents基于大模型的通用能力，自動化的使用已有技術(shù)和工具解決用戶的復(fù)雜任務(wù)。這讓它成為今天最被期待的模型技術(shù)落地的方式。

而最近幾個(gè)月，AI Agents產(chǎn)品更是出現(xiàn)井噴，明星產(chǎn)品如Manus等獲得了破圈的關(guān)注，OpenAI和Google的新模型開始“AI Agents化”，而更關(guān)鍵的變化，在于標(biāo)準(zhǔn)協(xié)議的迅速普及。

如何定义B端产品及B端产品经理方法论

相较于C端产品，B端产品最大的特点是：面向特定领域用户，且数量少得多，但更注重对用户专业领域操作流程的深度挖掘——也就是专业性更强，与业务的结合更紧密。

查看详情 >

Anthropic在去年年底發(fā)布并開源的MCP，旨在創(chuàng)建一個(gè)開放、標(biāo)準(zhǔn)的規(guī)范，讓大型語言模型能夠無縫地與各種外部數(shù)據(jù)源和工具（如業(yè)務(wù)軟件、數(shù)據(jù)庫、代碼庫等）進(jìn)行交互。在發(fā)布幾個(gè)月后，OpenAI，Google，阿里和騰訊已經(jīng)紛紛支持并接入。緊接著，Google發(fā)布了A2A（Agent2Agent），旨在實(shí)現(xiàn)AI Agent之間協(xié)作和工作流自動化，再次為AI Agents的繁榮添了一把火。

簡單來說，它們解決了兩個(gè)問題，MCP解決的是智能體跟工具提供方和服務(wù)提供方連接的問題，而A2A解決的是智能體和智能體之間為了完成一個(gè)非常復(fù)雜的任務(wù)時(shí)，彼此協(xié)同連接的問題。

因此，MCP就像早期的統(tǒng)一接口，A2A則像是HTTP協(xié)議。

但事實(shí)上，在互聯(lián)網(wǎng)的故事里，HTTP之后，互聯(lián)網(wǎng)距離真正的繁榮還差關(guān)鍵一環(huán)，就是協(xié)議之上的安全標(biāo)準(zhǔn)。

HTTP們打下規(guī)?；幕A(chǔ)后，問題也隨之產(chǎn)生——它是一個(gè)明文傳輸?shù)膮f(xié)議，這暴露了嚴(yán)重的安全問題。例如，用戶輸入的信用卡信息在傳輸時(shí)可能被黑客竊聽，或網(wǎng)頁內(nèi)容被篡改破壞了安全。

為此，網(wǎng)景公司（Netscape）于1994年開發(fā)了SSL（安全套接層）協(xié)議，并推出了HTTPS（超文本傳輸安全協(xié)議），在HTTP的基礎(chǔ)上加入了SSL，保護(hù)傳輸安全。1996年，HTTPS開始普及，隨后被廣泛應(yīng)用于銀行、購物網(wǎng)站等領(lǐng)域。這是關(guān)鍵一步，它真正使得商業(yè)繁榮成為可能的支付等功能得以安全展開。

今天的MCP和A2A也在面對同樣問題。

“當(dāng)HTTP出來之后，到后期發(fā)現(xiàn)它面臨很大的一個(gè)安全問題。最簡單的例子，我向他發(fā)一個(gè)報(bào)文，我是通過DNS轉(zhuǎn)發(fā)的，我一下子到不了它，通過很多中間節(jié)點(diǎn)轉(zhuǎn)發(fā)，那DNS服務(wù)器就可以劫持我這個(gè)請求，換成另外一個(gè)請求轉(zhuǎn)給他，這就是早期HTTP面臨的一個(gè)問題。所以后來就有HTTPS的出現(xiàn)，我發(fā)給他的消息是加密的你截了沒用，你無法換你自己的，換成你自己的他就不認(rèn)識，解不開。在互聯(lián)網(wǎng)的時(shí)代有過這么一個(gè)過程?！盜IFAA可信認(rèn)證聯(lián)盟技術(shù)負(fù)責(zé)人、智能體安全行業(yè)專家紫西對硅星人說。

這些問題會以各種形態(tài)出現(xiàn)。今天，黑灰產(chǎn)可以偽造一個(gè)“天氣查詢”工具注冊到MCP Server，實(shí)際卻在后臺竊取用戶航班信息；當(dāng)用戶通過智能體購買藥品時(shí)，A智能體負(fù)責(zé)買頭孢，B智能體負(fù)責(zé)買酒，由于缺乏跨平臺風(fēng)險(xiǎn)識別能力，系統(tǒng)無法像現(xiàn)有電商平臺一樣，告知“危險(xiǎn)組合”提醒。而更致命的是，智能體間的身份鑒權(quán)與數(shù)據(jù)歸屬至今未明——用戶究竟是在授權(quán)設(shè)備上的本地應(yīng)用，還是將隱私數(shù)據(jù)同步到了云端？

“A2A在自己的官方文本里說了，它只保證你最上層的傳輸是安全的，還是停留在HTTPS那個(gè)傳輸層的協(xié)議相關(guān)的。具體如何保證這些東西（身份、憑證）怎么來，然后數(shù)據(jù)隱私怎么做，包括背后的意圖怎么去識別，這些它是留給了企業(yè)去解決的。”

智能體的真正繁榮，上述這些問題顯然需要解決，紫西所在的IIFAA是第一個(gè)開始挑戰(zhàn)這個(gè)問題的機(jī)構(gòu)。

“在這個(gè)背景下，IIFAA致力于解決智能體跟智能體之間未來面臨的一系列問題?！弊衔髡f。“在HTTP過渡到HTTPS的時(shí)代產(chǎn)生了一個(gè)安全套件SSL。在A2A的時(shí)代，我們也定義了一個(gè)類似的產(chǎn)品叫ASL，它可以在MCP協(xié)議基礎(chǔ)之上，保障各智能體在權(quán)限、數(shù)據(jù)、隱私等多方面的安全。這個(gè)中間件產(chǎn)品也是去解決A2A過渡到未來的安全標(biāo)準(zhǔn)中的挑戰(zhàn)。”

IIFAA智能體可信互連工作組是國內(nèi)首個(gè)智能體安全生態(tài)協(xié)作組織，該工作組由中國信通院、螞蟻集團(tuán)等二十多家科技企業(yè)和單位共同發(fā)起。

02 從ASL開始，走向規(guī)模化

“AI Agents的發(fā)展比我們想象的更快。無論是技術(shù)上還是生態(tài)對標(biāo)準(zhǔn)的接受度上?！弊衔髡f。

其實(shí)IIFAA關(guān)于智能體之間安全協(xié)議的想法早在去年11月就已出現(xiàn)，這個(gè)時(shí)間節(jié)點(diǎn)甚至早于MCP的發(fā)布，之后，IIFAA智能體可信互連工作組在12月正式成立，MCP也在同期正式發(fā)布。

“黑灰產(chǎn)有時(shí)候?qū)π录夹g(shù)的掌握速度比防御方更快。我們不能在問題出現(xiàn)之后再開始討論秩序，這也是這個(gè)工作組存在的必要性?！痹诖饲暗囊淮畏窒碇校琁IFAA的成員曾這樣表示。行業(yè)一起共建安全互信的行業(yè)規(guī)范對長遠(yuǎn)的健康發(fā)展有至關(guān)重要的意義。

根據(jù)紫西介紹，目前他們在解決的關(guān)鍵問題，在第一階段主要聚焦在以下幾個(gè)方面：

1. Agent可信身份：我們希望依托權(quán)威機(jī)構(gòu)與互認(rèn)機(jī)制，構(gòu)建一套Agent認(rèn)證體系。就像出國旅行需要護(hù)照和簽證一樣，讓經(jīng)過認(rèn)證的Agent快速加入?yún)f(xié)作網(wǎng)絡(luò)，防止未認(rèn)證Agent破壞協(xié)作秩序。
2. 意圖的可信共享：智能體間的協(xié)作依賴于意圖的真實(shí)性和準(zhǔn)確性。例如，點(diǎn)餐助手與支付助手共享信息時(shí)，若意圖被篡改，可能導(dǎo)致重復(fù)扣費(fèi)或訂單丟失，損害用戶體驗(yàn)并引發(fā)信任危機(jī)。因此，意圖可信共享是確保多智能體協(xié)作高效可靠的核心。
3. 上下文保護(hù)機(jī)制：當(dāng)一個(gè)AI Agent連接多個(gè)MCP（多通道協(xié)議）服務(wù)器時(shí)，所有工具描述信息會被加載到同一會話上下文中，惡意MCP Server可能借此注入惡意指令。上下文保護(hù)能防止惡意干擾、維護(hù)系統(tǒng)安全、保障用戶意圖完整性，并防范投毒攻擊。
4. 數(shù)據(jù)隱私保護(hù)：在多Agent協(xié)作中，數(shù)據(jù)共享可能帶來隱私泄露風(fēng)險(xiǎn)。例如，醫(yī)療Agent與保險(xiǎn)Agent協(xié)作時(shí)，患者的健康數(shù)據(jù)可能被非法共享給第三方，導(dǎo)致隱私侵害。隱私保護(hù)是防止敏感信息濫用的關(guān)鍵。
5. Agent記憶可信共享：記憶共享提升多Agent協(xié)作效率，如電商場景中記錄用戶偏好避免重復(fù)詢問。記憶可信共享則確保數(shù)據(jù)一致、真實(shí)且安全，防止篡改與泄露，增強(qiáng)協(xié)作效果和用戶信任。
6. 身份可信流轉(zhuǎn)：用戶期待在AI原生應(yīng)用中獲得無縫流暢的服務(wù)體驗(yàn)。如果每次交互都需要跳轉(zhuǎn)不同平臺進(jìn)行身份認(rèn)證，將嚴(yán)重影響體驗(yàn)并阻礙AI應(yīng)用普及。因此，實(shí)現(xiàn)跨平臺無打擾的身份識別，成為提升用戶體驗(yàn)的關(guān)鍵。

“這些是我們短期的一個(gè)路徑，接下來我們會向全行業(yè)發(fā)布ASL，這是一個(gè)軟件實(shí)現(xiàn)部分，并不是個(gè)協(xié)議規(guī)定的部分。它可以作用在MCP和A2A上，來增強(qiáng)這兩個(gè)協(xié)議在企業(yè)級安全上的應(yīng)用，這是短期的目標(biāo)?！弊衔鹘榻B。

“我們早期不太會去規(guī)定它在安全這一層的東西，我們不會去規(guī)定A2AS，而是希望如果未來有人去規(guī)定A2AS的時(shí)候，我們的ASL可以成為它軟件實(shí)現(xiàn)的部分，就像SSL是HTTPS的軟件的一個(gè)實(shí)現(xiàn)部分一樣。”

對比HTTPS的歷史，當(dāng)安全得到保障，支付等功能可以得到普及，更大規(guī)模的商業(yè)化機(jī)會隨之出現(xiàn)。類似的節(jié)奏也正在上演，4月15日，支付寶聯(lián)合魔搭社區(qū)發(fā)布了“支付MCP Server”服務(wù)，讓AI開發(fā)者可以使用自然語言接入支付寶支付服務(wù)，快速實(shí)現(xiàn)AI智能體內(nèi)的支付。

這些短期目標(biāo)一個(gè)個(gè)解決后，一個(gè)安全的Agent協(xié)作標(biāo)準(zhǔn)和環(huán)境最終會形成。而這個(gè)過程的關(guān)鍵是出現(xiàn)規(guī)模化的效應(yīng)。目前國內(nèi)動作較快的MCP“商店”們已經(jīng)開始動作。螞蟻智能體平臺百寶箱的“MCP專區(qū)”將接入IIFAA的安全解決方案，這個(gè)“MCP Store”目前已支持各類MCP服務(wù)的部署和調(diào)用，包括支付寶、高德地圖、無影等30余款MCP服務(wù)最快3分鐘即可搭建一個(gè)連接MCP服務(wù)的智能體。

紫西認(rèn)為，大模型的通用能力最終有可能真正改變用戶的體驗(yàn)和交互范式。未來可能不是今天調(diào)用App來完成任務(wù)的方式，有可能是一個(gè)超級入口來基于一個(gè)類似MCP Store的隱藏在后面的工具池來完成任務(wù)。它會變得更加簡潔，也更理解用戶的需求。商業(yè)化也正是有了可能。

“AGI的發(fā)展現(xiàn)在進(jìn)入了智能體的階段，與聊天的機(jī)器人和有一定推理能力的AI階段相比，智能體終于跳出了點(diǎn)對點(diǎn)的封閉階段，商業(yè)化的應(yīng)用真正開啟它全新的序幕?！?/p>

據(jù)了解，日前IIFAA已推出ASL并宣布開源，通過開放共享代碼、標(biāo)準(zhǔn)與經(jīng)驗(yàn)，加速技術(shù)的創(chuàng)新迭代，呼吁行業(yè)企業(yè)和開發(fā)者廣泛參與，推動技術(shù)的行業(yè)標(biāo)準(zhǔn)化。該開源計(jì)劃將采用最寬松的Apache2.0協(xié)議，并將代碼庫設(shè)計(jì)文檔安全實(shí)踐對外開放，全球開發(fā)者可在Github社區(qū)參與共建。