随着人工智能体(Agent)技术不断发展,其在企业应用中的自主性与协作能力日益增强,但随之而来的安全挑战已不再局限于技术层面,而是触及到了更深层次的信任问题。近期,在第九届数字中国建设峰会的“智能体创新与治理”论坛上,蚂蚁集团大安全CTO陈亮系统阐述了跨Agent协作过程中存在的关键风险,并提出了面向企业级智能体的原生安全架构。
跨Agent协作中的“信任黑洞”
近年来,由多方机构联合开展的研究项目,利用具备真实工具调用能力的自主智能体进行了长时间的实测。结果表明,在复杂的开放环境中,这些智能体普遍面临着非授权操作、敏感信息泄露以及破坏性系统级指令执行等严峻的安全隐患。当智能体的协作范围从单一系统内部扩展至跨组织、跨平台的复杂场景时,以下三大“信任黑洞”尤为突出,制约了其大规模商业部署:
- 主体身份可验证性缺失:攻击者可能通过伪造Agent标识或冒用员工身份,实现“身份漂白”式的越权操作。同时,中间节点的身份声明被篡改,导致下游系统无法确信发起者的合法性。
- 意图传递易被篡改:在跨Agent协作的通信链路中,用户原始指令可能被恶意拦截或修改,导致涉及资金归属、数据权限等关键信息的指令发生偏差。
- 授权边界失控蔓延:在涉及多级委托的复杂场景下,下游Agent可能获得超越上游明确授权范围的能力,进而引发权限的逐级放大和失控。
现有行业标准,如MCP和A2A协议,主要侧重于Agent间的互操作性和调用连接,但对于跨Agent协作链路中的主体溯源、意图完整性、多级委托边界收缩以及执行可审计性等Agent原生信任问题,尚未提供充分的支持。这使得在应对Agent特有的攻击场景时,现有安全方案显得力不从心。
ASL协议:构建可验证的信任链
为解决上述安全空白,陈亮提出了基于“Security by Design”理念构建的智能体安全可信互连协议——ASL(Agent Security Link)。ASL旨在成为Agent协作链路上的可信互连协议栈,可以叠加部署于MCP、A2A等现有协议之上,为跨Agent协作提供可验证、可传递、可约束、可审计的信任基础。该协议采用分层架构,结合了“四类能力组件+安全基础设施”的模式。
ASL的底层安全基础设施提供了从软件隔离到硬件隔离的分级安全执行环境,并具备设备绑定密钥管理体系。上层则通过可信身份、可信连接、可信意图和可信授权四大核心模块,分别实现了Agent身份的可验证绑定、会话级安全通道的建立、防止意图被篡改的传递,以及在多级委托中对授权边界的严格收缩而非扩张。这意味着Agent在协作链路中的每一项操作都将被记录,每一次授权都受到边界约束,每一次意图的传递都得到篡改保障。
原生安全框架:从被动响应到内在可信
ASL协议的发布是陈亮所倡导的智能体原生安全框架中的重要组成部分。该框架将安全理念从传统的“发现漏洞-发布补丁”式的被动响应,转变为保障Agent“天生可信”。通过分层隔离和纵深防御的治理设计,安全能力被内嵌于Agent的整个生命周期,从其诞生之初就加以保障。具体而言,该框架涵盖了统一的身份与权限管理体系,包括“智能体运行许可证”的动态生命周期管理;提供以“数字员工宪法”为准则的五层策略管控的运行时安全防护;以及基于Landlock沙箱、命名空间隔离、TEE硬件隔离等机制的AgentOS与基础设施安全。
随着多智能体协同正进入规模化商用的关键阶段,ASL开源协议的推广以及跨组织信任联邦体系的构建,预示着Agent产业正从碎片化走向“安全可信互联”的新纪元。将“智能向善”的理念转化为可执行、可验证、可审计的技术架构,是释放智能体技术巨大潜力的关键所在,也意味着Agent在未来能够更安全、更可靠地服务于企业和社会。