作者 ｜ 王兆洋
郵箱 ｜ wangzhaoyang@pingwest.com

1

AI Agents需要它的HTTPS

1981年，今天互聯網共同遵守的網絡規則“TCP/IP協議”誕生。在此之前，不同的計算機系統和網絡“各說各話”，而以傳輸控制協議（TCP）和網際協議（IP）為主的設計則提供了一套標準化的通信規則，使得不同廠商的設備以及不同網絡能夠互聯互通。

有了這樣統一“接口”的基礎，1989年，后來被稱為“互聯網之父”的蒂姆·伯納斯 - 李（Tim Berners-Lee）提出了在互聯網上構建超鏈接文檔系統的構想，HTTP（超文本傳輸協議）誕生。它讓通過TCP/IP協議統一了交流語言的機器們，可以通過互聯網實現全球范圍更廣泛的互通。

一切就此改變，繁榮有了可能。

同樣的故事正在今天的AI Agents產業里上演。

AI Agents基于大模型的通用能力，自動化的使用已有技術和工具解決用戶的復雜任務。這讓它成為今天最被期待的模型技術落地的方式。

而最近幾個月，AI Agents產品更是出現井噴，明星產品如Manus等獲得了破圈的關注，OpenAI和Google的新模型開始“AI Agents化”，而更關鍵的變化，在于標準協議的迅速普及。

Anthropic在去年年底發布并開源的MCP，旨在創建一個開放、標準的規范，讓大型語言模型能夠無縫地與各種外部數據源和工具（如業務軟件、數據庫、代碼庫等）進行交互。在發布幾個月后，OpenAI，Google，阿里和騰訊已經紛紛支持并接入。緊接著，Google發布了A2A（Agent2Agent），旨在實現AI Agent之間協作和工作流自動化，再次為AI Agents的繁榮添了一把火。

簡單來說，它們解決了兩個問題，MCP解決的是智能體跟工具提供方和服務提供方連接的問題，而A2A解決的是智能體和智能體之間為了完成一個非常復雜的任務時，彼此協同連接的問題。

因此，MCP就像早期的統一接口，A2A則像是HTTP協議。

但事實上，在互聯網的故事里，HTTP之后，互聯網距離真正的繁榮還差關鍵一環，就是協議之上的安全標準。

HTTP們打下規模化的基礎后，問題也隨之產生——它是一個明文傳輸的協議，這暴露了嚴重的安全問題。例如，用戶輸入的信用卡信息在傳輸時可能被黑客竊聽，或網頁內容被篡改破壞了安全。

為此，網景公司（Netscape）于1994年開發了SSL（安全套接層）協議，并推出了HTTPS（超文本傳輸安全協議），在HTTP的基礎上加入了SSL，保護傳輸安全。1996年，HTTPS開始普及，隨后被廣泛應用于銀行、購物網站等領域。這是關鍵一步，它真正使得商業繁榮成為可能的支付等功能得以安全展開。

今天的MCP和A2A也在面對同樣問題。

“當HTTP出來之后，到后期發現它面臨很大的一個安全問題。最簡單的例子，我向他發一個報文，域名走DNS解析，我一下子到不了它，通過很多中間節點轉發，那中間服務器就可以通過DNS/會話劫持我這個請求，換成另外一個請求轉給他，這就是早期HTTP面臨的一個問題。所以后來就有HTTPS的出現，我發給他的消息是加密的你截了沒用，你無法換你自己的，換成你自己的他就不認識，解不開。在互聯網的時代有過這么一個過程。”IIFAA可信認證聯盟技術負責人、智能體安全行業專家紫西對硅星人說。

這些問題會以各種形態出現。今天，黑灰產可以偽造一個“天氣查詢”工具注冊到MCP Server，實際卻在后臺竊取用戶航班信息；當用戶通過智能體購買藥品時，A智能體負責買頭孢，B智能體負責買酒，由于缺乏跨平臺風險識別能力，系統無法像現有電商平臺一樣，告知“危險組合”提醒。而更致命的是，智能體間的身份鑒權與數據歸屬至今未明——用戶究竟是在授權設備上的本地應用，還是將隱私數據同步到了云端？

“A2A在自己的官方文本里說了，它只保證你最上層的傳輸是安全的，還是停留在HTTPS那個傳輸層的協議相關的。具體如何保證這些東西（身份、憑證）怎么來，然后數據隱私怎么做，包括背后的意圖怎么去識別，這些它是留給了企業去解決的。”

智能體的真正繁榮，上述這些問題顯然需要解決，紫西所在的IIFAA是第一個開始挑戰這個問題的機構。

“在這個背景下，IIFAA致力于解決智能體跟智能體之間未來面臨的一系列問題。”紫西說。“在HTTP過渡到HTTPS的時代產生了一個安全套件SSL。在A2A的時代，我們也定義了一個類似的產品叫ASL，它可以在MCP協議基礎之上，保障各智能體在權限、數據、隱私等多方面的安全。這個中間件產品也是去解決A2A過渡到未來的安全標準中的挑戰。”

IIFAA智能體可信互連工作組是國內首個智能體安全生態協作組織，該工作組由中國信通院、螞蟻集團等二十多家科技企業和單位共同發起。

1

從ASL開始，走向規模化

“AI Agents的發展比我們想象的更快。無論是技術上還是生態對標準的接受度上。”紫西說。

其實IIFAA關于智能體之間安全協議的想法早在去年11月就已出現，這個時間節點甚至早于MCP的發布，之后，IIFAA智能體可信互連工作組在12月正式成立，MCP也在同期正式發布。

“黑灰產有時候對新技術的掌握速度比防御方更快。我們不能在問題出現之后再開始討論秩序，這也是這個工作組存在的必要性。”在此前的一次分享中，IIFAA的成員曾這樣表示。行業一起共建安全互信的行業規范對長遠的健康發展有至關重要的意義。

根據紫西介紹，目前他們在解決的關鍵問題，在第一階段主要聚焦在以下幾個方面：

2. Agent可信身份：
3. 我們希望依托權威機構與互認機制，構建一套Agent認證體系。就像出國旅行需要護照和簽證一樣，讓經過認證的Agent快速加入協作網絡，防止未認證Agent破壞協作秩序。
5. 意圖的可信共享
6. 智能體間的協作依賴于意圖的真實性和準確性。例如，點餐助手與支付助手共享信息時，若意圖被篡改，可能導致重復扣費或訂單丟失，損害用戶體驗并引發信任危機。因此，意圖可信共享是確保多智能體協作高效可靠的核心。
8. 上下文保護機制
9. 當一個AI Agent連接多個MCP（多通道協議）服務器時，所有工具描述信息會被加載到同一會話上下文中，惡意MCP Server可能借此注入惡意指令。上下文保護能防止惡意干擾、維護系統安全、保障用戶意圖完整性，并防范投毒攻擊。
11. 數據隱私保護
12. 在多Agent協作中，數據共享可能帶來隱私泄露風險。例如，醫療Agent與保險Agent協作時，患者的健康數據可能被非法共享給第三方，導致隱私侵害。隱私保護是防止敏感信息濫用的關鍵。
14. Agent記憶可信共享
15. 記憶共享提升多Agent協作效率，如電商場景中記錄用戶偏好避免重復詢問。記憶可信共享則確保數據一致、真實且安全，防止篡改與泄露，增強協作效果和用戶信任。
17. 身份可信流轉
18. 用戶期待在AI原生應用中獲得無縫流暢的服務體驗。如果每次交互都需要跳轉不同平臺進行身份認證，將嚴重影響體驗并阻礙AI應用普及。因此，實現跨平臺無打擾的身份識別，成為提升用戶體驗的關鍵。

“這些是我們短期的一個路徑，接下來我們會向全行業發布ASL，這是一個軟件實現部分，并不是個協議規定的部分。它可以作用在MCP和A2A上，來增強這兩個協議在企業級安全上的應用，這是短期的目標。”紫西介紹。

“我們早期不太會去規定它在安全這一層的東西，我們不會去規定A2AS，而是希望如果未來有人去規定A2AS的時候，我們的ASL可以成為它軟件實現的部分，就像SSL是HTTPS的軟件的一個實現部分一樣。”

對比HTTPS的歷史，當安全得到保障，支付等功能可以得到普及，更大規模的商業化機會隨之出現。類似的節奏也正在上演，4月15日，支付寶聯合魔搭社區發布了“支付MCP Server”服務，讓AI開發者可以使用自然語言接入支付寶支付服務，快速實現AI智能體內的支付。

這些短期目標一個個解決后，一個安全的Agent協作標準和環境最終會形成。而這個過程的關鍵是出現規模化的效應。目前國內動作較快的MCP“商店”們已經開始動作。螞蟻智能體平臺百寶箱的“MCP專區”將接入IIFAA的安全解決方案，這個“MCP Store”目前已支持各類MCP服務的部署和調用，包括支付寶、高德地圖、無影等30余款MCP服務最快3分鐘即可搭建一個連接MCP服務的智能體。

紫西認為，大模型的通用能力最終有可能真正改變用戶的體驗和交互范式。未來可能不是今天調用App來完成任務的方式，有可能是一個超級入口來基于一個類似MCP Store的隱藏在后面的工具池來完成任務。它會變得更加簡潔，也更理解用戶的需求。商業化也正是有了可能。

“AGI的發展現在進入了智能體的階段，與聊天的機器人和有一定推理能力的AI階段相比，智能體終于跳出了點對點的封閉階段，商業化的應用真正開啟它全新的序幕。”

據了解，日前IIFAA已推出ASL并宣布開源，通過開放共享代碼、標準與經驗，加速技術的創新迭代，呼吁行業企業和開發者廣泛參與，推動技術的行業標準化。該開源計劃將采用最寬松的Apache2.0協議，并將代碼庫設計文檔安全實踐對外開放，全球開發者可在Github社區參與共建。