多 Agent 协作这两年很容易被讲成调度问题:谁来拆任务,谁来执行,谁来检查,多个智能体之间怎么传递结果。这个方向当然重要,但一旦进入企业环境,更早压上来的往往是信任和安全。IT 之家报道中,蚂蚁集团大安全 CTO 陈亮在数字中国建设峰会上提到跨 Agent 协作里的三类“信任黑洞”,正好把这个问题从研究话题拉到了产品和基础设施层面。
第一类问题是身份。多个 Agent 跨平台协作时,下游系统要知道发起者到底是谁,代表谁执行,是否被中间节点篡改过身份声明。人在系统里有账号、组织、权限和审计记录,Agent 如果只是带着一段文本指令往下游传,下游很难判断这次请求是不是合法。身份不可验证时,越权调用和身份冒用就会变成企业部署里的硬风险。
第二类问题是意图。用户原始指令在多级 Agent 之间传递时,可能被压缩、改写、补充,甚至被恶意中间节点篡改。对普通内容生成任务来说,这可能只是结果偏了;放到资金、合同、数据权限和内部系统操作里,意图被改写就会带来实际损失。多 Agent 系统如果只关心任务是否完成,却不能证明指令在传递过程中没有被篡改,企业很难把关键操作交出去。
第三类问题是授权边界。多级委托场景里,上游 Agent 可能只被允许做一件很窄的事,下游 Agent 却拿到了更大的工具权限。权限一旦沿着协作关系层层放大,系统看上去是在自动分工,实际可能已经绕过了原本的授权设计。很多 Agent 安全问题不来自模型回答错了,而是来自它拿到了不该拿的工具,或者在错误语境里调用了高风险动作。
蚂蚁提出的 ASL,也就是 Agent Security Link,试图在 MCP、A2A 这类互操作协议之上补一层可验证信任。报道中提到,ASL 关注可信身份、可信连接、可信意图和可信授权,并且配合执行环境隔离、密钥管理和审计能力。这个方向的意义在于,它没有只把 Agent 当成会话对象,而是把它当成需要被认证、授权、约束和追踪的执行主体。
这对现在的 Agent 产品有很直接的提醒。很多团队还在把重点放在多 Agent 如何自动协作,安全设计却停留在传统应用那套账号和 API Key 管理上。Agent 的特殊之处在于它会理解、改写、分派和调用工具,风险会沿着任务链条传递。只看单点权限,不看身份传递、意图完整性和多级委托边界,就很难覆盖真实问题。
对 AI 导航站来说,这类内容适合放进企业 Agent、安全治理和 MCP 生态几个方向继续写。现在很多用户已经知道 Agent 可以调用工具,也知道 MCP 和 A2A 能让系统互联,但还需要理解互联之后怎么证明发起者、怎么保住原始意图、怎么限制授权扩散。等 Agent 进入企业业务流程,这些问题会比“能不能自动分工”更先影响上线。
多 Agent 协作当然还会继续往前走,但企业部署不会只看任务演示。谁能把身份、意图、授权、审计和隔离机制一起说明白,谁才更容易进入生产环境。ASL 这类协议现在还需要继续观察落地情况,但它提出的问题已经很清楚:Agent 之间能互相调用以后,下一步就要让每一次调用都可验证、可约束、可追踪。
参考来源
- IT之家:跨 Agent 协作暗藏三大“信任黑洞”,蚂蚁集团数字中国提出破解之法
- https://www.ithome.com/0/945/409.htm
