防范智能體協(xié)作中的三大風(fēng)險 螞蟻集團提出全鏈路安全治理框架

隨著AI智能體走向自主與協(xié)作，企業(yè)面臨的安全挑戰(zhàn)超越技術(shù)本身，轉(zhuǎn)而演變?yōu)樯顚拥男湃挝C。4月29日，第九屆數(shù)字中國建設(shè)峰會“智能體創(chuàng)新與治理”論壇上，螞蟻集團大安全CTO陳亮發(fā)表主題演講，首次系統(tǒng)揭示了跨Agent協(xié)作中暗藏的三大“信任黑洞”，并發(fā)布面向企業(yè)級智能體的原生安全架構(gòu)。

三大“信任黑洞”：跨Agent協(xié)作的致命軟肋

2026年初，由Northeastern University等機構(gòu)聯(lián)合開展的Agents of Chaos研究，基于OpenClaw框架部署多個具備真實工具調(diào)用能力的自主智能體，進行了為期兩周的紅隊測試。結(jié)果顯示，智能體在復(fù)雜開放環(huán)境中可能普遍面臨非所有者合規(guī)、敏感信息泄露、破壞性系統(tǒng)級操作等嚴重安全問題。

陳亮指出，隨著多智能體協(xié)作從單一系統(tǒng)內(nèi)部擴展到跨組織、跨平臺場景，三大“信任黑洞”正在制約企業(yè)規(guī)模化部署：一是主體身份可驗證性黑洞——攻擊者可通過偽造Agent標識、借用員工助理身份進行“身份漂白”式越權(quán)，多個中間節(jié)點也可能篡改上游身份聲明，導(dǎo)致下游無法確認發(fā)起者合法身份；二是意圖防篡改傳遞黑洞——跨Agent協(xié)作鏈路中，用戶指令可能被中間節(jié)點惡意篡改，導(dǎo)致資金歸屬、數(shù)據(jù)權(quán)限等敏感信息發(fā)生偏移；三是授權(quán)邊界失控黑洞——多級委托場景中，下游Agent可能獲得超出上游授權(quán)范圍的能力邊界，導(dǎo)致權(quán)限級聯(lián)放大。

IIFAA聯(lián)合中國信通院、螞蟻集團等數(shù)十家單位發(fā)布的行業(yè)洞察顯示，MCP、A2A協(xié)議的重點仍在互操作與調(diào)用連接，尚不足以覆蓋跨Agent 鏈路中的主體溯源、意圖完整性、多級委托邊界收縮和執(zhí)行可審計等Agent原生信任問題，現(xiàn)有安全方案在應(yīng)對Agent特有攻擊場景時存在明顯短板。

破局之道：ASL協(xié)議構(gòu)建“端到端可驗證信任鏈”

針對上述空白，陳亮提出的解決方案是以“Security by Design”理念構(gòu)建的智能體安全可信互連協(xié)議——ASL（Agent Security Link）。ASL可被視為智能體協(xié)作鏈路上的可信互連協(xié)議棧，可疊加部署于MCP、A2A等現(xiàn)有智能體互操作協(xié)議之上，為跨Agent協(xié)作建立可驗證、可傳遞、可約束、可審計的信任基礎(chǔ)。

據(jù)悉，ASL采用“四類能力組件+安全基礎(chǔ)設(shè)施”分層架構(gòu)：底層提供從軟件隔離到硬件隔離的分級安全執(zhí)行環(huán)境與設(shè)備綁定密鑰管理體系；上層通過可信身份、可信連接、可信意圖、可信授權(quán)四大核心模塊，分別實現(xiàn)可驗證身份綁定、會話級安全通道、防篡改意圖傳遞以及多級委托中授權(quán)邊界嚴格收縮不擴張。這意味著每一個Agent在協(xié)作鏈路中的每一步操作都有據(jù)可查，每一次授權(quán)都受邊界約束，每一次意圖傳遞都具備防篡改保障。

在支付場景中，ASL與ACT智能體商業(yè)信任協(xié)議協(xié)同配合——ASL負責(zé)智能體間的安全互聯(lián)與授權(quán)控制，ACT負責(zé)商業(yè)交易的信任基礎(chǔ)建設(shè)，共同支撐即時支付、委托代買等場景落地。

從“被動響應(yīng)”到“天生可信”：全鏈路安全閉環(huán)

ASL協(xié)議的落地只是陳亮所倡導(dǎo)的智能體原生安全框架中的一環(huán)。在這一框架中，安全理念從傳統(tǒng)的“發(fā)現(xiàn)漏洞—發(fā)布補丁”被動響應(yīng)，徹底轉(zhuǎn)向保障智能體“天生可信”——通過分層隔離、縱深防御的治理設(shè)計，從智能體誕生的那一刻起就將安全能力內(nèi)嵌于其生命周期每一個環(huán)節(jié)。

具體而言，框架涵蓋身份與權(quán)限管理（統(tǒng)一身份體系、“智能體運行許可證”動態(tài)生命周期管理）、運行時安全防護（以“數(shù)字員工憲法”為準則的五層策略管控）以及AgentOS與基礎(chǔ)設(shè)施安全（Landlock沙箱、命名空間隔離、TEE硬件隔離等機制）。這套體系確保智能體在跨企業(yè)、跨平臺協(xié)作場景中始終具備主體身份可驗證、意圖防篡改傳遞及授權(quán)邊界嚴格可控的“端到端”安全保障。

隨著多智能體協(xié)同進入規(guī)模化商用關(guān)鍵窗口期，ASL開源協(xié)議的逐步普及以及跨組織信任聯(lián)邦體系建設(shè)的推進，智能體產(chǎn)業(yè)正從一個“各自為戰(zhàn)”的碎片化狀態(tài)，邁入一個“安全可信互聯(lián)”的新階段。正如陳亮所言，唯有將“智能向善”的理念內(nèi)化為可執(zhí)行、可驗證、可審計的技術(shù)架構(gòu)，才能真正釋放智能體技術(shù)的巨大潛力。