防范智能体协作中的三大风险 蚂蚁集团提出全链路安全治理框架

随着AI智能体走向自主与协作，企业面临的安全挑战超越技术本身，转而演变为深层的信任危机。4月29日，第九届数字中国建设峰会“智能体创新与治理”论坛上，蚂蚁集团大安全CTO陈亮发表主题演讲，首次系统揭示了跨Agent协作中暗藏的三大“信任黑洞”，并发布面向企业级智能体的原生安全架构。

三大“信任黑洞”：跨Agent协作的致命软肋

2026年初，由Northeastern University等机构联合开展的Agents of Chaos研究，基于OpenClaw框架部署多个具备真实工具调用能力的自主智能体，进行了为期两周的红队测试。结果显示，智能体在复杂开放环境中可能普遍面临非所有者合规、敏感信息泄露、破坏性系统级操作等严重安全问题。

陈亮指出，随着多智能体协作从单一系统内部扩展到跨组织、跨平台场景，三大“信任黑洞”正在制约企业规模化部署：一是主体身份可验证性黑洞——攻击者可通过伪造Agent标识、借用员工助理身份进行“身份漂白”式越权，多个中间节点也可能篡改上游身份声明，导致下游无法确认发起者合法身份；二是意图防篡改传递黑洞——跨Agent协作链路中，用户指令可能被中间节点恶意篡改，导致资金归属、数据权限等敏感信息发生偏移；三是授权边界失控黑洞——多级委托场景中，下游Agent可能获得超出上游授权范围的能力边界，导致权限级联放大。

IIFAA联合中国信通院、蚂蚁集团等数十家单位发布的行业洞察显示，MCP、A2A协议的重点仍在互操作与调用连接，尚不足以覆盖跨Agent 链路中的主体溯源、意图完整性、多级委托边界收缩和执行可审计等Agent原生信任问题，现有安全方案在应对Agent特有攻击场景时存在明显短板。

破局之道：ASL协议构建“端到端可验证信任链”

针对上述空白，陈亮提出的解决方案是以“Security by Design”理念构建的智能体安全可信互连协议——ASL（Agent Security Link）。ASL可被视为智能体协作链路上的可信互连协议栈，可叠加部署于MCP、A2A等现有智能体互操作协议之上，为跨Agent协作建立可验证、可传递、可约束、可审计的信任基础。

据悉，ASL采用“四类能力组件+安全基础设施”分层架构：底层提供从软件隔离到硬件隔离的分级安全执行环境与设备绑定密钥管理体系；上层通过可信身份、可信连接、可信意图、可信授权四大核心模块，分别实现可验证身份绑定、会话级安全通道、防篡改意图传递以及多级委托中授权边界严格收缩不扩张。这意味着每一个Agent在协作链路中的每一步操作都有据可查，每一次授权都受边界约束，每一次意图传递都具备防篡改保障。

在支付场景中，ASL与ACT智能体商业信任协议协同配合——ASL负责智能体间的安全互联与授权控制，ACT负责商业交易的信任基础建设，共同支撑即时支付、委托代买等场景落地。

从“被动响应”到“天生可信”：全链路安全闭环

ASL协议的落地只是陈亮所倡导的智能体原生安全框架中的一环。在这一框架中，安全理念从传统的“发现漏洞—发布补丁”被动响应，彻底转向保障智能体“天生可信”——通过分层隔离、纵深防御的治理设计，从智能体诞生的那一刻起就将安全能力内嵌于其生命周期每一个环节。

具体而言，框架涵盖身份与权限管理（统一身份体系、“智能体运行许可证”动态生命周期管理）、运行时安全防护（以“数字员工宪法”为准则的五层策略管控）以及AgentOS与基础设施安全（Landlock沙箱、命名空间隔离、TEE硬件隔离等机制）。这套体系确保智能体在跨企业、跨平台协作场景中始终具备主体身份可验证、意图防篡改传递及授权边界严格可控的“端到端”安全保障。

随着多智能体协同进入规模化商用关键窗口期，ASL开源协议的逐步普及以及跨组织信任联邦体系建设的推进，智能体产业正从一个“各自为战”的碎片化状态，迈入一个“安全可信互联”的新阶段。正如陈亮所言，唯有将“智能向善”的理念内化为可执行、可验证、可审计的技术架构，才能真正释放智能体技术的巨大潜力。