把手机调成飞行模式,两块Heltec LoRa开发板,一个签名的MCPS数据帧在868MHz无线电频段传输,不到2秒完成结算。没有互联网,没有闪电网络节点,没有云基础设施,也没有区块链。只有加密签名、随机数和一个信任等级——以无线电的速度完成交易。

这是AgentSign团队刚刚完成的实验。他们想知道:如果把所有现代网络假设都剥离掉,专门为AI代理设计的安全协议MCPS还能不能工作?

打开网易新闻 查看精彩图片

这个实验背后是一个被忽视的安全漏洞。MCP(Model Context Protocol)目前拥有9700万次SDK下载,公开列出的服务器超过1.3万个,是历史上增长最快的AI集成标准。但它发布时完全没有消息签名机制——不是"有限的签名",也不是"可选的签名",是零。任何网络进程都可以伪造工具调用,任何被截获的数据帧都可以无限重放。服务器无法以加密方式验证调用它的代理是否真的是它所声称的身份。

一个标准的MCP工具调用在传输时看起来是这样的:JSON-RPC格式,包含方法名和参数,但没有签名、没有随机数、没有身份标识。如果你截获了这个数据帧,就可以永远重放它。OWASP已将提示注入、工具投毒和认证绕过列为MCP的三大威胁——这些在今天的标准实现中都是可被利用的。Gartner报告显示,2026年代理安全咨询量增长了1700%。

MCPS(Model Context Protocol Security)是针对这个问题的解决方案。这是一个IETF互联网草案,为每个MCP消息添加加密签名:ECDSA P-256算法、每条消息独立的随机数、时间戳验证、L0-L4信任等级,与现有MCP规范兼容。

每个MCPS帧的结构是:版本号、代理哈希、服务器哈希、金额十六进制值、随机数、Unix时间戳、P-256签名、备注。服务器在执行任何操作前验证签名,存储随机数并在重复出现时拒绝,信任等级则控制代理被允许执行的操作范围。

目前MCPS已有七个npm包、一个Java Keycloak映射器、Python和Go实现。x-agent-trust扩展已正式列入OpenAPI扩展注册表——2026年4月合并的PR #67,由微软和OpenAPI TDC批准。

实验硬件是两台运行Meshtastic固件的Heltec WiFi LoRa 32 V3开发板。发送端通过蓝牙与iPhone配对,接收端连接Raspberry Pi 4作为边缘节点。整个链路完全脱离TCP/IP协议栈。

这个实验验证了一个关键问题:当AI代理需要在没有网络的环境中自主交易时,加密信任如何建立?答案是通过协议层面的签名验证,而非依赖任何中心化基础设施。