4月29日,第九届数字中国建设峰会“智能体创新与治理”论坛上,蚂蚁集团大安全CTO陈亮发表演讲,首次系统梳理跨Agent协作中的安全风险,并提出面向企业级智能体的原生安全架构与ASL协议方案。

陈亮指出,随着多智能体协作从单一系统走向跨组织、跨平台,企业正面临三大“信任黑洞”:一是身份可验证性缺失,攻击者可通过伪造Agent身份实现越权;二是意图传递过程易被篡改,导致资金与数据指令偏移;三是多级委托下授权边界失控,权限可能被层层放大。

打开网易新闻 查看精彩图片

行业层面亦存在共识。IIFAA联合中国信通院、蚂蚁集团等数十家单位发布的行业洞察显示,当前MCP、A2A等协议更侧重互操作与连接能力,尚难覆盖主体溯源、意图完整性及多级授权约束等关键安全问题,面对Agent特有攻击场景存在明显短板。

针对上述问题,陈亮提出的解决方案是以“Security by Design”理念构建的智能体安全可信互连协议——ASL(Agent Security Link)。该协议通过可信身份、可信连接、可信意图、可信授权四大模块,实现身份绑定、链路加密、防篡改传递及授权边界收缩,并可叠加在现有协议之上。

在实际应用中,ASL还可与ACT智能体商业信任协议协同,分别承担安全互联与交易信任职责,支撑支付、委托代办等场景落地。

据介绍,ASL协议的落地只是陈亮所倡导的智能体原生安全框架中的一环。在这一框架中,安全理念从传统的“发现漏洞—发布补丁”被动响应,彻底转向保障智能体“天生可信”。蚂蚁集团正通过分层隔离、纵深防御的治理设计,从智能体诞生的那一刻起就将安全能力内嵌于其生命周期每一个环节。(袁宁)