醒醒，只靠MCP和A2A还带不来AI Agent的大繁荣

作者 ｜ 王兆洋邮箱 ｜ wangzhaoyang@pingwest.com

1

AI Agents需要它的HTTPS

1981年，今天互联网共同遵守的网络规则“TCP/IP协议”诞生。在此之前，不同的计算机系统和网络“各说各话”，而以传输控制协议（TCP）和网际协议（IP）为主的设计则提供了一套标准化的通信规则，使得不同厂商的设备以及不同网络能够互联互通。

有了这样统一“接口”的基础，1989年，后来被称为“互联网之父”的蒂姆·伯纳斯 - 李（Tim Berners-Lee）提出了在互联网上构建超链接文档系统的构想，HTTP（超文本传输协议）诞生。它让通过TCP/IP协议统一了交流语言的机器们，可以通过互联网实现全球范围更广泛的互通。

一切就此改变，繁荣有了可能。

同样的故事正在今天的AI Agents产业里上演。

AI Agents基于大模型的通用能力，自动化的使用已有技术和工具解决用户的复杂任务。这让它成为今天最被期待的模型技术落地的方式。

而最近几个月，AI Agents产品更是出现井喷，明星产品如Manus等获得了破圈的关注，OpenAI和Google的新模型开始“AI Agents化”，而更关键的变化，在于标准协议的迅速普及。

Anthropic在去年年底发布并开源的MCP，旨在创建一个开放、标准的规范，让大型语言模型能够无缝地与各种外部数据源和工具（如业务软件、数据库、代码库等）进行交互。在发布几个月后，OpenAI，Google，阿里和腾讯已经纷纷支持并接入。紧接着，Google发布了A2A（Agent2Agent），旨在实现AI Agent之间协作和工作流自动化，再次为AI Agents的繁荣添了一把火。

简单来说，它们解决了两个问题，MCP解决的是智能体跟工具提供方和服务提供方连接的问题，而A2A解决的是智能体和智能体之间为了完成一个非常复杂的任务时，彼此协同连接的问题。

因此，MCP就像早期的统一接口，A2A则像是HTTP协议。

但事实上，在互联网的故事里，HTTP之后，互联网距离真正的繁荣还差关键一环，就是协议之上的安全标准。

HTTP们打下规模化的基础后，问题也随之产生——它是一个明文传输的协议，这暴露了严重的安全问题。例如，用户输入的信用卡信息在传输时可能被黑客窃听，或网页内容被篡改破坏了安全。

为此，网景公司（Netscape）于1994年开发了SSL（安全套接层）协议，并推出了HTTPS（超文本传输安全协议），在HTTP的基础上加入了SSL，保护传输安全。1996年，HTTPS开始普及，随后被广泛应用于银行、购物网站等领域。这是关键一步，它真正使得商业繁荣成为可能的支付等功能得以安全展开。

今天的MCP和A2A也在面对同样问题。

“当HTTP出来之后，到后期发现它面临很大的一个安全问题。最简单的例子，我向他发一个报文，域名走DNS解析，我一下子到不了它，通过很多中间节点转发，那中间服务器就可以通过DNS/会话劫持我这个请求，换成另外一个请求转给他，这就是早期HTTP面临的一个问题。所以后来就有HTTPS的出现，我发给他的消息是加密的你截了没用，你无法换你自己的，换成你自己的他就不认识，解不开。在互联网的时代有过这么一个过程。”IIFAA可信认证联盟技术负责人、智能体安全行业专家紫西对硅星人说。

这些问题会以各种形态出现。今天，黑灰产可以伪造一个“天气查询”工具注册到MCP Server，实际却在后台窃取用户航班信息；当用户通过智能体购买药品时，A智能体负责买头孢，B智能体负责买酒，由于缺乏跨平台风险识别能力，系统无法像现有电商平台一样，告知“危险组合”提醒。而更致命的是，智能体间的身份鉴权与数据归属至今未明——用户究竟是在授权设备上的本地应用，还是将隐私数据同步到了云端？

“A2A在自己的官方文本里说了，它只保证你最上层的传输是安全的，还是停留在HTTPS那个传输层的协议相关的。具体如何保证这些东西（身份、凭证）怎么来，然后数据隐私怎么做，包括背后的意图怎么去识别，这些它是留给了企业去解决的。”

智能体的真正繁荣，上述这些问题显然需要解决，紫西所在的IIFAA是第一个开始挑战这个问题的机构。

“在这个背景下，IIFAA致力于解决智能体跟智能体之间未来面临的一系列问题。”紫西说。“在HTTP过渡到HTTPS的时代产生了一个安全套件SSL。在A2A的时代，我们也定义了一个类似的产品叫ASL，它可以在MCP协议基础之上，保障各智能体在权限、数据、隐私等多方面的安全。这个中间件产品也是去解决A2A过渡到未来的安全标准中的挑战。”

IIFAA智能体可信互连工作组是国内首个智能体安全生态协作组织，该工作组由中国信通院、蚂蚁集团等二十多家科技企业和单位共同发起。

1

从ASL开始，走向规模化

“AI Agents的发展比我们想象的更快。无论是技术上还是生态对标准的接受度上。”紫西说。

其实IIFAA关于智能体之间安全协议的想法早在去年11月就已出现，这个时间节点甚至早于MCP的发布，之后，IIFAA智能体可信互连工作组在12月正式成立，MCP也在同期正式发布。

“黑灰产有时候对新技术的掌握速度比防御方更快。我们不能在问题出现之后再开始讨论秩序，这也是这个工作组存在的必要性。”在此前的一次分享中，IIFAA的成员曾这样表示。行业一起共建安全互信的行业规范对长远的健康发展有至关重要的意义。

根据紫西介绍，目前他们在解决的关键问题，在第一阶段主要聚焦在以下几个方面：

Agent可信身份：我们希望依托权威机构与互认机制，构建一套Agent认证体系。就像出国旅行需要护照和签证一样，让经过认证的Agent快速加入协作网络，防止未认证Agent破坏协作秩序。意图的可信共享智能体间的协作依赖于意图的真实性和准确性。例如，点餐助手与支付助手共享信息时，若意图被篡改，可能导致重复扣费或订单丢失，损害用户体验并引发信任危机。因此，意图可信共享是确保多智能体协作高效可靠的核心。上下文保护机制当一个AI Agent连接多个MCP（多通道协议）服务器时，所有工具描述信息会被加载到同一会话上下文中，恶意MCP Server可能借此注入恶意指令。上下文保护能防止恶意干扰、维护系统安全、保障用户意图完整性，并防范投毒攻击。数据隐私保护在多Agent协作中，数据共享可能带来隐私泄露风险。例如，医疗Agent与保险Agent协作时，患者的健康数据可能被非法共享给第三方，导致隐私侵害。隐私保护是防止敏感信息滥用的关键。Agent记忆可信共享记忆共享提升多Agent协作效率，如电商场景中记录用户偏好避免重复询问。记忆可信共享则确保数据一致、真实且安全，防止篡改与泄露，增强协作效果和用户信任。身份可信流转用户期待在AI原生应用中获得无缝流畅的服务体验。如果每次交互都需要跳转不同平台进行身份认证，将严重影响体验并阻碍AI应用普及。因此，实现跨平台无打扰的身份识别，成为提升用户体验的关键。

“这些是我们短期的一个路径，接下来我们会向全行业发布ASL，这是一个软件实现部分，并不是个协议规定的部分。它可以作用在MCP和A2A上，来增强这两个协议在企业级安全上的应用，这是短期的目标。”紫西介绍。

“我们早期不太会去规定它在安全这一层的东西，我们不会去规定A2AS，而是希望如果未来有人去规定A2AS的时候，我们的ASL可以成为它软件实现的部分，就像SSL是HTTPS的软件的一个实现部分一样。”

对比HTTPS的历史，当安全得到保障，支付等功能可以得到普及，更大规模的商业化机会随之出现。类似的节奏也正在上演，4月15日，支付宝联合魔搭社区发布了“支付MCP Server”服务，让AI开发者可以使用自然语言接入支付宝支付服务，快速实现AI智能体内的支付。

这些短期目标一个个解决后，一个安全的Agent协作标准和环境最终会形成。而这个过程的关键是出现规模化的效应。目前国内动作较快的MCP“商店”们已经开始动作。蚂蚁智能体平台百宝箱的“MCP专区”将接入IIFAA的安全解决方案，这个“MCP Store”目前已支持各类MCP服务的部署和调用，包括支付宝、高德地图、无影等30余款MCP服务最快3分钟即可搭建一个连接MCP服务的智能体。

紫西认为，大模型的通用能力最终有可能真正改变用户的体验和交互范式。未来可能不是今天调用App来完成任务的方式，有可能是一个超级入口来基于一个类似MCP Store的隐藏在后面的工具池来完成任务。它会变得更加简洁，也更理解用户的需求。商业化也正是有了可能。

“AGI的发展现在进入了智能体的阶段，与聊天的机器人和有一定推理能力的AI阶段相比，智能体终于跳出了点对点的封闭阶段，商业化的应用真正开启它全新的序幕。”

据了解，日前IIFAA已推出ASL并宣布开源，通过开放共享代码、标准与经验，加速技术的创新迭代，呼吁行业企业和开发者广泛参与，推动技术的行业标准化。该开源计划将采用最宽松的Apache2.0协议，并将代码库设计文档安全实践对外开放，全球开发者可在Github社区参与共建。