API 是 Agentic AI 的守门人
人工智能代理正在各地涌现。 他们承诺知道如何做任何需要做的事情,让我们的生活变得更轻松。 这意味着代理需要访问服务、工具和数据等资源,但访问不应无限制。 为了负责任地运营,资源只能在适当的环境下访问。 以下指南演示了 API 如何发挥作用来实现这一目标。
标准促进了 API 作为结构化中介的作用。
API 是一种结构化的中介。 调用 API 会创建一个执行空间,参与者可以在其中找到资源、控制访问并验证授权。 API 非常灵活,可以减少风险,同时又能适应各种业务批准的操作。 灵活性的缺点是缺乏标准,从而阻碍了互操作性。 因此,模型上下文协议(MCP)、开放代理模式框架(OASF)、 LangChain 代理协议和Agent2Agent 协议(A2A) 等新兴标准是朝着正确方向迈出的一步。 他们提倡周到的 API 设计,并将 API 用作代理生态系统中的主要外部接口。 代理将用来完成其自主工作计划的服务、工具和数据生态系统。
使用基础设施服务保护 API。
当今的商业应用通过 API 公开其功能,但 API 并不能单独发挥作用。 网关整合了跨 API 功能,例如用户访问、授权和服务发现。 防火墙过滤端口、支持路由规则并防止格式错误的协议请求。 授权代理实现高级身份控制,例如授权码流和策略查找。 API 是通往商业应用的大门。 基础设施服务简化、增强并实现对 API 请求的正确验证。
动态验证将取代静态验证。
当一个人工智能代理缺乏执行特定操作的权限时,它可以与另一个拥有权限的代理合作。 这使得工作流程能够继续进行而不会违反访问边界。 例如,购物助理可能会向履行代理请求折扣代码,而不是直接从敏感数据库中提取。 API 促进了这种交互,同时保持了职责分离。 这在今天很有效,因为代理可以代表人类用户或角色行事。
用户和角色代表当前身份和策略系统支持的静态权限方案。 展望未来,可以想象,代理人本身最终将拥有自己的身份(或多重身份),这将增加对强有力的护栏的需求,以管理各种情况下对资源的访问。 最终,动态零信任安全措施(在运行时验证请求者、目标资源和操作)将取代静态的预定义验证。
API 优先的设计将崛起。
API 对于 AI 代理至关重要,因为代理需要清楚地划分它们可以访问哪些资源以及它们采取的每个行动需要使用哪些安全环境。 部署的代理越多,它们访问的资源就越多,发出的请求就越多——所有这些都通过 API 实现。 如果单个代理执行多个任务,则可能会有使用多个安全上下文的多个授权。 随着涉及的代理数量的增加,对功能强大的 API 的需求也日益增强。 API 必须能够自动且大规模地实现适当的访问。
如今,用户可以通过应用和自定义 API 访问资源。 展望未来,标准化 API 将成为代理 AI 系统和业务线资源跨网络、组织和行业边界进行交互的战略控制点。 API 优先的思维将引领我们进入提供治理、互操作性和规模的代理 AI 时代。