多智能体系统的机遇与挑战

想象一下，你把车钥匙交给别人，让他去买些生活必需品。 如果店铺就在附近，购物清单也很简单，出错的可能性就很小。 但当任务变得更复杂，比如指定品牌、饮食限制和紧张预算，复杂度也随之增加。 这个看似平常的任务出错，会导致从未经授权的购买到车辆报废的严重后果。

许多组织在部署人工智能代理时面临相似的挑战。 我们很难且成本高昂地打造能在整个工作流程中出色完成所有任务的代理。此前，代理与工具间缺乏统一的通信标准，尚未出现类似于HTTP对网络连接所起作用的AI标准。

多智能体系统（MAS）诞生了，这是一种全新的人工智能范式，通过众多高度专业化的智能体分工合作，来提供更精准、更相关的结果。 我们通过刻意限制每个智能体的职责范围、访问权限和专业领域训练，实现了MAS的效果，并借助模块化任务执行，提升系统可扩展性。 MAS的潜力令人振奋，但当你的组织将“城堡钥匙”交付给智能体AI时，也将面对严峻的安全挑战。 在美好前景背后，隐藏着更广泛的攻击面和对智能体AI系统的安全、信任与责任的新考验，亟须重新审视并加强安全防护。

MAS 本质上是一个构建分布式自治智能系统的框架。 我们不依赖能在多任务上表现平平的单体智能代理，而是将任务分配给专注于一两个领域的不同代理，这些代理常以层级或集群方式存在。 这些代理虽自主行动，却通过合作实现各自及共同目标。 在 MAS 中，您需要关注几类关键代理： 

• 超级代理——MAS 内的工作流编排者。 根据具体用例，它们的集中程度不同；一些简单的 MAS 工作流则赋予所有代理同等自主权。 
• 分类代理——我们负责分配资源，确保每个代理都能获得有效完成任务所需的工具和资源。 
• 守护代理——作为多重问责机制的验证者，确保输出准确无误并忠实于您的意图。 

分布式系统或专家小组的概念并不新鲜，但直到最近，AI代理之间缺乏统一的通信标准，限制了其实用性。 感谢Anthropic推出的模型上下文协议（MCP），我们现在能通过统一标准跨结构化数据源访问数据和工具；再加上谷歌的Agent-to-Agent（A2A）框架，AI代理之间可通过自然语言实现与模型无关的高效交流。 简单来说，MCP负责代理与数据的通信，而A2A实现代理与代理的沟通。

实现代理 AI 正投资回报率的最大障碍是准确性、成本和可扩展性。 虽然 MAS 会带来一定复杂性，但它是优化这三方面最有潜力的手段之一：

1. 准确性——专业代理提供了可根据工作流程需求定制的模块化风险降低和质量保障层。 通过限制每个代理的职责范围，MAS 相比单一模型有效降低了幻觉或误判的风险（Yang 等，2025）。
2. 成本—— 多个专用代理的训练成本与通用代理相比可能不同，但我们通过降低冗余和过度处理，能显著减少分布式 MAS 环境中的推理成本（Gandhi、Patwardhan、Vig 和 Shroff，2024）。
3. 可扩展性 – MAS 改变了 AI 生态系统中可扩展性的实现方式。 我们通过模块化添加代理，帮助你以更低成本满足新的业务需求，而无需替换或重新培训整个系统

每个下游代理都设有额外的层级和子代理集群，专门负责个性化或新闻分析等任务，有的彼此互联，有的则各自独立运行。

组装好报告后，我们会先发送给合规代理，确保它符合法规要求，再送交监护代理或人工审核，确认输出准确且符合您的需求。 最终，您将收到准确且专属定制的宝贵资产交付。

试想一下您的 MAS 工作流程并未得到最理想的保护。 您代理之间的每个连接都是标准 API，这仍是许多组织普遍暴露的攻击途径。

您的初始提示被注入攻击篡改，指令要求将 Alice 的最终报告发送到攻击者的电子邮件。 如果合规代理能及时发现，本应不会出现问题，但不安全的 API 连接却可能导致欺骗攻击。 攻击者冒充合规代理，批准下游代理访问 Alice 的银行账户和信用卡信息，同时解除更多限制。

没有护栏，代理权限会呈指数级扩大，因此任何可访问的内容都会被访问。 个性化代理可能会判断爱丽丝的储蓄账户余额是当前相关信息，或者财务分析代理可能误把专有交易算法和合作协议当作邻近代理的有效输入。

当信息传递至人工干预环节或守护代理进行验证时，输出看起来准确且符合您的需求，但信任的链条被大量传播，信息泄露和特权升级在连接间不断扩散。 仅凭一次简单请求，我们就削弱了您与客户及合作伙伴之间的信任，并让无数漏洞暴露无遗。

多智能体系统在平均情况下的运作介于两者之间，输出的准确性显著提升，但保障攻击面安全变得更具挑战。 尽管完全自主的应用程序已经技术上可行，最实用的方案仍是融合传统基础设施与人工智能组件的混合模式。 这种转型不会一蹴而就，其复杂性要求利益相关方积极协作，着力打造既创造商业价值又能控制风险的自主系统。

纵观现代应用的发展历史，我们不断经历合并与混合的循环交替。 企业通常起初完全依赖单一平台，随后逐步转向兼顾功能需求和成本的混合产品组合。 Agentic AI 很可能会沿着同样轨迹发展。 最初对单一平台的热情将逐渐让位于涵盖本地、SaaS、边缘以及当前广泛工具分布的分布式应用和 API 生态系统。 预见这一循环后，您可以主动做好准备，应对由 MAS 驱动的工作流程以及 AI 的分布式未来。

1. 保护您的 API — 随着 MCP 连接和智能系统的兴起，API 安全性变得尤为迫切。 我们需要提供覆盖全部已知及未知 API 的全面解决方案，动态识别安全漏洞，并持续保持全局可见性。
2. 要求具备可解释行为——虽然人工智能“黑箱”仍然存在，但我们可以将范围受限的代理与可编程的可解释行为结合使用，从而提升对幻觉和有害输出的追踪能力。 我们会记录代理的输出，实时标记异常行为，并进行分析，防止未经授权的扩散。
3. 制定人机协同（HITL）政策——适用于错误决策会带来重大影响、需要人工监管以确保合规以及边缘情况缺乏明确规则的任务。 守护代理无法替代人类智能，并且可能成为攻击者的重点目标。 为避免形成瓶颈，我们仍建议采用结合HITL的传统规则系统，这是控制风险在特定阈值内最安全的手段。 当风险低于既定阈值时，请谨慎使用守护代理来进一步降低风险，同时您还需权衡它们带来的减风险效果与代理被攻破的最坏后果。
4. 对敏感数据实行零信任——采用最小特权访问原则限制代理访问和共享的数据，持续核实权限以防止特权升级，并在每个阶段和针对每个代理时都假设潜在泄露风险。
5. 整合分散的工具——随着大量快速增长的代理工具涌现，靠零散的解决方案已无法实现全面的可视化。 您需要投入统一的安全平台，整合必要的工具和安全可见性，以在不断扩大的攻击面上保持坚实的安全防御。