博客

多智能体系统的机遇与挑战

马克·托勒缩略图
马克·托勒
发布于2025年7月31日

想象一下,你把车钥匙交给别人,让他去买些生活必需品。 如果店铺就在附近,购物清单也很简单,出错的可能性就很小。 但当任务变得更复杂,比如指定品牌、饮食限制和紧张预算,复杂度也随之增加。 这个看似平常的任务出错,会导致从未经授权的购买到车辆报废的严重后果。

许多组织在部署人工智能代理时面临相似的挑战。 我们很难且成本高昂地打造能在整个工作流程中出色完成所有任务的代理。此前,代理与工具间缺乏统一的通信标准,尚未出现类似于HTTP对网络连接所起作用的AI标准。

多智能体系统(MAS)诞生了,这是一种全新的人工智能范式,通过众多高度专业化的智能体分工合作,来提供更精准、更相关的结果。 我们通过刻意限制每个智能体的职责范围、访问权限和专业领域训练,实现了MAS的效果,并借助模块化任务执行,提升系统可扩展性。 MAS的潜力令人振奋,但当你的组织将“城堡钥匙”交付给智能体AI时,也将面对严峻的安全挑战。 在美好前景背后,隐藏着更广泛的攻击面和对智能体AI系统的安全、信任与责任的新考验,亟须重新审视并加强安全防护。

多智能体系统是什么?

MAS 本质上是一个构建分布式自治智能系统的框架。 我们不依赖能在多任务上表现平平的单体智能代理,而是将任务分配给专注于一两个领域的不同代理,这些代理常以层级或集群方式存在。 这些代理虽自主行动,却通过合作实现各自及共同目标。 在 MAS 中,您需要关注几类关键代理: 

  • 超级代理——MAS 内的工作流编排者。 根据具体用例,它们的集中程度不同;一些简单的 MAS 工作流则赋予所有代理同等自主权。 
  • 分类代理——我们负责分配资源,确保每个代理都能获得有效完成任务所需的工具和资源。 
  • 守护代理——作为多重问责机制的验证者,确保输出准确无误并忠实于您的意图。 

为什么 MAS 突然变得可行?

分布式系统或专家小组的概念并不新鲜,但直到最近,AI代理之间缺乏统一的通信标准,限制了其实用性。 感谢Anthropic推出的模型上下文协议(MCP),我们现在能通过统一标准跨结构化数据源访问数据和工具;再加上谷歌的Agent-to-Agent(A2A)框架,AI代理之间可通过自然语言实现与模型无关的高效交流。 简单来说,MCP负责代理与数据的通信,而A2A实现代理与代理的沟通。

MAS 采用迫在眉睫的三大理由

实现代理 AI 正投资回报率的最大障碍是准确性、成本和可扩展性。 虽然 MAS 会带来一定复杂性,但它是优化这三方面最有潜力的手段之一:

  1. 准确性——专业代理提供了可根据工作流程需求定制的模块化风险降低和质量保障层。 通过限制每个代理的职责范围,MAS 相比单一模型有效降低了幻觉或误判的风险(Yang 等,2025)。
  2. 成本—— 多个专用代理的训练成本与通用代理相比可能不同,但我们通过降低冗余和过度处理,能显著减少分布式 MAS 环境中的推理成本(Gandhi、Patwardhan、Vig 和 Shroff,2024)。
  3. 可扩展性 – MAS 改变了 AI 生态系统中可扩展性的实现方式。 我们通过模块化添加代理,帮助你以更低成本满足新的业务需求,而无需替换或重新培训整个系统

当MAS表现出色时

让我们通过下图来探讨一个假想的应用场景。 假设您是一位理财顾问,客户爱丽丝希望获得关于其投资组合表现的个性化报告。

超级代理接收提示,确定整体意图,并调用分类代理以确定所需资源。 分类代理或基于规则的引擎决定调用CRM代理获取用户特定上下文,调用本地化代理以获取Alice所在的国家/地区信息,以及调用投资组合代理访问交易平台数据。 分类代理进行调用前,合规代理会验证该任务允许访问的数据和工具。

公共部门示意图

大多数组织选择多代理系统的原因与依赖混合环境相同:在权衡性能、安全和成本时,灵活性是最重要的因素。

每个下游代理都设有额外的层级和子代理集群,专门负责个性化或新闻分析等任务,有的彼此互联,有的则各自独立运行。

组装好报告后,我们会先发送给合规代理,确保它符合法规要求,再送交监护代理或人工审核,确认输出准确且符合您的需求。 最终,您将收到准确且专属定制的宝贵资产交付。

当MAS出现故障时,会发生什么?

试想一下您的 MAS 工作流程并未得到最理想的保护。 您代理之间的每个连接都是标准 API,这仍是许多组织普遍暴露的攻击途径。

您的初始提示被注入攻击篡改,指令要求将 Alice 的最终报告发送到攻击者的电子邮件。 如果合规代理能及时发现,本应不会出现问题,但不安全的 API 连接却可能导致欺骗攻击。 攻击者冒充合规代理,批准下游代理访问 Alice 的银行账户和信用卡信息,同时解除更多限制。

没有护栏,代理权限会呈指数级扩大,因此任何可访问的内容都会被访问。 个性化代理可能会判断爱丽丝的储蓄账户余额是当前相关信息,或者财务分析代理可能误把专有交易算法和合作协议当作邻近代理的有效输入。

当信息传递至人工干预环节或守护代理进行验证时,输出看起来准确且符合您的需求,但信任的链条被大量传播,信息泄露和特权升级在连接间不断扩散。 仅凭一次简单请求,我们就削弱了您与客户及合作伙伴之间的信任,并让无数漏洞暴露无遗。

现实介于精准与风险之间

多智能体系统在平均情况下的运作介于两者之间,输出的准确性显著提升,但保障攻击面安全变得更具挑战。 尽管完全自主的应用程序已经技术上可行,最实用的方案仍是融合传统基础设施与人工智能组件的混合模式。 这种转型不会一蹴而就,其复杂性要求利益相关方积极协作,着力打造既创造商业价值又能控制风险的自主系统。

保护手册

纵观现代应用的发展历史,我们不断经历合并与混合的循环交替。 企业通常起初完全依赖单一平台,随后逐步转向兼顾功能需求和成本的混合产品组合。 Agentic AI 很可能会沿着同样轨迹发展。 最初对单一平台的热情将逐渐让位于涵盖本地、SaaS、边缘以及当前广泛工具分布的分布式应用和 API 生态系统。 预见这一循环后,您可以主动做好准备,应对由 MAS 驱动的工作流程以及 AI 的分布式未来。

  1. 保护您的 API — 随着 MCP 连接和智能系统的兴起,API 安全性变得尤为迫切。 我们需要提供覆盖全部已知及未知 API 的全面解决方案,动态识别安全漏洞,并持续保持全局可见性。
  2. 要求具备可解释行为——虽然人工智能“黑箱”仍然存在,但我们可以将范围受限的代理与可编程的可解释行为结合使用,从而提升对幻觉和有害输出的追踪能力。 我们会记录代理的输出,实时标记异常行为,并进行分析,防止未经授权的扩散。
  3. 制定人机协同(HITL)政策——适用于错误决策会带来重大影响、需要人工监管以确保合规以及边缘情况缺乏明确规则的任务。 守护代理无法替代人类智能,并且可能成为攻击者的重点目标。 为避免形成瓶颈,我们仍建议采用结合HITL的传统规则系统,这是控制风险在特定阈值内最安全的手段。 当风险低于既定阈值时,请谨慎使用守护代理来进一步降低风险,同时您还需权衡它们带来的减风险效果与代理被攻破的最坏后果。
  4. 对敏感数据实行零信任——采用最小特权访问原则限制代理访问和共享的数据,持续核实权限以防止特权升级,并在每个阶段和针对每个代理时都假设潜在泄露风险。
  5. 整合分散的工具——随着大量快速增长的代理工具涌现,靠零散的解决方案已无法实现全面的可视化。 您需要投入统一的安全平台,整合必要的工具和安全可见性,以在不断扩大的攻击面上保持坚实的安全防御。

你无法通过红队演练来解决代理问题的扩散

非确定性输出的系统无法通过确定性方案来保障安全。 依赖确定性输出的传统测试方法无法适应那些每次迭代结果不一致的技术。 考虑到单一组织不太可能拥有或控制流程中大部分 API 或代理,MAS 需要采取更全面的安全策略。

多智能体系统通过增加复杂度来提升准确性。 每个新连接都会带来风险,每个信任边界都会增加安全漏洞,每个代理都会扩大攻击面。 但从许多方面来看,规则依旧如旧——只不过现在遵守变得更加关键。 保护API、执行零信任策略并监控系统行为是基础且必需的做法,随着多智能体系统的普及,这些要求愈发迫切。

虽然不会瞬间实现广泛应用,但您若为此做好安全体系建设,不仅能让组织应对 MAS,还能有效防范现代系统不断增长的威胁。

人工智能部署已拓展了攻击面,您今天保护的系统将成为明天防御的基石。 在大规模部署人工智能应用时,深入了解F5如何在各处高效交付并保护人工智能应用