想象一下,你把车钥匙交给别人,让他去买些生活必需品。 如果店铺就在附近,购物清单也很简单,出错的可能性就很小。 但当任务变得更复杂,比如指定品牌、饮食限制和紧张预算,复杂度也随之增加。 这个看似平常的任务出错,会导致从未经授权的购买到车辆报废的严重后果。
许多组织在部署人工智能代理时面临相似的挑战。 我们很难且成本高昂地打造能在整个工作流程中出色完成所有任务的代理。此前,代理与工具间缺乏统一的通信标准,尚未出现类似于HTTP对网络连接所起作用的AI标准。
多智能体系统(MAS)诞生了,这是一种全新的人工智能范式,通过众多高度专业化的智能体分工合作,来提供更精准、更相关的结果。 我们通过刻意限制每个智能体的职责范围、访问权限和专业领域训练,实现了MAS的效果,并借助模块化任务执行,提升系统可扩展性。 MAS的潜力令人振奋,但当你的组织将“城堡钥匙”交付给智能体AI时,也将面对严峻的安全挑战。 在美好前景背后,隐藏着更广泛的攻击面和对智能体AI系统的安全、信任与责任的新考验,亟须重新审视并加强安全防护。
MAS 本质上是一个构建分布式自治智能系统的框架。 我们不依赖能在多任务上表现平平的单体智能代理,而是将任务分配给专注于一两个领域的不同代理,这些代理常以层级或集群方式存在。 这些代理虽自主行动,却通过合作实现各自及共同目标。 在 MAS 中,您需要关注几类关键代理:
分布式系统或专家小组的概念并不新鲜,但直到最近,AI代理之间缺乏统一的通信标准,限制了其实用性。 感谢Anthropic推出的模型上下文协议(MCP),我们现在能通过统一标准跨结构化数据源访问数据和工具;再加上谷歌的Agent-to-Agent(A2A)框架,AI代理之间可通过自然语言实现与模型无关的高效交流。 简单来说,MCP负责代理与数据的通信,而A2A实现代理与代理的沟通。
实现代理 AI 正投资回报率的最大障碍是准确性、成本和可扩展性。 虽然 MAS 会带来一定复杂性,但它是优化这三方面最有潜力的手段之一:
让我们通过下图来探讨一个假想的应用场景。 假设您是一位理财顾问,客户爱丽丝希望获得关于其投资组合表现的个性化报告。
超级代理接收提示,确定整体意图,并调用分类代理以确定所需资源。 分类代理或基于规则的引擎决定调用CRM代理获取用户特定上下文,调用本地化代理以获取Alice所在的国家/地区信息,以及调用投资组合代理访问交易平台数据。 分类代理进行调用前,合规代理会验证该任务允许访问的数据和工具。
大多数组织选择多代理系统的原因与依赖混合环境相同:在权衡性能、安全和成本时,灵活性是最重要的因素。
每个下游代理都设有额外的层级和子代理集群,专门负责个性化或新闻分析等任务,有的彼此互联,有的则各自独立运行。
组装好报告后,我们会先发送给合规代理,确保它符合法规要求,再送交监护代理或人工审核,确认输出准确且符合您的需求。 最终,您将收到准确且专属定制的宝贵资产交付。
试想一下您的 MAS 工作流程并未得到最理想的保护。 您代理之间的每个连接都是标准 API,这仍是许多组织普遍暴露的攻击途径。
您的初始提示被注入攻击篡改,指令要求将 Alice 的最终报告发送到攻击者的电子邮件。 如果合规代理能及时发现,本应不会出现问题,但不安全的 API 连接却可能导致欺骗攻击。 攻击者冒充合规代理,批准下游代理访问 Alice 的银行账户和信用卡信息,同时解除更多限制。
没有护栏,代理权限会呈指数级扩大,因此任何可访问的内容都会被访问。 个性化代理可能会判断爱丽丝的储蓄账户余额是当前相关信息,或者财务分析代理可能误把专有交易算法和合作协议当作邻近代理的有效输入。
当信息传递至人工干预环节或守护代理进行验证时,输出看起来准确且符合您的需求,但信任的链条被大量传播,信息泄露和特权升级在连接间不断扩散。 仅凭一次简单请求,我们就削弱了您与客户及合作伙伴之间的信任,并让无数漏洞暴露无遗。
多智能体系统在平均情况下的运作介于两者之间,输出的准确性显著提升,但保障攻击面安全变得更具挑战。 尽管完全自主的应用程序已经技术上可行,最实用的方案仍是融合传统基础设施与人工智能组件的混合模式。 这种转型不会一蹴而就,其复杂性要求利益相关方积极协作,着力打造既创造商业价值又能控制风险的自主系统。
纵观现代应用的发展历史,我们不断经历合并与混合的循环交替。 企业通常起初完全依赖单一平台,随后逐步转向兼顾功能需求和成本的混合产品组合。 Agentic AI 很可能会沿着同样轨迹发展。 最初对单一平台的热情将逐渐让位于涵盖本地、SaaS、边缘以及当前广泛工具分布的分布式应用和 API 生态系统。 预见这一循环后,您可以主动做好准备,应对由 MAS 驱动的工作流程以及 AI 的分布式未来。
非确定性输出的系统无法通过确定性方案来保障安全。 依赖确定性输出的传统测试方法无法适应那些每次迭代结果不一致的技术。 考虑到单一组织不太可能拥有或控制流程中大部分 API 或代理,MAS 需要采取更全面的安全策略。
多智能体系统通过增加复杂度来提升准确性。 每个新连接都会带来风险,每个信任边界都会增加安全漏洞,每个代理都会扩大攻击面。 但从许多方面来看,规则依旧如旧——只不过现在遵守变得更加关键。 保护API、执行零信任策略并监控系统行为是基础且必需的做法,随着多智能体系统的普及,这些要求愈发迫切。
虽然不会瞬间实现广泛应用,但您若为此做好安全体系建设,不仅能让组织应对 MAS,还能有效防范现代系统不断增长的威胁。
人工智能部署已拓展了攻击面,您今天保护的系统将成为明天防御的基石。 在大规模部署人工智能应用时,深入了解F5如何在各处高效交付并保护人工智能应用。