近期,剛完成7500萬美元新融資的Manus在社交平臺發布公告,正式向所有人開放,無需等待名單或邀請碼。另外,在宣布接入MCP(多智能體協作協議)之后,OpenAI剛上線了一款名為“深度研究連接器”的實驗性功能,旨在通過類MCP協議功能進行第三方工具集成。只是不同于MCP開放開源屬性,深度研究連接器是OpenAI針對自身產品ChatGPT的特定功能擴展,主要服務于OpenAI的生態系統。
不論哪一種形式,“連接”成為大模型時代、 Agent浪潮中的重要關鍵詞。在安恒信息CSO袁明坤看來,MCP技術的鏈接賦能作用,尤其Manus帶動跨智能體、跨平臺、跨工具效應增強,多智能體場景的綜合性智能化服務將在三五年內實現全面替代復雜的服務類工作。
需要警惕的是,連接多智能體過程中,當鏈路中發生劫持或其他“污染”,電腦或其他操控終端可能直接變“邪惡”。這也使得MCP協議拉動Agent生態繁榮的同時,成為不可忽視的安全漏洞風險。
明確的Agent生態趨勢
一位全球化AI云服務平臺從業者對記者表示,DeepSeek的破圈提示了所有人,AI不是神話,已經離大家很近了,有需要的人群盡快上車。而Agent未來生態的發展方向,要么取代老一批APP,要么直接將老一批APP進行Agent化,也就是將傳統APP接入智能化、主動化和交互能力,以提升用戶體驗。如日歷、便簽、待辦事項管理 APP,Agent 化后可成為個人助手。以日歷APP為例,它能主動分析用戶過往行程、習慣,智能推薦合適的活動或休息時間;收到會議邀請時,自動關聯相關資料并安排提醒;與便簽、待辦事項功能協同,優化日程規劃。
“猶豫”的窗戶紙被捅破后,AI技術迭代與落地進展迅速提升。據Gartner預測,到2028年,至少15%日常工作決策將通過AI Agent自主完成,33%企業軟件應用程序也將包含AI Agent。
當生態逐步搭建完善,商業化是必然訴求。在創世伙伴創投合伙人梁宇看來,如今的AI技術令所有的快進鍵再被加速,而Agent——梁宇更愿意將其稱為“產品”——本質上沒有變化,核心仍是解決人們的需求,通過需求被滿足而得到消費者的付款,從而形成一個稍微商業化的自循環,越來越多的資源與能力據此被吸附,自此形成一個商業巨輪與良性循環。
作為Agent相關領域從業者,在未來式智能創始人楊勁松看來, Agent真正的加速始于DeepSeek面世之后。2024年的Agent已經稍微泛化落地,比如簡單地將語言模型與外部API打通這類Agent已經在部分場景廣泛落地了。但2024年的行業還處于從業者教育客戶的狀態。到了2025年,從客戶角度進行的問詢量產生非常明顯的增長,甚至今年一季度已經完成了去年80%的收入任務。
明確的技術趨勢與潛藏的風險危機逐漸明牌,紅杉資本在AI Ascent 2025會議上披露,AI代理(AI Agents)將從單一助手演變為協作網絡(Agent Swarms),最終形成代理經濟(Agent Economy),涉及資源轉移、交易與信任管理。開發者需解決持久身份(Persistent Identity)、通信協議(如Anthropic的MCP)與安全性挑戰,構建支持長時自主任務(Long-Term Autonomy)的代理,滿足企業與個人需求。
AI背后的安全風險
紅杉提及的三大挑戰中,安全性挑戰占據著至關重要的地位,是代理系統能夠穩定、可靠運行的基石。
安恒安全研究院研究員調研發現,雖然MCP幫助Agent實現更加廣泛的應用和更多系統的連接,但當軟件帶著MCP Server(MCP協議中的服務器組件)部署到本地以后,一旦發生漏洞,本地文件可能直接被操作和控制。
其次,人工智能大模型在訓練的時候有很多的臟數據、毒數據,這些數據在輸出時靠價值觀對齊來確保輸出的正確,一旦傳輸過程某個環節突破了價值觀對齊,那么,所有的大模型都可能變成“邪惡”大模型,甚至借助MCP協議的漏洞,遠程操作相關過程。
任何缺乏安全防護的大模型,都可能秒變“邪惡大師”。排名前三位的風險依次是:提示詞注入、數據泄露、軟件供應鏈風險。此前,安全公司Invariant Labs已在官網博客上披露MCP存在工具投毒攻擊(Tool Poisoning Attack,簡稱“TPA”)等風險,主要影響Cursor、Claude for Desktop等MCP客戶端用戶。TPA核心機制在于攻擊者可以在MCP代碼注釋中的工具描述里嵌入惡意指令,指令對用戶不直接可見但對AI模型可見,甚至可以操縱AI Agent執行未經授權的操作,如讀取敏感文件、泄露私密數據等。
簡單來說,TPA使得攻擊者像潛入廚房的 “幽靈廚師”,在菜譜的空白處偷偷寫下毒蘑菇的烹飪指南。表面上看,用戶看到的工具描述是干凈無害的 “家常菜譜”(正常代碼注釋),但當 AI 模型這個 “后廚機器人” 執行任務時,卻會精準識別出注釋里的 “密語指令”(惡意代碼)。
Agent時代的AI安全風險原因包含多方面,安恒信息CTO劉博對記者表示,MCP與A2A(谷歌推出的Agent-to -Agent 協議)作為開源標準,協議設計階段未充分考慮安全機制,隱藏了很多安全隱患。在欠缺認證時,協議在被利用的過程中存在穩定性、是否被惡意調用等隱患。因此,需要安全廠商利用大模型安全解決方案進行智能治理。
另外,互聯網空間內經常會發生配置不當問題,MCP 大模型組合使用時,一旦發生配置不當問題,也會導致攻擊者只需通過對話式交互方式就可以讓正常大模型變成惡意大模型。數據方面,當下要用好大模型技術,已經不能單純依賴模型本身,很多用戶需要在交互過程中上傳文檔、PPT或者其他數據內容,在這過程中,數據的開發、共享、訓練均需要對數據本身進行敏感性識別和處理,并逐漸形成一個完整的數據交互過程。
以及,DeepSeek火爆后,DeepSeek一體機逐漸被客戶群體接納并搶購,但其中也潛藏安全風險因素。安恒信息高級副總裁楊勃表示,一體機有其存在的必然價值,如降低用戶使用門檻等。但同時,楊勃認為,一體機可以用于企業的內部訓練和使用,但當下并不適合對普通公眾開放服務。原因在于一體機必然會從單體到集群再到智算中心的衍生發展路徑,其中安全、性能、成本等問題都是企業需要面臨的挑戰,“不能買了DeepSeek一體機,結果為了搞定安全問題,還需要再買四臺一體機來保護吧?”楊勃稱。
聚焦Agent運行安全
趨勢與風險雖已明確,但行業不可能因噎廢食,這便需要參與者從全產業鏈環節提前進行安全防控部署。
對于防控動作,劉博認為主要分為兩類——其一是不涉及垂直領域的純SaaS化產品,主要聚焦通用型場景,比如打電話、發消息、撰寫一段文案、創建一個日程等類型Agent;其二就是會涉及各行各業的具體應用,該類Agent會對接到對應領域當中專有的軟件和能力。這兩大類別中,劉博認為前者主要針對個人To C場景,主要由平臺承擔最主要的安全責任。
當Agent結合到具體場景,也就是MCP或Agent在應用落地時,大部分時候產品要跟業務場景結合起來,可能涉及財務、法律、醫療、教育等具體專業場景,這一類別中,一般誰提供服務、誰來承擔安全責任。但需注意的是,后一類Agent往往涉及場景很多,甚至也包括半私有化、半上云布局,這樣的狀態需要具體場景具體分析,實際責任方可能并不一樣。于智能體來講,劉博認為更合理的治理方式是以智能約束智能,比如制定規則和策略,進行魯棒性等技術檢測等。
安恒信息高級副總裁、研究院院長王欣對記者表示,智能體系統與傳統軟件系統類似,很難通過改變模型的方式確保其安全,但作為安全廠商,可以通過一些邊界類的智能網關設備進行安全防御。比如在網絡安全領域有一個WAF(Web 應用防火墻,Web Application Firewall),位于 Web 應用程序與互聯網之間擔任“守門員”,監測、過濾和阻止進出 Web 應用程序的 HTTP/HTTPS流量,解決軟件系統有時很難打補丁,或不知道存在哪些未知威脅的痛點。
另外,安全行業一般分為內防與外防,王欣對記者表示,大模型廠商主要解決內生的安全問題——包括模型問題、算法問題、語料治理問題等。但大模型的應用場景存在一定特殊性,比如目前的Transfomer架構進行無監督訓練時會涉及海量數據進行訓練,要保證海量數據完全沒有任何安全問題,這非常難。此時就需要安全廠商在外部扮演防御性角色,也因此,Agent時代,大模型廠商與安全公司將在相當長一段時間內形成一種協同互補的合作關系。
至于從訓練前的語料治理,到訓練階段以及到運行階段的整個大模型運行周期中責任分攤,王欣表示,目前行業發展階段,客戶群體一般會自己從頭進行模型訓練,更多是通過基于開源模型基礎之上或者第三方模型提供給他之后進行使用,對他們而言,前面的數據治理訓練階段安全做得如何是一個黑盒。但大模型到智能體落地環節中的運行安全是更為普適性的安全階段,也是網絡安全廠商主要為客戶進行服務的階段。
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播更多信息之目的,如作者信息標記有誤,請第一時間聯系我們修改或刪除,多謝。
