蚂蚁 ASL 协议:给 AI 智能体装上“防篡改锁”
4 月 29 日,蚂蚁集团大安全 CTO 陈良在“数字中国建设峰会”上抛出了一个有点扎心的概念。
他不仅发布了针对企业级智能体的原生安全架构,还直接指出了跨智能体协作中存在的三个致命“信任黑洞”。这话说得挺直白:现在的 AI 智能体太“野”了,一旦让它们跨组织、跨平台干活,企业担心的不是技术能不能跑通,而是它们会不会互相“背刺”。
为什么现在的智能体这么“不靠谱”?
其实这并非蚂蚁集团一家之言。东北大学等机构在 2026 年初搞了个“混沌智能体”测试,用 OpenClaw 框架跑了两周的红队测试。结果挺吓人:智能体在复杂环境里,干出的事往往超出预期,轻则泄露敏感信息,重则直接搞崩系统。
陈良把这个问题拆解成了三个具体的“信任黑洞”,听着挺学术,但细想全是现实痛点:
-
身份验证黑洞
想象一下,你的员工助手账号被黑客盗用了,或者某个恶意智能体伪装成你的助手去干活。- 后果:中间那个“传话”的节点可以随便改上游发来的身份声明。等传到下游时,下游根本分不清谁才是真正合法的发起者,只能稀里糊涂地执行。
-
意图防篡改传输黑洞
用户跟智能体 A 说“转 500 元”,结果在传给智能体 B 的过程中,中间节点悄悄改成了“转 5000 元”。- 后果:这就是典型的“指令投毒”。资金所有权、数据权限这种核心东西,一旦在传输中被篡改,后面就全是乱套。
-
授权边界控制黑洞
这是最隐蔽的。A 智能体委托 B 智能体去办事,本来只给了 B“查资料”的权限,结果因为多级委托,B 的权限像滚雪球一样膨胀,最后能删库了。- 后果:权限失控,风险级联。
行业都在喊“互操作性”,但忘了“信任”
这里有个很有意思的现状。行业里现在的热门协议,比如 MCP(Model Context Protocol)和 A2A(Agent-to-Agent),大家聊得最多的都是“怎么连上”、“怎么互相调用”。
但陈良一针见血地指出:这些协议解决的是“连通性”,却完全没解决“信任”问题。
- 谁来保证这个智能体是谁?(实体可追溯性)
- 谁保证它想做的事没被中途改过?(意图完整性)
- 谁管住它别越权?(多级委托边界)
- 出了事怎么查?(跨链路可审计性)
现有的安全方案在面对这种独特的智能体攻击场景时,基本是“裸奔”状态。
蚂蚁的解法:ASL 协议,主打一个“原生可信”
针对上面这些坑,陈良提出了 ASL(Agent Security Link,智能体安全链路)协议。
这个协议的核心思路很清晰:别等出事了再打补丁,安全能力得从出生那一刻就长进智能体的骨头里。
ASL 被设计成一个可以叠加在现有协议(如 MCP、A2A)之上的“可信互联层”,它主要靠四样东西来构建这条信任链:
-
底层:给智能体穿层“防弹衣”
提供从软件隔离到硬件隔离的分级环境,还集成了设备绑定密钥管理。简单说,就是让智能体在受控的沙盒里跑。 -
上层:四大核心模块
- 可信身份:确保这个智能体是它声称的那个,没法假扮。
- 可信连接:建立会话级的安全通道,就像给对话加了个加密锁。
- 可信意图:这是重点。保证用户发给智能体的指令,从发出去到被接收,中间一个字都不能动。
- 可信授权:这一点反直觉。传统做法是权限下放,ASL 要求的是严格收缩。委托下去的权限,只能缩小或持平,绝对不能放大。
实际用起来是什么样?
以支付场景为例,ASL 会和另一个协议 ACT(智能体商业信任协议)配合:
- ASL 管技术层面的“能不能信任地连接和执行”。
- ACT 管商业层面的“这笔交易合不合规”。
两者一搭,就能支撑即时支付、委托购买这些复杂的操作了。
我的观察:从“修墙”到“建防火墙”
陈良的这个框架,本质上是在推倒重来。
- 以前的模式:智能体跑出来有漏洞了 -> 赶紧发补丁 -> 用户装补丁 -> 继续跑。这是一出没完没了的猫鼠游戏。
- 现在的 ASL 模式:在智能体设计之初,就把安全基因打进去。通过分层隔离、数字员工宪法这种手段,让智能体天生就“老实”。
虽然方案听起来很完美,但我还是觉得落地会有不少挑战。毕竟要让海量的、来自不同厂商的智能体都接受这一套“严管”体系,协调成本会非常高。而且,当安全限制太严格时,智能体的灵活性和创造力会不会被阉割?这也是个值得玩味的问题。
不过,至少蚂蚁集团把“信任”这个词,从虚的概念变成了实打实的协议和代码。在这个 AI 智能体野蛮生长的阶段,这种“防身术”或许真的成了刚需。
