在AI智能体真正可用之前，我们还需要做好哪些准备？

越来越多的公司正在推出人工智能（Artificial Intelligence，AI）智能体，它们可以代你处理各种事务，例如发送邮件、创建文档或编辑数据库。然而，这些智能体的初步市场反馈并不尽如人意，因为它们难以与我们数字生活中的各种复杂组件进行有效交互。

问题部分在于，我们仍处在为这些 AI 智能体构建必要基础设施的阶段。如果我们希望智能体能为我们完成任务，就需要赋予它们必要的工具，同时确保它们能负责任地使用这些权力。

Anthropic 和谷歌（Google）等公司和团体就在致力于解决这个问题。在过去的一年里，他们相继推出了新的协议，试图定义 AI 智能体之间以及它们与外部世界交互的方式。这些协议有望让 AI 智能体更轻松地控制电子邮件客户端和笔记应用等其他程序。

这背后的关键在于应用程序编程接口（API，Application Programming Interfaces），正是这些接口构成了我们线上世界中计算机与程序之间信息交换的基石。目前，API 通过标准化的信息来回应“ping”请求。但 AI 模型的设计并非旨在每次都以完全相同的方式工作，其内在的随机性一方面让它们的对话显得自然且富有表现力，另一方面也给调用 API 并理解其响应带来了困难。

“模型说的是自然语言，”Anthropic 的项目经理 Theo Chu 表示。“要让模型获取上下文并利用其完成某项任务，就必须存在一个翻译层，让模型能够理解这些信息。”Chu 所参与的，正是这样一种翻译技术——模型上下文协议（MCP，Model Context Protocol），该协议由 Anthropic 于去年年底推出。

MCP 旨在标准化 AI 智能体通过各种程序与世界互动的方式，并且已经相当普及。一个用于 MCP 服务器（本质上是智能体访问不同程序或工具的门户）的网络聚合器显示，已有超过 15,000 个服务器上线。

这些协议应如何规定安全性？

如何治理 AI 智能体之间的互动，无疑是一个更严峻的挑战。谷歌在今年四月推出的 Agent2Agent（A2A）协议便试图应对这一难题。如果说 MCP 的作用是翻译语言和代码之间的请求，那么 A2A 则旨在协调不同智能体之间的信息交换。谷歌云 A2A 项目的 Rao Surapaneni 在给《麻省理工科技评论》的邮件中写道，这是“行业超越单用途智能体所必需的关键一步”。

谷歌透露，已有 150 家公司（包括 Adobe 和 Salesforce）与其合作开发和采用 A2A。从宏观层面来看，MCP 和 A2A 都会告诉 AI 智能体哪些是必须做的、哪些是应该做的，以及哪些是为了确保与其他服务安全互动而不能做的。从某种意义上说，两者是互补的——在一次 A2A 互动中的每个智能体，都可以独立地使用 MCP 来获取对方请求的信息。

尽管如此，Chu 强调 MCP 仍处于“非常早期的阶段”，同时 A2A 的发展路线图也显示还有大量工作尚待完成。我们认为，MCP、A2A 及其他智能体协议主要有三个发展方向：安全性、开放性和效率。

目前，研究人员和开发者仍未完全理解 AI 模型的工作原理，新的漏洞也在不断被发现。对于聊天机器人这类 AI 应用，恶意攻击可能导致模型出现 regurgitating 训练数据和发表不当言论等各种问题。但对于代表用户与世界互动的 AI 智能体而言，风险则要大得多。

例如，一个用于读写邮件的 AI 智能体已被证实易受“间接提示词注入”（indirect prompt injection）攻击。攻击者可以通过一封精心设计的邮件，劫持 AI 模型并使其发生故障。如果该智能体拥有用户文件的访问权限，它就可能被指令将私人文件发送给攻击者。

一些研究者认为，像 MCP 这样的协议应该能阻止智能体执行此类有害行为，但目前它还做不到。芝加哥大学从事 AI 智能体安全研究并使用 MCP 服务器的博士生 Zhaorun Chen 指出：“基本上，它没有任何安全设计。”

安全研究员及活动家 Bruce Schneier 对此持怀疑态度，他不认为像 MCP 这样的协议能有效降低 AI 的固有风险，并担心赋予这项技术更多权力只会增加其造成现实世界物理伤害的能力。“我们只是还没有好的方法来保障这东西的安全，” Schneier 说，“它很快会变成一个安全问题的污水池。”

当然，也有人更为乐观。安全设计可以被添加到 MCP 和 A2A 中，就像互联网协议中的 HTTPS 一样（尽管 AI 系统面临的攻击性质截然不同）。Chen 和 Anthropic 都相信，将 MCP 和 A2A 等协议标准化，有助于更轻松地发现和解决安全问题。Chen 在他的研究中利用 MCP 测试不同程序在攻击中所扮演的角色，以更好地理解其漏洞。Anthropic 的 Chu 则认为，这些工具能帮助网络安全公司更有效地应对针对智能体的攻击，因为追溯攻击源头将变得更加容易。

这些协议的开放程度该如何把握？

尽管 MCP 和 A2A 是当今最流行的两种智能体协议，但还有许多其他协议正在开发中。思科（Cisco）和 IBM 等大公司在开发自己的协议，其他研究团体也提出了不同方案，例如牛津大学研究人员设计的 Agora 协议，它能将智能体与服务之间的通信从人类语言升级为结构化数据进行实时处理。

许多开发者希望，未来能出现一个安全可信的系统注册表，以应对日益增多的智能体和工具。包括 Chen 在内的一些人则希望用户能对不同服务进行评分，就像一个 AI 智能体工具领域的“大众点评”。甚至一些更小众的协议在 MCP 和 A2A 之上构建了区块链，以便服务器证明自己并非垃圾信息源。

MCP 和 A2A 都是开源的，这对于有望成为行业标准的协议来说是很常见的，因为它能让更多人参与共建，从而推动协议更快、更透明地发展。

“如果我们共同构建，整体上花费的时间就会更少，因为我们不必各自重复造轮子，”在亚马逊云服务（Amazon Web Services）领导开发者体验并与包括 A2A 和 MCP 在内的众多开源系统打交道的 David Nalley 说。

谷歌已于去年六月将 A2A 捐赠给了负责指导开源项目的非营利组织——Linux 基金会，亚马逊云服务现在也是该项目的合作者之一。在基金会的管理下，所有参与 A2A 开发的开发者（包括谷歌及其他公司的员工）在协议的演进方向上都有发言权。而 MCP 则归 Anthropic 所有，并提供免费许可。这一点让一些开源倡导者感到担忧，他们希望代码库的开发也能有更广泛的参与权。

“由单一个人或实体拥有绝对控制权，无疑会增加一些风险，” Nalley 表示，“大多数人会更倾向于让多个团体‘同桌共议’，以确保这些协议能服务于所有人的最佳利益。”

不过，Nalley 相信 Anthropic 是出于善意行事——他指出，MCP 的许可是非常宽松的，允许其他团体创建自己的修改版本，这个过程被称为“分叉”（forking）。“如果事情完全偏离了轨道，任何人都可以随时进行分叉，” Nalley 说。事实上，IBM 的智能体通信协议（Agent Communication Protocol）就是从 MCP 中衍生出来的。

Anthropic 仍在决定如何发展 MCP。目前，它通过一个由外部公司组成的指导委员会来辅助决策，但 Anthropic 对改变这一模式持开放态度。“我们正在探索未来如何发展我们对所有权和治理的看法，” Chu 说。

自然语言的速度够快吗？

MCP 和 A2A 都是基于“智能体的语言”来工作的——它们使用词语和短语（在 AI 领域被称为自然语言），就像 AI 模型回应人类时一样。这是这些协议的卖点之一，因为它意味着模型无需为了适应一种不自然的方式而接受额外训练。“允许在智能体之间，而不仅仅是与人类之间，使用自然语言接口，从而释放了这些智能体内置的智能，” Surapaneni 解释道。

但这种选择也有其弊端。自然语言接口缺乏 API 的精确性，可能导致不正确的响应，并造成效率低下。

我们真的准备好把钥匙交给 AI 智能体了吗？我们正开始赋予 AI 智能体真正的自主权，但我们还没准备好应对可能发生的后果。

通常，AI 模型通过将文本拆分成“令牌”（token）来读取和响应。AI 模型读取提示，将其拆分为输入 token，生成响应，再将输出 token 组合成词语发送回去。这些 token 在某种程度上定义了 AI 模型需要完成多少工作量——这也是大多数 AI 平台根据使用的 token 数量向用户收费的原因。

然而，token 的根本意义在于让人类能够理解其输出。对于机器对机器的通信而言，直接通过代码交互通常更快、更高效。MCP 和 A2A 都采用自然语言，这意味着智能体在与其他机器（如工具或其他智能体）对话时，也需要消耗 token。用户甚至永远看不到这些在后台发生的交流——所有将信息转化为人类可读格式的努力，最终并没有被任何人类读取。“如果你想用 MCP，会浪费大量的 token，”Chen 指出。

Chen 描述说这个过程可能成本极高。例如，假设用户想让智能体读取一份文档并进行总结。如果智能体调用另一个程序来执行总结任务，它需要读取原始文档，将文档内容写入该程序，读取程序返回的摘要，再将摘要写回给用户。由于智能体需要读取和写入所有内容，原始文档和摘要的 token 消耗都翻了一倍。用 Chen 的话说，“这实际上是很大一笔 token 开销。”

与 MCP 和 A2A 设计的许多方面一样，其优势也带来了新的挑战。“如果想把它们规模化并真正使其变得有用，我们还有很长的路要走，” Chen 总结道。

https://www.technologyreview.com/2025/08/04/1120996/protocols-help-agents-navigate-lives-mcp-a2a/