大语言模型驱动的AI智能体通信综述：协议、安全风险与防御对策

摘要——近年来，基于大语言模型（LLM）驱动的AI智能体展现出前所未有的智能性、灵活性与适应性，正在迅速改变人类的生产方式与生活方式。如今，智能体正经历新一轮的演化：它们不再像传统LLM那样孤立运行，而是开始与多种外部实体（如其他智能体与工具）进行通信，以协同完成更复杂的任务。在这一趋势下，智能体通信被视为未来AI生态系统的基础支柱，许多组织也在近几个月内密集推出相关通信协议（如Anthropic的MCP和Google的A2A）。然而，这一新兴领域也暴露出显著的安全隐患，可能对现实场景造成严重破坏。为帮助研究者迅速把握这一前沿方向，并促进未来智能体通信的发展，本文对智能体通信的安全问题进行了系统性综述。具体而言，我们首先明确界定了“智能体通信”的概念，并将其完整生命周期划分为三个阶段：用户-智能体交互、智能体-智能体通信以及智能体-环境通信。随后，我们针对每个通信阶段详细解析相关通信协议，并根据其通信特性剖析潜在的安全风险。在此基础上，我们总结并展望了各类安全威胁可能的防御对策。最后，本文还讨论了该领域仍待解决的关键问题与未来研究方向。 关键词：大语言模型、AI智能体、智能体通信、攻击与安全

一、引言

大语言模型（LLM）的出现引发了人工智能（AI）领域的革命性进展，在理解复杂任务方面展现出前所未有的能力【308】。更重要的是，LLM极大推动了人类所期望的理想AI形式——智能体（agent）的发展。与主要扮演聊天机器人的LLM不同，智能体具备更全面的能力（如感知、交互、推理与执行），使其能够独立完成现实世界中的任务。例如，当用户希望制定旅行计划时，LLM只能以文本形式提供最佳方案，而智能体则可以将方案转化为实际行动，如查询天气、购买机票和预订酒店。智能体大大加速了企业智能化转型的进程，其市场规模预计将以每年46%的速度增长【222】。可以预见，智能体将颠覆现代社会的生产与生活模式，深刻改变未来商业格局。因此，发展和推广智能体已成为各大国家和头部科技企业的战略重点。 当前，智能体正朝着面向特定领域的定制化实体方向演进，即针对特定场景和任务进行专门设计。在这一背景下，如图1所示，许多任务往往需要多个智能体协作完成，这些智能体可能分布于全球互联网上。在这种条件下，智能体通信成为未来AI生态系统的基础，能够支持智能体发现具备特定能力的其他智能体、访问外部知识、分派任务及完成其他交互。基于这一庞大的通信需求，越来越多的研究社区和企业开始抢占先机，投身于智能体通信的发展。 2024年11月，Anthropic提出了模型上下文协议（Model Context Protocol，MCP）【16】，这是一个通用协议，允许智能体调用外部环境，如数据集、工具和API。MCP在近几个月内迅速引起广泛关注，截至目前，已有数百家企业宣布接入MCP，包括OpenAI【203】、Google【87】、Microsoft【53】、Amazon【21】、阿里巴巴【10】和腾讯【251】，MCP软件包的每周下载量已超过300万次【17】。2025年4月，Google又提出了Agent to Agent协议（A2A）【218】，该协议支持智能体之间的无缝通信与协作。自发布以来，A2A获得了包括Microsoft【188】、Atlassian【149】和PayPal【229】等多家企业的广泛支持。由此可见，智能体通信的突破正带来迅速且深远的变革，并将成为AI生态系统不可或缺的一部分。 然而，智能体通信的迅猛发展也带来了复杂的安全风险，可能对AI生态系统造成严重破坏。例如，不同组织间的智能体协作显著扩大了攻击面，可能引发严重的安全威胁，包括但不限于隐私泄露、智能体伪造、智能体欺凌以及拒绝服务（DoS）攻击。由于智能体通信研究尚处于初期阶段，急需对整个通信生命周期中存在的安全问题进行系统性回顾。顺应这一趋势，本文旨在对现有的智能体通信技术进行全面梳理，分析其中的安全风险，并探讨相应的防御对策。我们相信本研究将对广泛读者群体有所帮助，无论是投身于智能体研发的科研人员，还是刚入门的AI初学者。 本文的主要贡献如下： * 首次系统性综述智能体通信：我们首次提出智能体通信的定义，并按通信对象将其划分为三个阶段：用户-智能体交互、智能体-智能体通信、智能体-环境通信。该分类覆盖了智能体通信的完整生命周期，同一阶段的通信协议通常具有相似的攻击面，有助于后续研究更方便地进行分析与评估。 * 深入分析智能体通信发展过程中的安全风险：我们讨论了已发现的攻击方式以及尚未揭示的潜在威胁。分析表明，用户-智能体交互主要面临来自恶意或错误用户输入的威胁，智能体之间的通信则易受到来自其他智能体或中间人的攻击，而智能体-环境通信则可能被受损的外部工具和资源所影响。 * 详细探讨有针对性的防御对策：我们指出了针对已识别安全风险的可能防护方向。例如，用户-智能体交互需要有效过滤多模态输入；智能体-智能体通信需要强大的机制来监控、归档、审计并量化协作中行为的责任；智能体-环境通信则应依赖于对外部环境中“中毒”内容的强力检测机制。 * 最后讨论开放问题与未来研究方向：我们不仅指出了急需发展的防护技术，还强调相关法律与监管体系亦需尽快完善。只有技术和法规双轮驱动，才能切实保障智能体通信在现实中的安全性。

文章结构

如图2所示，本文的组织结构如下：第二节对比相关综述，突出本文的创新点；第三节介绍研究所需的基础知识；第四节提出智能体通信的定义与分类；第五至第七节依次介绍用户-智能体交互、智能体-智能体通信、智能体-环境通信中的协议、安全风险及防御对策；第八节讨论该领域的开放问题与未来研究方向；第九节为本文的总结。