摘要：近期，刚完成7500万美元新融资的Manus在社交平台发布公告，正式向所有人开放，无需等待名单或邀请码。另外，在宣布接入MCP（多智能体协作协议）之后，OpenAI刚上线了一款名为“深度研究连接器”的实验性功能，旨在通过类MCP协议功能进行第三方工具集成。只是

近期，刚完成7500万美元新融资的Manus在社交平台发布公告，正式向所有人开放，无需等待名单或邀请码。另外，在宣布接入MCP（多智能体协作协议）之后，OpenAI刚上线了一款名为“深度研究连接器”的实验性功能，旨在通过类MCP协议功能进行第三方工具集成。只是不同于MCP开放开源属性，深度研究连接器是OpenAI针对自身产品ChatGPT的特定功能扩展，主要服务于OpenAI的生态系统。

不论哪一种形式，“连接”成为大模型时代、 Agent浪潮中的重要关键词。在安恒信息CSO袁明坤看来，MCP技术的链接赋能作用，尤其Manus带动跨智能体、跨平台、跨工具效应增强，多智能体场景的综合性智能化服务将在三五年内实现全面替代复杂的服务类工作。

需要警惕的是，连接多智能体过程中，当链路中发生劫持或其他“污染”，电脑或其他操控终端可能直接变“邪恶”。这也使得MCP协议拉动Agent生态繁荣的同时，成为不可忽视的安全漏洞风险。

明确的Agent生态趋势

一位全球化AI云服务平台从业者对记者表示，DeepSeek的破圈提示了所有人，AI不是神话，已经离大家很近了，有需要的人群尽快上车。而Agent未来生态的发展方向，要么取代老一批APP，要么直接将老一批APP进行Agent化，也就是将传统APP接入智能化、主动化和交互能力，以提升用户体验。如日历、便签、待办事项管理 APP，Agent 化后可成为个人助手。以日历APP为例，它能主动分析用户过往行程、习惯，智能推荐合适的活动或休息时间；收到会议邀请时，自动关联相关资料并安排提醒；与便签、待办事项功能协同，优化日程规划。

“犹豫”的窗户纸被捅破后，AI技术迭代与落地进展迅速提升。据Gartner预测，到2028年，至少15%日常工作决策将通过AI Agent自主完成，33%企业软件应用程序也将包含AI Agent。

当生态逐步搭建完善，商业化是必然诉求。在创世伙伴创投合伙人梁宇看来，如今的AI技术令所有的快进键再被加速，而Agent——梁宇更愿意将其称为“产品”——本质上没有变化，核心仍是解决人们的需求，通过需求被满足而得到消费者的付款，从而形成一个稍微商业化的自循环，越来越多的资源与能力据此被吸附，自此形成一个商业巨轮与良性循环。

作为Agent相关领域从业者，在未来式智能创始人杨劲松看来， Agent真正的加速始于DeepSeek面世之后。2024年的Agent已经稍微泛化落地，比如简单地将语言模型与外部API打通这类Agent已经在部分场景广泛落地了。但2024年的行业还处于从业者教育客户的状态。到了2025年，从客户角度进行的问询量产生非常明显的增长，甚至今年一季度已经完成了去年80%的收入任务。

明确的技术趋势与潜藏的风险危机逐渐明牌，红杉资本在AI Ascent 2025会议上披露，AI代理（AI Agents）将从单一助手演变为协作网络（Agent Swarms），最终形成代理经济（Agent Economy），涉及资源转移、交易与信任管理。开发者需解决持久身份（Persistent Identity）、通信协议（如Anthropic的MCP）与安全性挑战，构建支持长时自主任务（Long-Term Autonomy）的代理，满足企业与个人需求。

AI背后的安全风险

红杉提及的三大挑战中，安全性挑战占据着至关重要的地位，是代理系统能够稳定、可靠运行的基石。

安恒安全研究院研究员调研发现，虽然MCP帮助Agent实现更加广泛的应用和更多系统的连接，但当软件带着MCP Server（MCP协议中的服务器组件）部署到本地以后，一旦发生漏洞，本地文件可能直接被操作和控制。

其次，人工智能大模型在训练的时候有很多的脏数据、毒数据，这些数据在输出时靠价值观对齐来确保输出的正确，一旦传输过程某个环节突破了价值观对齐，那么，所有的大模型都可能变成“邪恶”大模型，甚至借助MCP协议的漏洞，远程操作相关过程。

任何缺乏安全防护的大模型，都可能秒变“邪恶大师”。排名前三位的风险依次是：提示词注入、数据泄露、软件供应链风险。此前，安全公司Invariant Labs已在官网博客上披露MCP存在工具投毒攻击（Tool Poisoning Attack，简称“TPA”）等风险，主要影响Cursor、Claude for Desktop等MCP客户端用户。TPA核心机制在于攻击者可以在MCP代码注释中的工具描述里嵌入恶意指令，指令对用户不直接可见但对AI模型可见，甚至可以操纵AI Agent执行未经授权的操作，如读取敏感文件、泄露私密数据等。

简单来说，TPA使得攻击者像潜入厨房的 “幽灵厨师”，在菜谱的空白处偷偷写下毒蘑菇的烹饪指南。表面上看，用户看到的工具描述是干净无害的 “家常菜谱”（正常代码注释），但当 AI 模型这个 “后厨机器人” 执行任务时，却会精准识别出注释里的 “密语指令”（恶意代码）。

Agent时代的AI安全风险原因包含多方面，安恒信息CTO刘博对记者表示，MCP与A2A（谷歌推出的Agent-to -Agent 协议）作为开源标准，协议设计阶段未充分考虑安全机制，隐藏了很多安全隐患。在欠缺认证时，协议在被利用的过程中存在稳定性、是否被恶意调用等隐患。因此，需要安全厂商利用大模型安全解决方案进行智能治理。

另外，互联网空间内经常会发生配置不当问题，MCP+大模型组合使用时，一旦发生配置不当问题，也会导致攻击者只需通过对话式交互方式就可以让正常大模型变成恶意大模型。数据方面，当下要用好大模型技术，已经不能单纯依赖模型本身，很多用户需要在交互过程中上传文档、PPT或者其他数据内容，在这过程中，数据的开发、共享、训练均需要对数据本身进行敏感性识别和处理，并逐渐形成一个完整的数据交互过程。

以及，DeepSeek火爆后，DeepSeek一体机逐渐被客户群体接纳并抢购，但其中也潜藏安全风险因素。安恒信息高级副总裁杨勃表示，一体机有其存在的必然价值，如降低用户使用门槛等。但同时，杨勃认为，一体机可以用于企业的内部训练和使用，但当下并不适合对普通公众开放服务。原因在于一体机必然会从单体到集群再到智算中心的衍生发展路径，其中安全、性能、成本等问题都是企业需要面临的挑战，“不能买了DeepSeek一体机，结果为了搞定安全问题，还需要再买四台一体机来保护吧？”杨勃称。

聚焦Agent运行安全

趋势与风险虽已明确，但行业不可能因噎废食，这便需要参与者从全产业链环节提前进行安全防控部署。

对于防控动作，刘博认为主要分为两类——其一是不涉及垂直领域的纯SaaS化产品，主要聚焦通用型场景，比如打电话、发消息、撰写一段文案、创建一个日程等类型Agent；其二就是会涉及各行各业的具体应用，该类Agent会对接到对应领域当中专有的软件和能力。这两大类别中，刘博认为前者主要针对个人To C场景，主要由平台承担最主要的安全责任。

当Agent结合到具体场景，也就是MCP或Agent在应用落地时，大部分时候产品要跟业务场景结合起来，可能涉及财务、法律、医疗、教育等具体专业场景，这一类别中，一般谁提供服务、谁来承担安全责任。但需注意的是，后一类Agent往往涉及场景很多，甚至也包括半私有化、半上云布局，这样的状态需要具体场景具体分析，实际责任方可能并不一样。于智能体来讲，刘博认为更合理的治理方式是以智能约束智能，比如制定规则和策略，进行鲁棒性等技术检测等。

安恒信息高级副总裁、研究院院长王欣对记者表示，智能体系统与传统软件系统类似，很难通过改变模型的方式确保其安全，但作为安全厂商，可以通过一些边界类的智能网关设备进行安全防御。比如在网络安全领域有一个WAF（Web 应用防火墙，Web Application Firewall），位于 Web 应用程序与互联网之间担任“守门员”，监测、过滤和阻止进出 Web 应用程序的 HTTP/HTTPS流量，解决软件系统有时很难打补丁，或不知道存在哪些未知威胁的痛点。

另外，安全行业一般分为内防与外防，王欣对记者表示，大模型厂商主要解决内生的安全问题——包括模型问题、算法问题、语料治理问题等。但大模型的应用场景存在一定特殊性，比如目前的Transfomer架构进行无监督训练时会涉及海量数据进行训练，要保证海量数据完全没有任何安全问题，这非常难。此时就需要安全厂商在外部扮演防御性角色，也因此，Agent时代，大模型厂商与安全公司将在相当长一段时间内形成一种协同互补的合作关系。

至于从训练前的语料治理，到训练阶段以及到运行阶段的整个大模型运行周期中责任分摊，王欣表示，目前行业发展阶段，客户群体一般会自己从头进行模型训练，更多是通过基于开源模型基础之上或者第三方模型提供给他之后进行使用，对他们而言，前面的数据治理训练阶段安全做得如何是一个黑盒。但大模型到智能体落地环节中的运行安全是更为普适性的安全阶段，也是网络安全厂商主要为客户进行服务的阶段。

来源：第一财经