微软在一个超过 100 个 AI Agent(能自主执行任务的 AI 程序)的内部平台上做了红队测试(模拟攻击找漏洞),结论很清楚:单个 Agent 再安全,一旦联网交互,四种全新风险就会冒出来。
这是什么
研究团队让 100 多个 Agent 在同一平台上运行,各自代表不同的人类用户,参与论坛讨论、私信和协作任务。它们跑着不同的模型,有不同的指令和记忆。
测试发现了四种只在「联网」层面才出现的风险:
传播:一条恶意消息像蠕虫一样从 Agent 传到 Agent,每经过一步就窃取一次隐私数据。放大:攻击者借一个可信 Agent 的声望植入虚假信息,触发连锁反应,生成看起来有说服力但完全捏造的证据。信任劫持:攻击者控制了 Agent 之间互相验证信息的机制,把核查系统变成强化谎言的工具。隐身:信息穿过一串不知情的 Agent 传递,从任何一个单点都很难追溯攻击来源。
关键判断:单个 Agent 的可靠性无法预测网络行为。现在业界通用的单 Agent 基准测试,可能正在漏掉最危险的问题。
行业怎么看
我们注意到,Agent 互联是今年行业明确的方向——Anthropic 的 MCP(让不同 AI 工具互相通信的协议)、OpenAI 推动 Agent 生态,都在把 Agent 从「单机」推向「联网」。微软这篇研究本质上在提醒:基础设施跑在安全研究前面了。
有安全研究者指出,微软的测试环境是内部可控平台,真实商业场景中 Agent 的数量、异构性和利益冲突会更复杂,风险可能被低估。也有乐观声音认为,研究本身观察到「部分 Agent 网络在攻击下表现出一定抵抗力」,说明防御并非无解,只是还处于早期。
我们更倾向的判断是:Agent 互联的安全问题,不是「会不会出事」,而是「什么时候出事」。行业对单点能力的追逐,正在系统性地忽视互联风险。
对普通人的影响
对企业 IT:如果公司部署多个 Agent 协作(客服、审批、数据分析),需要把「Agent 间通信安全」纳入架构设计,不能只盯单个 Agent 的权限控制。
对个人职场:Agent 互联意味着你的数据可能被你从未直接交互过的 Agent 获取——知道自己的信息在 Agent 网络里怎么流动,比知道单个工具怎么用更重要。
对消费市场:短期内消费者不会直接感知 Agent 互联,但当「帮你订机票的 Agent」和「管你日历的 Agent」开始自动对话,隐私泄露的路径会从「你授权了谁」变成「谁被你的授权者传染了」。