在现代分布式系统中,智能体(Agent)之间的信任机制默认是缺失的。设想一个场景:您的网络中有一个支付代理,它接收对“/charge”的POST请求。然而,它无法确定这个请求是来自您的订单代理、一个重放令牌,还是网络上的其他任何未经授权的来源。这并非理论风险,而是一个实实在在的安全漏洞。
多智能体电商系统是智能体信任问题凸显的典型案例。这类系统通常包含:
- 支付代理:负责收款和退款,风险等级高。
- 库存代理:负责预留和释放库存,风险等级中。
- 履约代理:负责将客户数据传递给LLM以创建运输标签和通知,风险等级中。
如果任何一个代理接受了来自错误源的调用,或者没有其批准操作的密码学记录,它都将成为潜在的安全隐患。
我们正在构建什么?
我们致力于构建一个四智能体订单系统,其中每个智能体对之间都通过密码学契约进行安全通信。这个系统包含以下智能体:
- 订单代理:分类传入订单,路由至正确代理(低风险)。
- 库存代理:检查库存,预留商品,触发补货(中风险)。
- 支付代理:处理收款、退款和交易核对(高风险)。
- 履约代理:创建运输标签,通过LLM通知客户(中风险)。
系统的安全性核心在于:每一次智能体间调用都必须附带一个签名的契约。没有契约,即无权访问。这些契约强制执行范围化的权限——一个智能体只能执行其契约明确允许的操作。
第一步:注册智能体并签发范围化契约
每个智能体都会获得一个Ed25519密钥对和一个DID:key身份。这些权限范围并非运行时可更改的配置值,而是通过密码学手段进行绑定和强制执行的。
具体操作包括:
- 注册智能体:为订单代理、库存代理、支付代理和履约代理进行注册,这通常会为它们生成密钥对。
- 签发契约:针对智能体对签发契约,例如,“订单代理”与“库存代理”之间的契约会明确其可以执行的操作,如“inventory:reserve”、“inventory:release”和“inventory:check”,并设置一个生存时间(TTL)。
- 精细化权限控制:在“订单代理”与“支付代理”的契约中,可以明确指定仅允许“payment:charge:max_10000usd”等操作,而刻意排除“退款”权限。这意味着,要处理退款,必须通过签发一个单独的、具有退款权限的契约来实现,从而实现更严格的权限管理和职责分离。
通过这种方式,系统确保了即使在内部网络中,智能体间的通信也建立在最小权限原则和密码学证明之上,极大地提升了系统的整体安全性。