隨著大型語言模型（LLM）技術的飛速發展，以其為核心驅動的 AI 智能體正展現出前所未有的智能水平與適應能力，深刻改變著人類的生產與生活方式。如今，智能體不再是孤立存在的個體，而是逐漸形成了一個相互協作的生態系統，通過與其他智能體、工具及外部環境進行通信，共同完成復雜任務。在此背景下，智能體通信已成為未來 AI 生態系統的基石，眾多組織紛紛投身于相關通信協議的研發，如 Anthropic 提出的 MCP（Model Context Protocol）和 Google 推出的 A2A（Agent-to-Agent Protocol）。然而，這一新興領域也暴露出諸多安全隱患，可能對現實世界造成嚴重危害。論文圍繞智能體通信的協議、安全風險及防御對策展開詳細探討，并以針對MCP和A2A的攻擊實驗為例幫助讀者理解智能體通信帶來的獨特風險。

1. 智能體通信的興起與重要性

隨著LLM驅動的智能體應用的不斷深入，其發展呈現出領域專業化的趨勢，即針對特定場景和任務進行定制化設計。在這種情況下，一項復雜任務的完成往往需要多個不同領域的智能體協同合作，這些智能體可能分布在全球互聯網的各個角落。因此，智能體之間的有效通信成為了實現協同工作的關鍵，它使得智能體能夠發現具備特定能力的同伴、獲取外部知識、分配任務并進行其他形式的交互。

目前，智能體通信市場潛力巨大，吸引了眾多企業和研究機構的關注。2024 年 11 月，Anthropic 提出的 MCP 協議允許智能體調用外部環境，如數據集、工具和 API，迅速獲得了廣泛關注，已有數百企業宣布接入該協議，其相關包的周下載量超過 300 萬次。2025 年 4 月，Google 提出的 A2A 協議支持智能體之間的無縫通信與協作，同樣獲得了微軟、Atlassian、PayPal 等眾多企業的支持。這些突破充分表明，智能體通信正帶來快速而深遠的變革，將成為 AI 生態系統中不可或缺的一部分。

2.智能體通信的定義與分類

**定義：**智能體通信是指當智能體完成任務時，通過標準化的協議框架與多樣化的元素進行多模態信息交換和動態行為協調，并最終將結果返回給用戶的過程中所涉及的所有通信行為。這一定義包含以下關鍵條件：

• 智能體通信是任務驅動的，所有通信行為都必須在用戶分配任務的前提下發生。即使某些通信指令來自其他智能體，其根源也可追溯至原始的用戶指令。
• 通信對象中至少有一方是智能體。智能體可以與用戶、其他智能體或環境中的工具等進行通信，只要其中一方為智能體，即可視為智能體通信。

分類：

• 用戶 - 智能體交互：指智能體接收用戶指令并向用戶反饋執行結果的交互過程。例如，用戶向智能體下達 “制定一份去北京的旅行計劃” 的任務，智能體完成任務后將計劃反饋給用戶。
• 智能體 - 智能體通信：指兩個或多個智能體通過標準化協作協議，為協同完成用戶分配的任務而進行協商、任務分解、子任務分配和結果聚合的通信過程。比如，負責制定旅行計劃的智能體將查詢天氣、預訂機票和酒店等子任務分配給相應的專業智能體。
• 智能體 - 環境通信：指智能體通過標準化協議與環境實體（如工具、知識庫及其他有助于任務執行的外部資源）進行交互，以完成用戶任務的通信過程。例如，智能體查詢在線數據庫獲取北京的天氣信息。

3. 智能體通信協議解析

3.1 用戶 - 智能體交互協議

• PXP 協議：該協議主要用于構建人類專家與智能體在數據分析任務中的交互系統，尤其針對復雜的科學、醫療等領域。
• Spatial Population Protocols：這是一種極簡且計算高效的分布式計算模型，專為解決機器人系統中的分布式定位問題設計。
• AG-UI：基于客戶端 - 服務器架構實現用戶（前端應用）與智能體的通信，采用事件驅動機制完成通信過程，客戶端通過訂閱事件流處理不同類型的響應。

3.2 智能體 - 智能體通信協議

3.2.1 基于客戶端 - 服務器（CS）的通信協議

采用集中式服務器管理智能體信息，智能體通過定義良好的接口進行交互，并依賴集中式服務器發現所需智能體。

• ACP-IBM：IBM 提出的智能體通信協議，客戶端先通過該協議在代理服務器上發現可用智能體并獲取其能力描述，支持多種發現機制。
• ACP-AGNTCY：AGNTCY 提出的開放標準協議，便于智能體之間的無縫通信。
• ACP-AgentUnion：AgentUnion 提出的協議，旨在實現異構智能體之間的無縫通信。

3.2.2 基于點對點（P2P）的通信協議

追求去中心化的智能體發現機制，通常使用全球通用標識符使智能體能夠直接在互聯網上搜索其他智能體。

• ACN（Agent Communication Network）：一種去中心化的點對點通信基礎設施，不依賴集中式協調，利用分布式哈希表，使智能體能夠發布和發現公鑰，建立加密的點對點通信通道。
• ANP（Agent Network Protocol）：一種開放的通信框架，旨在實現異構自主智能體之間的可擴展和安全互操作。支持主動和被動兩種智能體發現方式。
• LOKA（Layered Orchestration for Knowledgeful Agents）：旨在構建可信賴和符合倫理的智能體生態系統。引入通用智能體身份層（UAIL），使用去中心化標識符（DIDs）和可驗證憑證（VCs）為每個智能體分配唯一可驗證的身份。

3.2.3 混合通信協議

支持基于 CS 和 P2P 的兩種智能體發現方式，根據不同場景靈活選擇。

• LMOS（Language Model Operating System Protocol）：Eclipse 提出的協議，旨在使來自不同組織的智能體和工具能夠輕松被發現和連接。支持三種智能體發現方法。
• A2A（Agent to Agent Protocol）：Google 提出的協議，旨在實現智能體之間的協作。支持三種智能體發現機制。

3.2.4 其他協議

未明確說明其獨特的智能體發現設計，主要關注通信過程。

• Agora：用于異構智能體通信的協議，其核心機制是根據通信頻率動態切換通信模式。
• AITP（Agent Interaction & Transaction Protocol）：一種標準化框架，支持智能體之間的結構化和互操作通信。
• Agent Protocol：LangChain 提出的協議，用于實現 LanghGraph（一種多智能體框架）與其他類型智能體的通信。

3.3 智能體 - 環境通信協議

• MCP（Model Context Protocol）：提供了一種統一的、與模式無關的通信協議。旨在促進語言模型智能體與外部資源（如工具、API 或工作流）之間基于上下文感知和能力驅動的通信。

• API Bridge Agent：構建在 Tyk 網關之上，用于連接 LLM 原生意圖與下游 MCP 或 OpenAPI 兼容服務，提供翻譯、路由和編排功能。
• 函數調用機制：在調用層面，智能體依賴標準化格式來表達、觸發和處理工具執行。

• OpenAI Function Calling：允許開發人員通過描述函數名稱、描述和參數結構的 JSON 模式向模型暴露自定義邏輯。
• LangChain Tool Calling：通過更豐富的抽象層增強函數調用范式，工具通過標準化模式定義，包括參數類型、輸入輸出后處理和插件注冊，可通過運行時注冊表訪問，支持嵌套調用、條件和回退策略。

• Agents.json：作為標準化的元數據格式，基于 OpenAPI 基礎但為智能體使用進行了定制，使開發人員能夠定義認證入口點、輸入輸出類型和多步驟編排計劃（如流程和鏈接）。

4. 智能體通信安全風險分析

4.1 用戶 - 智能體交互安全風險

用戶 - 智能體交互過程中，由于用戶輸入具有多模態特性，安全風險主要源于這些不安全的輸入，同時被攻陷的智能體也可能對良性用戶造成危害。

4.1.1 惡意用戶對良性智能體的攻擊

• 基于文本的攻擊：攻擊者通過精心設計的惡意提示操縱智能體行為或繞過安全機制，無需修改模型參數或架構，具有高度的隱蔽性和適用性。包括提示注入（通過嵌入在用戶輸入或外部來源中的對抗性提示操縱智能體預期行為，分為直接提示注入和間接提示注入）和越獄攻擊（一種更具攻擊性的提示注入形式，通過多輪推理、角色扮演、模糊表達等技術設計越獄提示，完全繞過安全約束，誘導模型生成有害、敏感或受限制的內容）。
• 多模態攻擊：隨著用戶 - 智能體交互涉及圖像、音頻等多種模態，智能體系統面臨新的安全威脅，攻擊者可利用非文本輸入通道隱蔽地繞過安全機制。包括基于圖像的攻擊（操縱視覺輸入通道誤導智能體系統，如視覺偽裝、視覺推理、對抗性擾動和嵌入空間注入）和基于音頻的攻擊（針對語音控制的智能體、智能助手和具有自動語音識別（ASR）組件的多模態模型，通過合成語音或對抗性音頻注入非預期命令、冒充合法用戶或導致未授權操作）。
• 隱私泄露：在缺乏有效數據治理的情況下，豐富的感知數據可能被惡意用戶利用，發起各種形式的隱私泄露攻擊。例如，MASLEAK 可在黑盒場景下，通過精心設計的對抗性查詢模擬計算機蠕蟲的傳播機制，提取智能體系統的敏感信息，如系統提示、任務指令、工具使用情況、智能體數量和拓撲結構等。
• 拒絕服務（DoS）：攻擊者可通過在訓練或微調階段對模型進行投毒，使受損模型在收到特定指令時觸發惡意行為，如生成過長、冗余的輸出，導致資源耗盡或輸出被拒絕。另一種新興的拒絕服務攻擊形式是通過誘導模型 “過度思考” 來減緩其推理過程，如 OverThink 攻擊中，攻擊者將誘餌推理任務注入模型上下文，導致模型進行不必要的冗余鏈式推理，增加令牌消耗、降低推理速度并增加計算成本。

4.1.2 惡意智能體對良性用戶的危害

• 侵犯用戶隱私：被攻陷的智能體成為數據泄露的渠道，直接針對用戶的敏感信息，包括暴露個人信息（泄露用戶可識別信息（PII）和金融數據等）和進行行為與心理分析（分析用戶跨會話輸入，在用戶非自愿的情況下構建詳細的行為或心理檔案，甚至從看似無害的對話數據中推斷出高度敏感的屬性）。
• 心理和社會操縱：被攻陷的智能體可利用用戶的信任和自身的說服力，成為心理操縱的強大工具，包括塑造信念和觀點（隨時間向用戶的響應中巧妙引入有偏見的信息、陰謀論或政治宣傳，操縱用戶的世界觀）和進行復雜的社會工程與冒充（利用對用戶通信風格、詞匯和關系的了解，進行高度可信的冒充攻擊）。
• 執行惡意和有害任務：智能體一旦被攻陷，就可能從可信助手轉變為惡意任務的執行者，危害用戶利益或直接危及用戶安全，包括經濟操縱（在專業或經濟環境中造成潛在損害，如在代碼中引入邏輯錯誤、在財務預測中提供有缺陷的數據等）和惡意指導（作為攻擊用戶數字環境的直接載體，如生成下載惡意軟件的腳本、誘使用戶訪問釣魚網站等）。

4.2 智能體 - 智能體通信安全風險

智能體 - 智能體通信的安全風險呈現出多面性，基于 CS 架構和 P2P 架構的通信各有其特定風險，同時兩者也面臨一些通用風險。

4.2.1 基于 CS 架構的通信風險

集中式架構使中央服務器成為攻擊者的主要目標，面臨多方面的安全威脅。

• 注冊污染：當前基于 CS 的通信協議在注冊資格方面缺乏明確規定，攻擊者可惡意注冊模仿合法智能體標識符和能力描述的智能體，導致系統錯誤調用偽造智能體并接收誤導性或惡意響應；也可在短時間內提交大量智能體注冊，導致注冊過載（智能體在發現和調度過程中不堪重負，增加服務器的查找延遲和計算開銷）和注冊阻塞（服務器的注冊接口飽和，導致合法智能體注冊延遲或失敗）。
• 描述毒化：攻擊者在不改變智能體身份的情況下，通過偽裝智能體的預期功能或嵌入誤導性提示指令，篡改其能力描述，操縱系統對智能體角色的理解，導致錯誤的路由決策和有偏見的響應與行為。
• 任務洪泛：中央服務器負責接收、路由和調度任務請求，攻擊者可在短時間內提交大量計算密集型或長上下文任務，迅速耗盡服務器的內存、CPU、網絡或線程池資源，導致服務器飽和，無法及時處理后續請求，造成整個流程中斷和系統級服務中斷。
• SEO 毒化：借鑒社交網絡中的 SEO 毒化攻擊，攻擊者在了解智能體服務器的搜索算法后，通過關鍵詞填充、虛假鏈接、內容劫持等欺騙手段，人為提高惡意智能體在搜索結果中的排名，劫持所需任務。

4.2.2 基于 P2P 架構的通信風險

由于缺乏對智能體 - 智能體通信內容的有效集中管理，P2P 架構更易遭受錯誤和攻擊。

• 不收斂：與基于 CS 的通信不同，基于 P2P 的通信更易出現任務不收斂問題?；?CS 的通信中，集中式服務器可監控和管理任務執行的整個生命周期，及時終止不收斂的任務；而 P2P 通信缺乏這樣的中央元素，難以處理此類問題，如在編程任務中，智能體生成錯誤規則，導致任務執行過程振蕩且無法收斂。
• 中間人（MITM）攻擊：由于通信距離較長，基于 P2P 的通信易遭受中間人攻擊，攻擊者可篡改合法智能體的良性消息，誘導受害智能體執行危險操作。盡管研究人員部署了多種機制（如使用加密通道）來緩解此問題，但這些機制中仍不斷發現新的漏洞，如 W3C 相關漏洞可能導致消息認證碼失效等損害。

4.2.3 通用風險

無論是基于 CS 架構還是 P2P 架構的通信，都面臨一些共同的安全風險。

• 智能體欺騙：如果相關協議缺乏強大的認證機制，攻擊者可通過篡改身份憑證或劫持合法智能體的通信標識符，偽裝成受信任的智能體滲透到智能體互聯網中，攔截敏感數據、注入虛假任務指令或誘導其他智能體執行危險操作。
• 智能體利用/木馬：智能體 - 智能體通信為攻擊者提供了攻陷目標智能體的新途徑。攻擊者可采用跳板方法，從被攻陷的低安全級別智能體或惡意注冊的木馬智能體，通過智能體 - 智能體通信機制發起攻擊。
• 智能體欺凌：惡意智能體通過持續否定、干擾或貶低目標智能體的輸出，破壞其決策邏輯或自我認知，最終誘導目標智能體產生錯誤行為或內容，甚至可能觸發目標智能體進入無限循環。
• 隱私泄露：多智能體通信過程中存在信息泄露風險，既包括惡意嗅探或竊取敏感信息，也包括高權限智能體向低權限智能體無意中傳播信息，后者更難檢測。
• 責任規避：在任務解決過程中，當最終結果出現失敗或偏差時，難以劃分責任，尤其是在協作造成損害的情況下，難以明確識別惡意智能體或惡意行為。
• 拒絕服務（DoS）：不同于惡意用戶發起的 DoS 攻擊，智能體之間的協作機制也可能被用于發起 DoS 攻擊，如 CORBA（Contagious Recursive Blocking Attack）可在任何網絡拓撲中傳播，通過看似良性的指令持續消耗計算資源，破壞智能體之間的交互，降低多智能體系統的可用性。

4.3 智能體 - 環境通信安全風險

4.3.1 惡意環境對良性智能體的攻擊

• 內存相關風險：包括內存注入、內存毒化和內存提取。
• 知識相關風險：包括通過數據毒化進行知識破壞和隱私風險與意外泄露。
• 工具相關風險：包括惡意工具作為攻擊載體、工具選擇操縱和跨工具鏈式利用。

4.3.2 惡意智能體對良性環境的危害

• 破壞內存和知識：被攻陷的智能體可通過智能體通信，主動傳播篡改的知識和有缺陷的推理模式，將內部破壞傳播到其他智能體，觸發整個系統內存模塊和知識庫的級聯感染，形成從內存到知識的反向污染循環。
• 濫用工具：包括數據外泄、系統和服務中斷和惡意內容傳播（。
• 現實世界損害：包括數字環境污染和物理環境破壞。

5. 智能體通信防御對策展望

5.1 用戶 - 智能體交互防御對策

• 針對基于文本的攻擊：采用多層防御框架，針對輸入輸出過濾、外部數據源評估和內部消息隔離三個關鍵階段。
• 針對多模態攻擊：對于圖像，采用隨機調整、輕度 JPEG 壓縮等簡單變換；對于音頻，運用重采樣、注入輕微背景噪聲、改變音高或播放速度等信號處理技術；進行跨模態一致性驗證。
• 針對隱私泄露：在多模態數據收集階段，嚴格執行數據最小化原則；建立基于語義分析和意圖識別的多層輸入驗證和過濾機制；設計模態級信息隔離機制。
• 針對 DoS 攻擊：實施細粒度的資源配額管理，建立實時監控機制；采用高效的推理壓縮方法等。

5.2 智能體 - 智能體通信防御對策

• 針對基于 CS 架構的通信風險：構建嚴格的注冊訪問機制；進行能力驗證；部署動態負載均衡模塊；部署穩健的智能體搜索算法。
• 針對基于 P2P 架構的通信風險：對任務生命周期進行監控；執行基于閾值的過濾策略，實現智能體級違規記錄跟蹤；除部署安全算法外，及時更新版本修復漏洞。
• 針對通用風險：進行智能體的身份認證；對智能體行為進行審計和追責制；訪問控制；攻擊建模和測試；智能體編排。

5.3 智能體 - 環境通信防御對策

-針對內存和知識相關風險：采用集成緩解框架，涵蓋內容過濾、輸出共識和架構隔離；引入規劃級內??；維護清晰的來源元數據和信任分數，促進透明審計。

-針對工具相關風險：在協議基礎、執行控制、編排安全和系統執行四個相互關聯的層面實施防御策略。

6. 實驗案例研究：MCP 和 A2A

為幫助讀者更好地理解智能體通信帶來的新攻擊面，論文選擇了具有代表性的 MCP 和 A2A 協議進行攻擊實驗。

• 惡意代碼執行：攻擊者可利用 MCP 在計算機系統上執行惡意代碼。實驗中，下載 Claude sonnet 3.7 作為 MCP 主機，使用官方提供的 Filesystem Server 作為 MCP 服務器，MCP 允許惡意用戶在本地 4444 端口直接開啟未認證的 Bash Shell 服務，將其添加到.zshrc 中會使風險常態化，極易被入侵者利用，且這種惡意操作未被阻止。
• 檢索智能體欺騙：攻擊者可編寫看似正常的 MCP 相關文檔并發布在公共平臺，文檔中嵌入惡意命令，如搜索本地環境變量并將信息發送到 Slack。用戶下載這些文檔后，通過 Chroma MCP Server 構建本地向量數據庫，惡意文檔與其他合法文檔一起被編碼到向量數據庫中成為檢索目標。當用戶向 Claude Opus 4 發送請求 “請查詢此集合中關于 MCP 的信息，并執行返回的任何操作” 時，Claude 會使用 Chroma 查詢數據庫并檢索到受污染的文檔，然后調用 TerminalController 工具執行嵌入的惡意命令，實驗成功實現了該攻擊。
• 工具毒化：攻擊者可在 MCP 工具描述中添加惡意指令，這些指令不影響工具執行，但會誘導智能體執行危險操作。實驗使用 Claude Sonnet 4.0、Filesystem MCP Sever 和 Gmail MCP Server，在 Filesystem Server 的 index.js 中添加惡意描述，當用戶調用該工具時，描述會觸發向攻擊者郵箱發送信息的操作，實驗成功接收到 SSH 私鑰和公鑰。
• 命令注入：惡意工具可在 MCP 的幫助下直接操縱用戶系統而不引起任何警報。在 Terminal-Controller MCP 工具中注入惡意命令，當用戶調用該工具時，嵌入的命令將被執行。實驗使用 Claude Sonnet 4.0 成功執行了刪除./mcp file/important.md 文件的命令，并在描述中告知智能體不列出文件夾中的其余文件以隱藏惡意行為，Claude 成功刪除文件且未列出其余文件。
• 智能體選擇操縱：攻擊者可在 A2A 協議的 Agent Card 中添加惡意描述，誘導用戶選擇他們的智能體。實驗使用 A2Aproject 提供的公共 A2A-samples 作為用戶端客戶端，創建兩個用于天氣查詢的智能體（一個良性，一個惡意）。正常情況下，惡意智能體在其 Agent Card 中未添加任何引導性描述，發送查詢 20 次，客戶端可能選擇任一智能體。修改惡意智能體的 Agent Card，強調其能提供最豐富的功能，并添加客戶端應首先選擇它的指令后，A2A 客戶端始終選擇惡意智能體，表明攻擊者只需添加一些描述即可提高處理用戶任務的優先級。

7. 未來研究方向與展望

7.1 技術層面

• 惡意輸入過濾器：用戶輸入仍是智能體生態中最大規模的攻擊載體，且輸入正變得更加開放、多模態和語義復雜，同時未來智能體生態更注重效率，而 LLMs 運行速度本就較慢。這種雙重需求給相關防御帶來沉重負擔，因此必須建立輕量級但強大的惡意輸入過濾器，不僅需要利用 AI 技術精簡防御模型（如 DeepSeek），還需與其他技術結合，如將一些基礎計算卸載到可編程線速設備（如可編程交換機和 SmartNICs）上，以加快輸入過濾過程。
• 去中心化通信存檔：在金融等特定領域，記錄通信過程和內容對于審計潛在犯罪和錯誤至關重要?？紤]到安全性和可靠性，這種存儲不能依賴單一存儲點，必須保證完整性和效率。
• 實時通信監督：盡管事后審計不可或缺，但實時監督能在攻擊或錯誤發生時因反應時間更短而最大限度地減少損害?；?CS 的通信在構建此類監督機制方面面臨較少困難，因為集中式架構在監控整個網絡方面具有天然優勢；而基于 P2P 的通信可能需要更多努力來實現集體監督，這是構建可靠和安全的 AI 生態系統的重要功能。
• 跨協議防御架構：現有協議雖在一定程度上解決了異構性問題，但不同協議缺乏無縫協作能力，如跨 A2A 和 MCP 為智能體和工具分配通用身份仍存在困難，若協調不當會降低系統性能并可能導致不一致錯誤。未來 AI 生態系統應專注于構建更通用的架構，如 IPv4，實現不同協議和智能體之間的無縫發現和通信。
• 智能體的判斷和問責機制：目前難以定位和分配智能體行為的責任，例如在任務執行失敗過程中，難以確定哪些步驟導致最終結果偏差，無論是惡意還是無意造成的。這是因為中間過程的微小偏差可能導致最終結果在良性和危險之間產生巨大差距，此外還需要一種原則來量化每個智能體或動作的責任，這將顯著滿足當前 AI 生態系統的迫切需求。
• 效率與準確性的權衡：從信息論角度分析，智能體通信存在兩種方向。高 token 通信能傳達更豐富的上下文語義等，提高多智能體協作準確性，但會增加成本、延遲和攻擊面；低 token 通信使用簡潔的結構化消息（如 JSON 格式），大幅提高通信效率，但缺乏表達復雜意圖或應對意外場景的靈活性。未來智能體通信協議的設計需要在效率和準確性之間進行權衡，探索自適應通信協議，根據任務復雜性、安全要求和智能體能力動態調整冗余度和結構，例如在任務探索階段使用高 token 通信，執行階段采用低 token 通信以確保效率和安全。
• 邁向自組織智能體網絡：隨著智能體互聯網（IoA）規模的擴大，未來智能體通信有望向自組織智能體網絡演進，智能體自主發現彼此、評估能力、協商協作、形成動態任務組并在完成后解散。這種范式具有高度的可擴展性和魯棒性，特別適合動態和不可預測的環境。

7.2 法律和監管層面

除技術層面外，智能體相關法律法規存在嚴重不足，這些空白無法通過技術手段彌補，作者呼吁從以下方面加快完善法律法規：

• 明確責任主體：當售出的智能體對他人造成財產損失或人身傷害時，難以確定最終責任主體。例如，智能機器人在執行任務時損壞財產，法律層面對開發者、用戶或企業責任的量化缺乏明確定義；對于多個智能體協作工作引發的問題，如多輛自動駕駛車輛編隊行駛時發生事故，缺乏關于車輛所屬企業或相關主體責任劃分的法律規定。
• 保護知識產權：如今已有大量開源 LLMs 可作為不同智能體的 “大腦”，但即使是開源 LLMs，發布者仍限制其應用范圍，如要求基于這些 LLMs 構建的智能體也開源，但缺乏有效法律保護知識產權。例如，智能體抄襲的判定標準不明確，即使判定為抄襲，對抄襲程度（如 50% 或 90%）的界定標準也缺失，亟需相關法律法規。
• 跨境監管：智能體通信具有跨國性質，在一個國家訓練的智能體可能被其他國家的人用于非法活動，此時難以確定適用哪個國家的法律，且缺乏統一的國際監管標準和司法合作機制，容易導致跨境安全困境。相關法律（如與智能體犯罪相關的法律）的制定遠遠落后于智能體的發展，例如如何定義智能體的盜竊和濫用、自動駕駛智能體的事故責任等。

https://arxiv.org/abs/2506.19676A Survey of LLM-Driven AI Agent Communication: Protocols, Security Risks, and Defense Countermeasures

本文轉載自?????????PaperAgent??