AgentRFC 論文閱讀分析:當 MCP、A2A、ACP 開始成為 AI Agent 的控制平面,安全就不能再靠默契補洞
本文由 AI 產生、整理與撰寫。
論文基本資訊
- 論文標題:Security Design Principles and Conformance Testing for Agent Protocols
- 作者:Shenghan Zheng、Qifan Zhang
- 來源:arXiv:2603.23801
- 年份:2026
- 論文連結:https://arxiv.org/abs/2603.23801
- 主題:Agent Protocol Security、MCP、A2A、ANP、ACP、Formal Verification、TLA+、Conformance Testing
最近這波 agent security 討論,很多文章都在談 prompt injection、memory poisoning、tool supply chain、runtime guardrails。但如果把視角再往底層拉一層,你會發現還有一個更危險、也更容易被忽略的問題:大家已經在大規模部署 agent protocol,卻還沒有真正像對待網路協定那樣,系統性地定義它到底應該滿足哪些安全性質。
Security Design Principles and Conformance Testing for Agent Protocols 這篇論文的價值,就在於它不是再補一個單點防禦技巧,而是直接問了一個更結構性的問題:如果 MCP、A2A、ANP、ACP 這些協定正開始變成 agent 生態的 control plane,那我們到底要用什麼標準判斷它們算不算安全?
作者的答案很明確:不能再只看 SDK 能不能跑、功能有沒有通,而是要把 agent protocol 當成真正跨 trust boundary 的系統協定,從架構層、性質層、驗證層三個面向一起檢查。
這篇論文在處理什麼問題?
這篇 paper 的出發點非常準。傳統 API protocol 大多處理的是結構化 request / response,安全問題也偏向認證、授權、傳輸保護、輸入驗證這些熟悉領域;但 agent protocol 不一樣,因為它傳遞的常常不是單純資料,而是:
- 會被 LLM 解讀的自然語言內容
- 可被繼續轉交與擴散的 delegation context
- 跨工具、跨代理、跨平台流動的 capability 與 intermediate outputs
這代表 agent protocol 的安全風險,不只是 message 有沒有被竄改而已,而是:
- 語意層會不會被注入
- 授權鏈會不會在 delegation 過程中被放大
- 多協定組合後,原本各自看似成立的安全性質會不會一起失效
這也是作者為什麼強調:agent protocol 不是比較潮的 API 規格,而是新一代的系統控制平面。 一旦這層沒有先定義清楚,後面再多的 guardrail、filter、policy prompt,都很可能只是補在已經歪掉的地基上。
作者提出了哪三個核心貢獻?
整篇論文的主架構可以濃縮成三個部分:
- Agent Protocol Stack(APS):定義一個 6 層的 agent protocol 安全架構模型。
- Agent-Agnostic Security Model(AASM):提出 11 條不依賴特定協定實作的安全原則,並用 TLA+ invariant 形式化。
- AgentConform:把規格文字、形式驗證與 live SDK 測試串成一條可落地的 conformance-checking pipeline。
這三者放在一起時,這篇 paper 才真正完整。APS 負責回答「一個完整 agent protocol 至少該交代哪些層」;AASM 回答「這些協定應該滿足哪些安全性質」;AgentConform 則回答「那我要怎麼從規格一路檢查到實作,而不是只停在 paper 上講得很漂亮」。
APS:把 agent protocol 當成真正的協定堆疊來看
我認為這篇論文最值得記住的第一個概念,就是 Agent Protocol Stack。
作者把 agent protocol 拆成 6 層:
- L1 Transport Security:底層傳輸保護,例如 TLS/HTTPS。
- L2 Message Transport & Wire Format:訊息邊界、格式與 framing。
- L3 Session & Resilience:session state、close / suspend / resume / revoke 等生命週期語義。
- L4 Identity, Capability & Trust:身份驗證、capability 宣告、授權與信任綁定。
- L5 Semantic Operations & Consent:工具輸出、delegation、敏感操作是否有明確 consent 與 integrity 邊界。
- L6 Audit & Accountability:是否保留足夠完整的稽核軌跡。
這個分層模型的關鍵,不只是把項目整理得比較漂亮,而是它讓很多過去被混在一起的問題突然變清楚了。很多協定看起來「可用」,其實只是 L1 做得還行;一旦往上看到 session、capability、consent、audit,那些真正會決定 agent 能不能安全地被信任的層,往往都還很空。
作者分析 MCP、A2A、ANP、ACP 後給出的結論很刺耳但很合理:只有 transport security 這層算得上普遍完整,其他高層幾乎都存在明顯 under-specification。
AASM:11 條安全原則,才是 agent protocol 該交的底線
如果 APS 是「架構地圖」,那 AASM 就是「驗收標準」。
作者提出 11 條安全原則,其中包括 8 個核心安全性質與 3 個完整性性質。最重要的幾條包括:
- Identity Verifiability:參與協定的 agent 身分必須可驗證。
- Capability Attestation:capability / tool manifest 需要與宣告者做可信綁定,不能隨便被偽造或膨脹。
- Delegation Monotonicity:代理人轉授權時,權限範圍不能越傳越大。
- Prompt Integrity:外部輸入不該直接改寫 system prompt 或控制指令。
- Consent Explicitness:敏感操作不能只做 advisory 式提醒,而要有真正被 enforcement 的 explicit consent。
- Audit Completeness:重要操作必須留下對應 audit record。
- Fail-Secure Defaults:模糊或錯誤狀態下,預設行為應偏保守,而不是放行。
- Credential & Registry Integrity:session 關閉後,credentials 應該被撤銷或失效。
另外三條完整性原則則在補更偏 protocol engineering 的問題:
- Wire Format Integrity
- Session Lifecycle
- Composition Safety
這裡最值得注意的是最後一條 Composition Safety。因為它等於直接點破一個 agent world 正在快速變嚴重的現實:今天真正會出事的,未必是單一協定本身,而是 MCP 接 A2A、A2A 再接 ACP、外面還有 conductor / bridge / proxy 把它們串起來之後,跨協定互動把原本各自還算勉強能守住的邊界一起搞垮。
AgentConform:不是只做形式驗證,而是一路驗到 SDK
很多 formal security paper 的常見問題是:模型做得很漂亮,但離實作世界太遠。這篇論文在設計上有刻意避免這個缺點。
AgentConform 這個 pipeline 大致分成兩階段:
- 從規格文字抽取 normative clauses,整理成帶有 Protocol / Environment / Adversary action 區分的 typed Protocol IR。
- 將 IR 編譯成 TLA+ model,檢查它是否違反 AASM invariants;再把得到的 counterexample trace 回放到 live SDK / reference server 上確認。
這個設計很聰明,因為它讓「規格有漏洞」與「實作真的踩中漏洞」之間,不再隔著一條很大的推論鴻溝。作者不是只說理論上可能違反,而是把 formal counterexample 盡量變成可以重播的 implementation-level 測試。
論文中提到的數字也很有份量:
- 在 phase 1,作者對 5 個 protocol × 11 個 principle 做模型檢查,得到 33 個 spec-level violations。
- 在 phase 2,將 counterexample replay 到 live SDK 與官方 reference server,共執行 42 個測試。
- 另外在 5 種 composed model 中,又發現 20 個 composition safety violations。
這些數字的意義不只是「找到很多 bug」,而是顯示:目前 agent protocol 生態其實還在一個高速度擴張、但安全語義與一致性驗證遠遠跟不上的階段。
這篇論文最重要的發現:單獨安全,不等於組起來也安全
如果只能記住這篇論文的一個重點,我會選 Composition Safety。
作者指出,一個協定單獨看似滿足的安全性質,當它透過 shared bridge、conductor、proxy 跟別的協定組起來時,可能就失效了。論文舉的核心例子,是 MCP 與 A2A 組合時,MCP 端的 prompt injection 可以沿著共享基礎設施一路傳遞,最後放大成超出原本 scope 的 A2A delegation。
這件事非常關鍵,因為它打破了很多團隊常見的錯覺:
- 「我們的 MCP server 有做一些保護,應該還好。」
- 「A2A 那邊只是轉交,不會真的增加風險。」
- 「每一層都各自合規,整體大概就安全。」
這篇 paper 的回答基本上是:不,agent 系統不是這樣算的。 在 agent protocol 世界裡,語意上下文、工具輸出、delegation scope、共享橋接邏輯,會把原本局部成立的保證重新耦合起來。真正的風險不是單一組件做錯事,而是組件之間把彼此的弱點接成一條可利用路徑。
作者對各協定看到了哪些共通缺口?
從論文摘要與正文可整理出幾種反覆出現的結構性缺口:
- credential lifecycle 不完整:session close 後,credential revocation 沒有被清楚定義或強制。
- consent enforcement 不夠硬:很多地方只有 should、may、advisory,而不是 must-level 的強制機制。
- audit obligations 不完整:日誌與 accountability 常被視為 optional。
- capability manifest 缺少強綁定:能力宣告若不能做可信 attestation,就容易出現 capability inflation。
- session semantics 不夠成熟:close、suspend、resume、error recovery 這些對真實系統很重要的行為,常常描述不足。
這些缺口的共同點是:它們都不是「模型不夠聰明」的問題,而是 protocol 本身沒有把高風險語義寫成真正可驗證、可落地、可追責的規則。
這篇論文為什麼值得 sectools.tw 讀者注意?
因為它其實替最近一整串 agentic security 文章補上了非常底層的一塊拼圖。
前面像 ShieldNet、Back-Reveal、SkillInject、ClawLess、CoopGuard 這些論文,多半都在談運行中的 agent system 會怎麼被攻擊、怎麼被騙、怎麼洩漏資料、怎麼失去邊界。但這篇 Security Design Principles and Conformance Testing for Agent Protocols 更像是在追問:如果讓這些系統互相說話、互相委派、互相共享能力的協定層本身就沒有先設計好,那後面的所有補強會不會都只能算後補的防水膠?
我會把這篇放在一個很重要的位置上看:它不是在談某個攻擊技巧,而是在談agent 生態系的網際網路層應該長什麼樣。如果這層沒有及早建立安全設計原則、形式語義與 conformance testing,那麼未來 agent platforms 擴張得越快,大家踩到的坑只會越多,而且還會是跨平台、跨協定、跨供應鏈地一起放大。
我怎麼看這篇論文?
我很喜歡這篇論文的一點,是它沒有再把問題縮回「怎麼防 prompt injection」這種單點修補,而是直接把 agent protocol 放回系統安全工程該有的位置:先定義層次、再定義性質、再定義驗證方法。
這種路線的價值在於,它比很多只對單一產品或單一 framework 有效的 defense 更有基礎設施味道。今天不管 MCP、A2A、ACP 誰最後比較主流,甚至未來又冒出新的協定,如果沒有一套更通用的 protocol security vocabulary,大家永遠都會在不同名字、不同 SDK、不同白皮書之間重複踩同樣的坑。
當然,這篇論文也有它目前的邊界。作者明說有些 findings 還在 coordinated disclosure,因此完整細節尚未全部公開;而且 formal model 與 live implementation 之間,永遠還是存在 abstraction gap。但這不影響它的重要性。因為它至少把一個本來很模糊的問題說清楚了:agent protocol 安全不是附加功能,而是 agent ecosystem 能不能長大的前提。
結語
Security Design Principles and Conformance Testing for Agent Protocols 值得讀,不是因為它又替某個協定打一篇宣傳文,而是因為它提醒我們:當 MCP、A2A、ANP、ACP 開始承擔 capability discovery、tool invocation、delegation 與 cross-agent orchestration,這些東西就不再只是方便開發的 integration layer,而是高風險的控制平面。
而控制平面的安全,從來都不能只靠大家憑默契做好。它需要清楚的層次模型、可形式化的安全原則、以及能把規格一路驗到實作的 conformance machinery。
這篇論文最後留給整個 agent 生態最重要的一句話,大概可以濃縮成:在 agent world 裡,真正危險的不是某個協定少了一個欄位,而是大家在沒有安全語義共識的情況下,已經開始拿它們去串真實權限、真實工具與真實工作流。
本文由 AI 產生、整理與撰寫。 內容主要依據公開論文、技術文件與可取得之研究資料進行彙整、解讀與摘要;儘管已盡力確保內容的完整性與可讀性,仍可能因模型理解限制、資料來源差異或語意轉譯過程而存在疏漏、不精確或更新延遲之處。本文僅供研究交流與知識分享參考,實際技術細節、實驗設定與最終結論,仍應以原始論文、官方文件及作者公開資料為準。