信通院拉上腾讯华为,给智能体定了一套"握手暗号"

行业快讯

5月7日,中国信通院联合中国电信、联通、移动、腾讯、华为、中兴、港中深等八家单位发起智能体可信握手协议(ATH)1.0,并同步成立智能体开源社区,意在补齐MCP、A2A之外的跨主体身份互验与权限管控短板。

信通院联合腾讯华为发布ATH协议:给Agent之间的对话加一把"信任锁"

5月7日,中国信通院抛出了一个新东西——智能体可信握手协议(Agent Trust Handshake,简称 ATH)1.0,同时依托云计算开源产业联盟,发起了一个"智能体开源社区"。

这件事的发起方阵容不算小:信通院牵头,中国电信、中国联通、中移九天、香港中文大学(深圳)、中兴、腾讯、华为联合署名。协议代码已经丢到了 AtomGit 和 GitHub 上,主打一个开源共建。

ATH协议架构示意图

这事为什么值得讲

过去一年里,行业层面已经有两个绕不开的协议:Anthropic 力推的 MCP(Model Context Protocol,解决模型怎么调工具、读上下文),以及 Google 牵头的 A2A(Agent-to-Agent,解决智能体之间怎么发现、怎么对话)。这两个协议把"通信管道"基本铺了一遍。

但管道铺好了,信任这件事一直悬着。

举个具体场景:你的私人 Agent 委托一个第三方差旅 Agent 去订机票,这个差旅 Agent 又调起一个支付 Agent。这条链路上,谁是谁、谁授权了谁、出了问题怎么追溯——MCP 和 A2A 都没把这层讲透。MCP 偏"模型-工具"单向调用,A2A 虽然定义了 Agent Card 这种身份描述,但在跨主体、跨平台、跨监管域的复杂协同场景下,权限粒度和审计链路依旧偏弱。

信通院这次切的就是这个口子。官方表述里有一句很关键:相较 MCP、A2A 等通信协议,ATH 聚焦的是"可信交互"而不是"通信本身"。换句话说,这是一层补在通信协议之上的安全语义层。

ATH 1.0 到底定义了什么

协议白皮书里提了六个设计理念,挑重点说:

  • 用户主权(User Sovereignty):所有授权决策的最终主体是用户,不是平台、不是 Agent 厂商。这个立场比较硬。
  • 三方参与:用户、智能体、应用三方都要在握手过程中出场,不允许两两悄悄达成协议绕开用户。
  • 可信握手:身份验证不是单向 token 校验,而是带挑战-应答机制的双向验证。
  • 去中心化:身份系统不绑定到单一中心化机构,给后续接 DID(去中心化身份)、可验证凭证留了口子。
  • 最小权限:每次握手只授予完成本次任务必需的权限,过期即销毁。
  • 全程可追溯:所有交互行为生成审计记录,链上链下方案都兼容。

协议把整个交互拆成三段:

  1. 身份验证:用户、Agent、应用三方互相核验身份;
  2. 可信握手:协商本次会话的权限边界、有效期、行为约束;
  3. 安全会话:在已建立的可信通道里跑业务逻辑,行为日志同步落审计。

这种"身份-握手-会话"三段式结构,了解 TLS 的人会觉得很眼熟——本质上就是把 TLS 那套"先建立信任、再传数据"的思路,搬到 Agent 语义层来重做一遍。区别在于,TLS 解决的是网络层的机密性和完整性,ATH 解决的是 Agent 行为层的意图合法性权限边界

几个绕不开的疑问

第一,会不会跟 MCP/A2A 打架? 短期看不会,定位不同。MCP 管模型怎么用工具,A2A 管 Agent 怎么找 Agent,ATH 管这些动作发生时谁来背书、谁来兜底。理想情况下,三者可以叠在一起跑——A2A 负责发现,ATH 负责握手与授权,MCP 负责具体工具调用。但理想归理想,现实里协议栈一旦叠多了,工程实现成本会指数级上升,这是开发者真正要担心的。

第二,开源社区能不能跑起来? 国内由信通院主导的协议有一个共性问题:标准做得规范,但开发者生态启动慢。这次拉了三大运营商和华为腾讯进来,至少在 To B 和政企场景里有落地土壤。但要让中小开发者愿意接,关键还是看 SDK 好不好用、文档清不清楚,以及——能不能跟海外协议互通。

第三,去中心化身份这个理念,能撑多久? 协议文本里写了"去中心化",但实际国内合规环境下,身份发行方大概率还是会回到几家可信机构。这块怎么落地,要看后续版本的具体方案。

对开发者意味着什么

如果你正在做:

  • 跨平台 Agent 编排:比如让自家 Agent 调用第三方 Agent 服务,ATH 提供了一套现成的身份与权限模型,不用自己再造轮子;
  • 企业内多 Agent 协同:财务 Agent、HR Agent、IT Agent 之间的权限隔离一直是头疼问题,ATH 的最小权限+全程审计可以直接对标内审需求;
  • 面向监管行业(金融、医疗、政务)的 Agent 应用:可追溯这条几乎是硬指标,提前接入 ATH 比事后补审计要省事得多。

如果你只是做单 Agent 应用、调几个 API 跑 demo,目前 ATH 跟你关系不大。

大背景:智能体协议层正在卡位

往后退一步看,2025 年下半年到 2026 年这个时间窗口,全球 Agent 协议层正在快速卡位:

  • Anthropic 用 MCP 把工具调用的事实标准抢下了;
  • Google 用 A2A 切 Agent 互联;
  • 微软最近开源的 Magentic-UI 在浏览器 Agent 这条线上往前推;
  • 国内这边,信通院系的 ATH 加上之前的《面向软件工程智能体的技术和应用要求》系列标准,开始构建本土协议体系。

协议这层东西的特点是——先发优势极强,一旦生态形成就极难替换。HTTP、TLS、OAuth 都是这么过来的。Agent 时代谁能在协议层立住,未来五到十年的话语权就在谁手里。

ATH 能不能成,现在下结论太早。但有一点可以确定:智能体之间的"信任问题"已经从学术讨论变成了工程刚需,不管最终是 ATH、还是某个海外方案、还是几个协议融合的产物,Agent 之间互相"亮明身份再谈事"这件事,今年内一定会有结论

建议感兴趣的开发者直接去 GitHub 上把协议文档拉下来读一遍,1.0 版本不算厚,但设计取舍值得琢磨。

参考来源