当 AI 智能体真正开始干活,它的每一次请求,都要经过一个你看不见的「中间人」。
这个中间人,可能正在读你的提示词、改你的结果、偷你的账单。
清华团队提出首个可信原生中转基础设施 TrustedARI—— 把「靠人品」的信任,换成「靠数学」的证明。
当所有人都在卷 Agent 能力的时候,一个你看不见的风险,正在悄悄变大 ——
你部署的 Agent,每一次调用外部模型、工具、服务,请求到底经过了谁的手?
一个被官方点名的事实:AI 中转站,正在「裸奔」
AI 智能体从聊天窗口走向真实任务,要频繁调用外部的模型、工具和服务——
调模型推理、连邮箱、连代码仓库、连浏览器,甚至连企业 SaaS。
面对一堆碎片化的接口、账号、订阅和额度,智能体需要一个统一的中转层来收口。
这就是 AI 中转站,技术上叫智能体中转基础设施或者智能体路由基础设施(Agentic Routing Infrastructure,ARI)。
它正在成为智能体连接外部世界的关键入口。
但这个关键入口,也正在变成新的高风险信任边界。
近期,和就关注到「AI 中转站」的安全问题 ——
运营主体不明、备案信息缺失、技术来源和数据流向不透明。
低价便利的另一面,是背后的安全风险:
数据裸奔,隐私泄露;模型缩水,结果失真;
恶意植入,远程控制;数据出境,失管失控。
它的本质,是一个「明文代理」
把视角往下沉一层,问题立刻变得复杂。
在典型架构里,中转站同时握着三种权力:
它能看见你请求和响应的明文
它能决定你的请求最终发往哪里
它能改写你的请求、响应,甚至篡改 Token 用量这种计费字段
你的提示词、商业文件、代码片段、模型输出 —— 它全看得见。
本该发往高端模型的请求,可能被悄悄转给低配模型,Token 质量没法保证。
本该调用官方工具的请求,可能被转向未知的服务提供商。
AI 中转层的安全风险
而当中转层连的不只是大模型,而是邮箱、数据库、企业系统时 ——
风险就不再是「内容泄露」,而是直接升级成「权限滥用」「结果失真」「业务流程失控」。
更扎心的是:面对这一切,过去你能做的,只有一件事 ——
相信平台不作恶。
TrustedARI:给 AI 中转站,上三把「信任锁」
来自清华大学 InspiringGroup 团队的 TrustedARI,给出了一个新答案 ——
不是取消中转站,而是让它从「默认可信」走向「协议可验证」。
论文题目:TrustedARI: Towards Trust-Native Agentic Routing Infrastructure for Agentic AI
论文链接:https://arxiv.org/abs/2606.15822
TrustedARI 的核心思路是将 ARI 的基础设施功能与其过高的数据和控制权限解耦,从协议层重新配置权利与约束。
中转层照样能做路由、做适配、做计费。
但它不能再越权看数据、换服务、改结果。
在TrustedARI中,智能体和 ARI 通过安全多方计算共同组成一个分布式「虚拟客户端」,并与下游服务方建立标准 TLS 会话。这样,服务方看到的仍然是标准请求;而在智能体和 ARI 之间,服务绑定、请求构造、响应验证和计费结算则通过 TLS 认证、多方安全计算和零知识证明完成可信增强。换句话说,TrustedARI 把过去依赖平台承诺的中转过程,推进到了密码学约束和协议级证明。
TrustedARI 协议功能示意图
怎么做到?三把锁。
🔒 第一把:身份锁 —— 请求发往哪,你说了算
TrustedARI 设计了面向 ARI 的三方 TLS 握手机制。
智能体和中转站共同建立面向服务提供方的安全连接,同时智能体可以独立验证对方身份。
智能体不再只能听中转站「声称」它调用了目标模型 —— 而是能使用 TLS 密钥「亲自验证」当前会话确实绑定到了预期服务提供方。
高端模型,不能被静默换成低配。
工具请求,不能被偷偷转去错误的服务方。
🔒 第二把:数据锁 —— 你的数据,中转站一个字都看不到
传统模式:你把内容明文交给中转站,它再补上 API key 和格式适配,转发给下游模型服务商或者 MCP 工具服务商。这正是数据不可信的根源。
TrustedARI 提出了隐私保护的请求构造与响应保护机制。把请求构造重构成安全的模板实例化过程:双方基于公开模板,基于多方安全计算协议拼接双方的隐私输入,共同生成结构合法、可被服务方处理的 TLS 加密请求。
智能体,不需要知道中转站的 API key
中转站,也看不到你的提示词、业务数据和工具参数
连字段长度、边界这种结构信息,都一并加密保护
响应回来,完整明文只有智能体能解密,中转站只看到加密消息;一旦中转站篡改消息,TLS 认证就会失败,立刻被发现。
请求数据可信、响应数据可信、端到端完整性 —— 一次全给到。
🔒 第三把:账单锁 —— 每一分钱,都有据可查
明文只有智能体看得到,那中转站怎么按用量计费?
TrustedARI 用零知识证明解决:TrustedARI 构建了可验证的计费机制。智能体上报计费字段,并附上证明 —— 证明这些字段确实来自服务方返回的 TLS 认证响应,不是为了少付费伪造出来的数字。
中转站不用看完整响应消息,也能验证账单真实有效。在保护响应数据的机密性和完整性的同时,保证了按调用量、按 token、按工具执行状态结算的商业可持续性。
糊涂账,变成公平透明的明白账。
能不能落地,实验说话
TrustedARI 基于 TLS 1.3 协议栈实现了原型系统,在 GitHub、Google、OpenAI 等 10 个真实服务 API 上进行评估,覆盖代码管理、数据库检索、LLM 推理等典型智能体工作流。
结果显示,TrustedARI 不只是一个密码学概念方案,而是具备进入真实智能体中转场景的系统落地能力。
连接建立:三方 TLS 握手通信开销较基线方案降低 39.34%,端到端建连延迟最高降低 50.47%。
隐私请求构造:真实 API 平均计算时延 1.32 秒;结构隐藏机制只额外增加 0.19 秒时延 和 0.58MB 通信。
可验证计费:证明生成平均仅需 3.50 秒,比基线方案快 28.20 倍。
一句话 —— 可信,没有变成沉重的「性能税」。
兼容现有生态,下游零改造
最关键的一点:它能直接落地。
智能体侧:只需加载一个新的 Skill,Agent 使用不受任何影响
服务方侧:什么都不用改,看到的还是标准 TLS 连接和标准 API 请求
不需要重建生态。不需要改造下游。
可信增强不以牺牲可用性为代价。TrustedARI模板在多类智能体上保持了接近标准格式的请求生成准确率。
智能体时代,需要「可信中转」
AI 中转站(技术上称为 Agentic Routing Infra,ARI)的价值,来自它统一连接模型、工具和外部服务的能力。
它的风险,也恰恰来自这里。
当中转站连上大模型、代码仓库、数据库、企业系统,它就不再是一个「请求转发器」——
而是智能体访问外部世界的关键控制面。
如果这个控制面,还靠平台「自证清白」,
那隐私泄露、服务替换、结果篡改、异常计费,就会成为整个智能体基础设施里的系统性薄弱环节。
AI 中转站的下一步,不会只比谁接入的模型更多、价格更低、调用更方便。
智能体时代真正需要的,是从「可用中转」走向「可信中转」。
把信任的基石,从「靠人品」,换成「靠数学」。
TrustedARI,正是这一节点上的可信原生答案。
团队介绍
本研究由清华大学 InspiringGroup 完成,项目核心成员包括:李琪、邹振华、李硕、徐明伟老师、刘卓涛老师。
刘卓涛老师团队长期研究可信 AI,从算法、模型、系统 Infra、网络和芯片层面系统解决 AGI 时代的可信问题,在相关领域发表论文近百篇,代表性成果获得 ACM CCS 2025 杰出论文奖(获得全部满分 review)、连续两年获得 USENIX Security 杰出论文奖(中国学者首次),此外还获得两项 Google 杰出工程奖、美国 NSF 创新团体奖、以及多项企业合作成果奖等荣誉。团队长期招收实习生、博士生和博士后。
© THE END
转载请联系本公众号获得授权
投稿或寻求报道:liyazhou@jiqizhixin.com
