导语：

智能体(AI Agent)是基于大模型能力，通过使用工具与外界交互，代表用户采取行动的系统。近期出圈的Manus在Agent产品中的定位更偏通用型，背后也承载了市场和用户对智能体应用落地的广泛期待。然而，通用型Agent的应用还面临几点挑战，例如模型在不同工具和数据源调用中如何高效协同分工；如何保证智能体遵从用户指令清晰透明地执行任务、多方数据汇聚下安全责任如何分配；以及如何保障Agent带来的新型商业生态中的竞争合作关系等成为用户关注的焦点。

Anthropic于2024年11月公布了Model Context Protocol（MCP）开源协议，针对通用Agent的挑战在一定程度上提供了提高效率并兼顾安全的技术解决方案。在兼容性方面，通过标准共识的方式用统一接口代替了碎片化的集成，提高了智能体调用数据和工具的效率。在安全性方面，在数据链路中对模型和具体数据源隔离，强化命令控制链路透明度和可审计性，通过依权限响应的方式兼顾用户体验与授权链路可控。

MCP虽然为Agent治理奠定了基础，但尚不能完全解决所有挑战。比如MCP还不能验证调用工具选择的合理性和执行结果的准确性，也没有针对智能体-应用生态中数据和服务上下游的竞争合作关系作出有效调整。在各类用户对智能体的需求更为多样化的趋势下，智能体的治理还需要回应不同用户群体差异化的关注点，在MCP协议等技术保障手段的基础上，通过开源开放吸引多方参与，保障产业生态秩序，通过人类“在环监督”保障Agent应用的可信可控。

一、通用Agent在应用中面临的挑战

OpenAI按照AI系统的自主性、智能化水平和实际应用能力，推出了一套对AI功能的五个等级的评判标准，用来评判AI软件接近甚至超越人类智力的程度。以大语言模型为代表的“快思考”聊天机器人是第一阶段；在此基础之上经过大规模强化学习，提升复杂推理能力，得到的以Deepseek R1和QwQ-32B为代表的“慢思考”推理大模型是第二阶段。而建立在大模型强大的推理能力基础之上，能代表用户采取行动的系统的智能体将会是第三阶段。

Agent是基于大模型能力，通过使用工具与外部世界进行交互，代表用户采取行动的系统，具备记忆、规划、感知、工具调用、以及行动能力。Agent要感知和理解用户的意图，通过记忆模块获取和存储信息并利用规划模块制定和优化策略，调用工具模块执行具体任务，并通过行动模块执行计划，从而实现自主完成任务的目标。其中规划能力主要是任务分解与自我反思，任务分解有思维链(CoT)等方式， 自我反思主要是推理(Reasoning)与行动(Acting)相协同的ReAct方法。近期由中国创业公司Monica发布的Manus就是Agent的典型产品，具备从规划到执行全流程自主完成任务的能力，其核心模块体现在“规划-执行-验证”，分别负责将用户需求拆解为可执行的子任务序列、调用工具完成具体操作、交叉核验结果准确性的环节，形成了由”多模型调度（如Claude3.7以及基于Qwen系列的微调模型）+工具链集成（29种工具调用）”组合的用户交互产品。

Manus的定位更偏通用型，不同于工作流程类（Workflow）Agent产品。Manus通过自主决策与动态工具调用突破了固定流程限制，不受限于特定用途，适合探索未知解决方案的复杂问题或创作类场景。而Workflow类Agent是人类通过对复杂任务预设编排路径，在每个节点中调用既定的模型和相关工具和数据源，用于固有流程的优化和提效。这类Agent已经广泛应用，场景融合到现有业务之中，以“润物无声”地方式铺开[1]，用户感知不如通用类Agent明显。

产业对Agent，特别是通用型Agent的期待源于智能体满足了各方共同诉求。在资本市场，Agent承载了产业所期待的模型商业价值的闭环路径，让AI从基于Token调用次数的算力定价，转向基于定制化服务的效果计价，带来更大的盈利空间。在用户侧，企业希望Agent将工作中重复性、标准化、规则明确的流程自动化精准执行；公众期待Agent带来“技术普惠”，成为每个人定制化、低门槛的“数字管家”。Manus的出圈也正是反映了各方对通用型Agent产品的期待。

然而，通用Agent在应用中存在兼容性、安全性、竞争性的三个挑战。就兼容性而言，模型在不同工具和数据源调用中需要高效协同分工。模型在执行复杂任务时更高的自主性依赖于对外部工具的能力和集成效果，以及对不同工具和数据源的灵活调用与适配。然而模型要融入企业场景，需要面对存量的系统和工具，但这些往往不是由同一厂商研发，因此会出现模型单独对接不同数据源与工具接口，定制化适配提升了接口对齐的工作量与应用开发成本。此外，在此基础上，还需考量对调用数据源和工具的选择问题，因为工具调用涉及对数据来源的筛选，比如采用哪些网站的搜索结果、爬取哪些网站的内容，这些都将作为模型输入的上下文，而输入数据的质量会影响产出内容的准确性。需要Agent通过对执行结果进行评估和验证，对调用的工具和数据的质量进行选择判断，确保任务完成质量。

就安全性而言，Agent需遵从用户指令清晰透明地执行任务、在多方数据汇聚下合理分配安全责任。Agent的数据调用涉及“用户数据-三方数据-模型”的汇聚与交互，同时也包含了企业用户的商业秘密和个人用户的隐私信息。各方数据的价值实现和责任分配，最佳状态是既能合（“用的时候能拿得来”），又能分（“用前用后分得清”）[2]。然而这在实践中又面临三重挑战，一是数据链路上，数据源与模型域的数据混同难以厘清，存在来源“可追溯”的困难；二是交互过程中，用户-Agent的交互存在信息不对称和黑箱化处理的挑战；三是权限管控上，可能会引发对执行环境可控性的顾虑，担心模型存在超出用户指令调用工具的“自我执行”风险。

就竞争性而言，Agent需要解决新型商业生态中的竞争合作关系。Agent通过自然语言与用户进行交互，执行复杂任务，其更为贴近和理解用户的特点使其成为用户与具体服务之间新的入口，可能会出现Agent成为平台(Agent as a Platform)的情况。而这也对移动互联网的应用生态产生了新的影响，需要进一步保障Agent数据和服务和其他服务方有序互通，在用户知情和同意的情况下形成良性的竞争环境与合作机制。在生态和技术更为贴近的情况下，Agent对工具和应用的调用可能存在偏好，而如何界定其合理性边界，什么情况下会构成不合理的自我优待，需要进行判断和甄别。

尽管Manus通过工程与技术的封装成为了通用型Agent的代表，却并没有解决通用型产品所面临的上述共性问题。因此，相比于Manus产品本身，能使模型在不同工具和数据源调用中高效协同、在多方数据汇聚下安全责任合理分配的MCP协议更值得深入研究。

二、MCP为Agent应用中的兼容性和安全性提供了技术方案

2024年11月，Anthropic 开源了MCP（Model Context Protocol）的开放协议，允许系统向 AI 模型提供上下文信息，并且可以在不同的集成场景中通用化。Anthropic将MCP类比于USB Type-C，让支持这个协议的不同工具，都能“即插即用”地连接到大模型[3]。尽管仅推出4个月，巨头们已开始积极布局MCP生态。不仅微软推出Playwright MCP，将强大的浏览器自动化工具封装在MCP标准中；连Anthropic 的“对手”OpenAI也加入了MCP，在旗下Agents SDK中开放支持[4]。同时，阿里巴巴集团在百炼平台全面支持MCP的部署和调用；研发的旨在简化开发流程、增强应用容错能力、支持多模态应用的多智能体平台AgentScope，也加入了MCP作为工具接口。

MCP采用分层架构解决Agent应用中的标准化及安全性问题。一个主机应用（如Manus）通过MCP客户端同时连接多个服务程序(MCP Server)，每个Server各司其职，提供对一种数据源或应用的标准化接入。MCP Server是核心，定义了类似USB-C的通用接口规范，通过协议标准化数据格式与通信流程，为客户端提供上下文、工具和提示。在Github的MCP Server列表中，使用最多的是搜索和数据检索，用于网络搜索、爬取内容、语义检索等功能[5]。MCP不仅作为统一翻译器，将不同数据源的API转换为模型可理解的标准化请求；还能成为安全连接层，支持本地与远程资源访问，数据无需上传至云端。

首先，MCP通过标准共识的方式解决了Agent数据/工具调用中的兼容性问题。MCP用统一接口代替碎片化的集成，AI只需理解并遵守协议即可与所有符合规范的工具进行交互，显著减少重复集成。同时，AI在同一通信框架内协调多个工具，避免不同插件或脚本间格式不一致，为跨部门跨系统的自动化流程带来更大空间。[6] 此外，MCP还通过开源实现多方利益平衡，推动生态可持续发展。一是鼓励开发者贡献代码和开发新的Server，同时也利用开源服务增强自己的Agent；二是开源协议避免单独一家企业在其中拥有过高的话语权，更容易在产业层面达成共识；三是用户可以访问更多样化的数据源和工具，提升Agent应用的灵活性和实用性。

其次，MCP在安全性上有三点考量。一是数据链路上模型和具体数据源隔离，两者通过MCP Server协议交互，模型不直接依赖数据源的内部细节，厘清了多方数据混同的源流。交互可以实现“双向通信”：不仅模型可以通过Server请求数据源，某些情况下数据源也可以通过Server"反过来"调用模型，让模型基于一些额外提示执行推理，从而支持更复杂的多轮Agent交互。[7]

二是通过通信协议提升命令控制链路的透明度和可审计性，解决用户-模型数据交互的信息不对称和黑箱化挑战。MCP采用纯JSON格式封装请求、响应、通知的三种消息类型，每条消息直观表达"执行操作/获取数据"等行为，这种分类确保每条消息的用途清晰可追溯。此外，JSON消息无需解码即可阅读，开发者可直接调试或审查交互内容。例如通过日志中的JSON字段验证数据是否被篡改，或确认敏感操作是否符合安全策略。

三是依权限响应的方式保障授权链路的可控性，保障用户对Agent在工具/数据使用中的控制权。一是MCP架构中，客户端与Server1:1连接，Server将请求转发给相应的资源，能够更好控制访问权限，确保只有经过授权的用户才能访问特定资源。二是AI系统上下文管理中，模型知道某段信息是只读资料（资源）还是可执行操作（工具），用户也能对不同类型请求进行针对性地审批或监控。同时，MCP通过权限预设和关键节点确认的方式实现人类“在环监督”(Human-in-the-Loop)与用户体验之间的平衡。在应用中需要人类参与以确保过程可控，避免模型滥用外部操作权限，或Agent失控循环调用模型；而如果在执行任务的每一步都要依赖频繁的弹窗确认又会严重影响用户体验。因此，MCP支持用户通过配置文件或管理界面，预设细粒度的权限规则，限制模型对数据的访问范围，比如预先定义模型对特定工具或数据源的访问权限是只读还是读写；而当模型尝试访问敏感数据或执行高风险操作时，则需要用户的明确授权和同意。

MCP通过分层架构构建了标准化的接口与安全防护机制，实现了数据和工具调用中互操作性和安全性之间的平衡。在用户价值层面，MCP带来了智能体与更多工具，甚至更多智能体之间更强的协作与互动。在模型智能不断提升的基础上，智能体的互操作性越强，安全能力越有保障，智能体经济的网络效应也将越明显，Agent也会在更多通用任务中取得更好的表现。MCP在下一阶段将重点开发对远程连接的支持。当前的客户端和Server都是在本地运行，而随着“端云协同”趋势的发展，MCP将重点解决本地客户端连接到远程MCP服务端时的安全性，提升多端多域执行环境中的安全保障。对此，增加标准化的认证与授权能力、探索无状态操作（交互过程不落盘）或成为新的突破点。[8]

三、MCP为Agent的后续治理奠定了基础

MCP提供了数据和工具调用中兼容性和安全性的保障，为Agent治理奠定了基础，但也并不能解决治理中面临的全部挑战。

首先，在可信度方面，MCP尚未对调用数据源和工具的选择形成规范性标准，也没有对执行结果进行评估和验证。MCP协议目前只能对接入工具的标准化程度进行规范，并不能对工具的选择和质量进行判断。MCP市场还没有成熟的“搜索-排序”机制，目前Agent及其背后大模型对工具的调用还依赖于工具的结构化功能描述进行匹配。另外，Agent产品目前还普遍缺乏自我评估和验证的能力[9]。除了少部分场景（如代码可自动测试）能实现结果验证，在其他情况下，尽管Agent能用各种工具规划并解决问题，但还不会自主评估最终结果是否达到预期。

其次，MCP暂时不能调整Agent带来的新型商业竞争合作关系。Agent调用哪些工具是模型侧的主动选择，MCP并没有设置具体的选择规则。而在技术实现上，同来源的模型-工具适配性更优，积累的数据也经过了模型调用的验证，客观上模型更倾向于调用同来源的工具和数据，但这并不够成对技术优势的滥用，有别于“自我优待”等不正当竞争行为。不过目前监管制度尚未进行甄别和回应，欧盟根据DMA法案要求Apple等大型平台向第三方开发者提供平等的iOS和iPadOS系统工具及功能的访问权限，否则将面临高额罚款，该方案并没有给出Agent生态中竞争合作的合理性判断标准。[10]

从整体看，MCP针对用户利用Agent面临的核心安全顾虑提供了技术侧的初步回应，成为了Agent治理的起点。随着Agent等AI应用的普及，治理思路也在发生变迁：对大模型的治理采用中心化的方式，重点关注模型的安全性；而Agent为代表的模型应用适用于各类场景，涉及多元主体以及不同能力的交叉调用，沿用中心化的治理方式与技术发展并不适配，需要用分布式满足不同用户差异化的需求，治理重心不仅是模型的安全性，更需要以满足用户需求为核心要求。而目前对于人工智能需求侧影响的判断和评估，我们还面对着“共同无知”的情况。MCP协议在响应用户需求、促进技术共治方面已经迈出了第一步。也正是在MCP为Agent实现各种工具和资源高效分工协同的基础之上，一周前Google开源了在Agent之间进行通信的Agent2Agent(A2A)协议，使不同平台构建的Agent能相互协商任务并开展安全协作，促进多智能体生态的发展。[11] 尽管对Agent可能要按照不同发展阶段分层治理，背后的共同趋势是需要通过坚持开源开放吸引多方参与，通过回归用户视角保障产业生态秩序，通过保持人类“在环监督”实现过程可控。