ARD 伪造 Catalog 风险:Agent 发现层的安全技术挑战
2026-06-21 01:00:00
ARD 安全技术挑战
威胁模型
攻击者发布 伪造 /.well-known/ai-catalog.json:
- Agent 自然语言搜索 命中恶意条目
- 用户 批准安装(Agent Finder 不 silent install——但 social engineering 仍可能)
- 恶意 MCP Server 执行 数据窃取/RCE
ARD 信任机制(规范设计)
| 机制 | 说明 |
|---|---|
| 域名锚定 | Catalog 托管在 组织自有域名 |
| URN 标识 | urn:ai:... 命名空间 |
| 联邦 Registry | 多 Registry 交叉验证 |
| Trust Manifest | Google Agent Registry 加密信任元数据 |
现实差距
- 规范 v0.9 Draft
- 公开部署 接近零
- 验证工具链 不成熟
企业防御
- 仅允许 私有 Registry + 白名单 Publisher
- Agent Finder managed settings 限制可发现资源
- 安装前 SBOM + 权限审查
- 与 NeuralTrust/Mastra 教训 联动 供应链扫描
与 MCP 关系
ARD 发现 → MCP 执行——两层都需安全。