几周前,我发现自己盯着一家零售网站上的聊天气泡,试图确定我是在与真人、一段预设脚本,还是一个有权访问我信用卡的自主 AI 代理交谈。这个实体没有“关于”页面,也没有认证徽章。在以人为本的网络时代,我们通过域名来识别目的地;在正在兴起的代理网络(Agentic Web)时代,我们通过名称服务记录来识别行为者。我们曾经寻找挂锁图标来衡量网站的正当性;现在我们寻找代理名称服务(ANS)清单来衡量 AI 的权威性。
这种转变不仅仅是我们与计算机对话方式的改变,更是互联网信任模型的根本性重组。随着企业部署数百个 AI 代理来处理从供应链物流到客户支持的一切事务,传统的身份验证方式正在崩溃。本周,Linux 基金会宣布了代理名称服务 (ANS),这是一个开源框架,旨在提供一种标准化的方式来验证代理是什么、谁拥有它以及它被允许做什么。
无形的身份危机
在个人层面,这种摩擦已经显现。你的浏览器中可能有一个用于总结文章的 AI 代理,而你的电子邮件中还有另一个用于起草回复的代理。在底层,这些代理通常是黑匣子。当这些代理开始相互交谈时——例如旅游代理机器人与酒店预订机器人交谈——身份问题就变成了安全噩梦。如果没有明确的身份框架,一个代理就无法轻易向另一个代理证明其凭据。
对于大公司来说,这个问题更加严峻。一家现代企业可能拥有来自三个不同供应商的十几种不同的 AI 模型,全部通过各种 API 运行。Forrester 首席分析师 Charlie Dai 表示,代理身份问题已经在早期的生产部署中显现出来。在代理跨组织边界交互且缺乏一致身份验证模型的情况下,情况尤其如此。当代理犯错或恶意行为者伪造代理时,审计追踪的缺失使得问责变得不可能。
从历史上看,科技行业通过创建电话簿来解决这些问题。对于 Web 来说,那个电话簿就是域名系统 (DNS),它将人类可读的名称(如 example.com)翻译成计算机使用的 IP 地址。Linux 基金会现在押注,这项 20 世纪 80 年代的技术可以解决 AI 领域最现代的问题。
为什么旧电话簿适用于新机器人
从用户的角度来看,选择使用 DNS 似乎是务实的,而非颠覆性的。大多数公司已经拥有并管理着自己的域名。通过在 DNS 之上构建 ANS,Linux 基金会允许像 Acme Corp 这样的公司通过其已经控制的域名(如 agents.acme.com)发布代理身份。这避免了对新的中心化注册机构的需求,因为后者可能会成为专有的瓶颈或单点故障。
从技术上讲,ANS 框架是一种联邦式的发现机制。当一个代理想要与另一个代理交互时,它会查询所有者的 DNS 记录。这些记录指向一个包含代理身份和能力的清单文件。这种方法让人联想到 20 世纪 90 年代 Web 的增长方式。它依赖于分布式架构,没有一家公司掌握所有密钥。
Pareekh Consulting 首席分析师 Pareekh Jain 表示,ANS 的最大优势之一是它对现有互联网基础设施的依赖。这使得公司的采用变得更简单、更便宜,因为他们不必构建任何新东西。对于开发人员来说,这在数字层面相当于房屋装修时利用现有的管道,而不是拆除墙壁。这是一种在技术债务产生之前就对其进行管理的方法。
代理信任的技术蓝图
放大到行业层面,ANS 框架不仅仅是一个命名规范。它结合了两种特定类型的身份标记:去中心化标识符 (DID) 和法人机构识别码 (LEI)。DID 允许代理使用密码学证明其身份,确保代码自签名以来未被篡改。LEI 则将该数字身份与现实世界的法律实体公司联系起来。
在实践中,这意味着代理可以出示数字护照。如果来自合作伙伴公司的采购代理请求访问您的库存数据库,您的系统可以检查 ANS 记录。它可以验证该代理是否归已知合作伙伴所有,以及其操作历史是否真实。这创建了一层早期 AI 部署中所缺失的操作控制。Gartner 总监分析师 Jaishiv Prakash 表示,代理身份已从架构考量转变为操作控制平面的缺口。
如今,这个缺口通常由“笨拙”的手动变通方法填补。开发人员经常硬编码权限,或依赖难以轮换的脆弱 API 密钥。Linux 基金会试图通过开放标准来防止这些专有孤岛——ANS 框架使用 DNS 来确保没有一家科技巨头控制代理注册表。这反映了软件行业从 2010 年代初的“围墙花园”向更互联但也更复杂的生态系统的广泛转变。
四十年历史基础的安全风险
矛盾的是,ANS 最大的优势也是其最显著的弱点。DNS 是一种遗留协议。它最初并非为自主 AI 代理的高安全要求而设计。Charlie Dai 警告说,DNS 容易受到欺骗、劫持和延迟问题的影响。如果黑客劫持了公司的 DNS 记录,他们可能会将其指向恶意的代理清单,并诱骗其他系统信任流氓 AI。
为了缓解这一问题,该框架并非旨在作为独立的解决方案。Jaishiv Prakash 建议企业应使用身份和访问管理 (IAM) 系统以及 AI 网关来补充 ANS。这是软件架构中的“双重保险”方法。你使用公共电话簿 (ANS) 找到代理,但仍需使用私有安全控制在门口检查其 ID。
从开发人员的角度来看,这为部署流程增加了一层复杂性。每当代理的代码更新、其系统提示词哈希值或其能力发生变化时,清单都必须更新。如果 DNS 记录传播不够快,代理可能会被锁定在它需要访问的系统之外。这就是现代、敏捷的 AI 软件遇到旧 Web 僵化基础设施时产生的数字摩擦。
处于标准探索阶段的市场
ANS 并不是这个领域唯一的参与者。该行业目前正处于分析师所称的“标准探索”阶段。其他几个项目正在竞争同一领地。其中包括模型上下文协议 (MCP),它专注于代理如何连接到工具。还有 AGNTCY,这是一个由思科 (Cisco) 领导的项目,为消息传递和可观测性提供了更广泛的基础设施栈。此外还有 DNS-AID,这是另一个 Linux 基金会项目,旨在帮助代理宣传其能力。
这种碎片化在技术革命的早期阶段很常见。就像在 SMTP 成为标准之前曾有许多不同的电子邮件协议一样,现在也有许多不同的方式来识别代理。Kanerika 的 AI 开发经理 Amit Jena 指出,企业目前还不必构建任何新东西,但应密切关注哪种标准获得了最大的牵引力。
目前,这些框架的重叠是在预料之中的。我们正在观察行业试图决定未来的“身份证”应该是什么样子。一些项目专注于硬件层面,一些专注于网络层面,而另一些(如 ANS)则专注于发现层。因此,工程师们选择在现有基础设施上构建,以降低采用成本,同时等待行业达成共识。
夺回对自主网络的控制权
最终,代理名称服务的成功取决于企业是否重视透明度胜过速度。部署一个能用的“影子 AI”代理很容易,但部署一个可审计、经过验证且安全的代理要困难得多。我们正在从一个我们浏览信息的世界,转向一个代理代表我们行事的世界。在这个新世界中,地图与目的地同样重要。
作为用户,你可以通过在你使用的工具中寻找身份标志来开始注意到这种转变。下次当你与 AI 交互时,问问自己:谁拥有这个代理?它有什么权限?是否有我可以查看的清单?2026 年的数字素养不再是关于知道如何搜索 Google,而是关于知道如何验证代表你进行搜索的自主系统。
我们目前正在构建未来十年的无形基础设施。通过将这些新的 AI 代理植根于熟悉的、联邦制的 DNS 世界,我们有机会保持互联网的开放性。目标是确保代理网络仍然是人类的工具,而不是一个在黑暗中交谈的、不透明的专有机器人系统。
Sources
Linux Foundation official announcement and ANS framework documentation.
Forrester Research report on AI agent identity and production deployments by Charlie Dai.
Gartner Research analysis on agent identity and operational control-plane gaps by Jaishiv Prakash.
Pareekh Consulting industry notes on DNS-based infrastructure adoption by Pareekh Jain.
Cisco AGNTCY project repository and technical overview for multi-agent systems.
Anthropic Model Context Protocol (MCP) specification and developer documentation.
Kanerika development manager insights on enterprise AI deployment by Amit Jena.
