當(dāng) AI 智能體真正開始干活，它的每一次請求，都要經(jīng)過一個(gè)你看不見的「中間人」。

這個(gè)中間人，可能正在讀你的提示詞、改你的結(jié)果、偷你的賬單。

清華團(tuán)隊(duì)提出首個(gè)可信原生中轉(zhuǎn)基礎(chǔ)設(shè)施 TrustedARI—— 把「靠人品」的信任，換成「靠數(shù)學(xué)」的證明。

當(dāng)所有人都在卷 Agent 能力的時(shí)候，一個(gè)你看不見的風(fēng)險(xiǎn)，正在悄悄變大 ——

你部署的 Agent，每一次調(diào)用外部模型、工具、服務(wù)，請求到底經(jīng)過了誰的手？

一個(gè)被官方點(diǎn)名的事實(shí)：AI 中轉(zhuǎn)站，正在「裸奔」

AI 智能體從聊天窗口走向真實(shí)任務(wù)，要頻繁調(diào)用外部的模型、工具和服務(wù)——

調(diào)模型推理、連郵箱、連代碼倉庫、連瀏覽器，甚至連企業(yè) SaaS。

面對一堆碎片化的接口、賬號、訂閱和額度，智能體需要一個(gè)統(tǒng)一的中轉(zhuǎn)層來收口。

這就是AI 中轉(zhuǎn)站，技術(shù)上叫智能體中轉(zhuǎn)基礎(chǔ)設(shè)施或者智能體路由基礎(chǔ)設(shè)施（Agentic Routing Infrastructure，ARI）。

它正在成為智能體連接外部世界的關(guān)鍵入口。

但這個(gè)關(guān)鍵入口，也正在變成新的高風(fēng)險(xiǎn)信任邊界。

近期，央視新聞和國家安全部就關(guān)注到「AI 中轉(zhuǎn)站」的安全問題——

運(yùn)營主體不明、備案信息缺失、技術(shù)來源和數(shù)據(jù)流向不透明。

低價(jià)便利的另一面，是背后的安全風(fēng)險(xiǎn)：

• 數(shù)據(jù)裸奔，隱私泄露；模型縮水，結(jié)果失真；
• 惡意植入，遠(yuǎn)程控制；數(shù)據(jù)出境，失管失控。

它的本質(zhì)，是一個(gè)「明文代理」

把視角往下沉一層，問題立刻變得復(fù)雜。

在典型架構(gòu)里，中轉(zhuǎn)站同時(shí)握著三種權(quán)力：

• 它能看見你請求和響應(yīng)的明文
• 它能決定你的請求最終發(fā)往哪里
• 它能改寫你的請求、響應(yīng)，甚至篡改 Token 用量這種計(jì)費(fèi)字段

你的提示詞、商業(yè)文件、代碼片段、模型輸出 —— 它全看得見。

本該發(fā)往高端模型的請求，可能被悄悄轉(zhuǎn)給低配模型，Token 質(zhì)量沒法保證。

本該調(diào)用官方工具的請求，可能被轉(zhuǎn)向未知的服務(wù)提供商。

AI 中轉(zhuǎn)層的安全風(fēng)險(xiǎn)

而當(dāng)中轉(zhuǎn)層連的不只是大模型，而是郵箱、數(shù)據(jù)庫、企業(yè)系統(tǒng)時(shí) ——

風(fēng)險(xiǎn)就不再是「內(nèi)容泄露」，而是直接升級成「權(quán)限濫用」「結(jié)果失真」「業(yè)務(wù)流程失控」。

更扎心的是：面對這一切，過去你能做的，只有一件事 ——

相信平臺(tái)不作惡。

TrustedARI：給 AI 中轉(zhuǎn)站，上三把「信任鎖」

來自清華大學(xué)InspiringGroup 團(tuán)隊(duì)的 TrustedARI，給出了一個(gè)新答案 ——

不是取消中轉(zhuǎn)站，而是讓它從「默認(rèn)可信」走向「協(xié)議可驗(yàn)證」。

• 論文題目：TrustedARI: Towards Trust-Native Agentic Routing Infrastructure for Agentic AI
• 論文鏈接：https://arxiv.org/abs/2606.15822

TrustedARI 的核心思路是將 ARI 的基礎(chǔ)設(shè)施功能與其過高的數(shù)據(jù)和控制權(quán)限解耦，從協(xié)議層重新配置權(quán)利與約束。

中轉(zhuǎn)層照樣能做路由、做適配、做計(jì)費(fèi)。

但它不能再越權(quán)看數(shù)據(jù)、換服務(wù)、改結(jié)果。

在TrustedARI中，智能體和 ARI 通過安全多方計(jì)算共同組成一個(gè)分布式「虛擬客戶端」，并與下游服務(wù)方建立標(biāo)準(zhǔn) TLS 會(huì)話。這樣，服務(wù)方看到的仍然是標(biāo)準(zhǔn)請求；而在智能體和 ARI 之間，服務(wù)綁定、請求構(gòu)造、響應(yīng)驗(yàn)證和計(jì)費(fèi)結(jié)算則通過 TLS 認(rèn)證、多方安全計(jì)算和零知識(shí)證明完成可信增強(qiáng)。換句話說，TrustedARI 把過去依賴平臺(tái)承諾的中轉(zhuǎn)過程，推進(jìn)到了密碼學(xué)約束和協(xié)議級證明。

TrustedARI 協(xié)議功能示意圖

怎么做到？三把鎖。

第一把：身份鎖 —— 請求發(fā)往哪，你說了算

TrustedARI 設(shè)計(jì)了面向 ARI 的三方 TLS 握手機(jī)制。

智能體和中轉(zhuǎn)站共同建立面向服務(wù)提供方的安全連接，同時(shí)智能體可以獨(dú)立驗(yàn)證對方身份。

智能體不再只能聽中轉(zhuǎn)站「聲稱」它調(diào)用了目標(biāo)模型 —— 而是能使用 TLS 密鑰「親自驗(yàn)證」當(dāng)前會(huì)話確實(shí)綁定到了預(yù)期服務(wù)提供方。

高端模型，不能被靜默換成低配。

工具請求，不能被偷偷轉(zhuǎn)去錯(cuò)誤的服務(wù)方。

第二把：數(shù)據(jù)鎖 —— 你的數(shù)據(jù)，中轉(zhuǎn)站一個(gè)字都看不到

傳統(tǒng)模式：你把內(nèi)容明文交給中轉(zhuǎn)站，它再補(bǔ)上 API key 和格式適配，轉(zhuǎn)發(fā)給下游模型服務(wù)商或者 MCP 工具服務(wù)商。這正是數(shù)據(jù)不可信的根源。

TrustedARI 提出了隱私保護(hù)的請求構(gòu)造與響應(yīng)保護(hù)機(jī)制。把請求構(gòu)造重構(gòu)成安全的模板實(shí)例化過程：雙方基于公開模板，基于多方安全計(jì)算協(xié)議拼接雙方的隱私輸入，共同生成結(jié)構(gòu)合法、可被服務(wù)方處理的 TLS 加密請求。

• 智能體，不需要知道中轉(zhuǎn)站的 API key
• 中轉(zhuǎn)站，也看不到你的提示詞、業(yè)務(wù)數(shù)據(jù)和工具參數(shù)
• 連字段長度、邊界這種結(jié)構(gòu)信息，都一并加密保護(hù)

響應(yīng)回來，完整明文只有智能體能解密，中轉(zhuǎn)站只看到加密消息；一旦中轉(zhuǎn)站篡改消息，TLS 認(rèn)證就會(huì)失敗，立刻被發(fā)現(xiàn)。

請求數(shù)據(jù)可信、響應(yīng)數(shù)據(jù)可信、端到端完整性—— 一次全給到。

第三把：賬單鎖 —— 每一分錢，都有據(jù)可查

明文只有智能體看得到，那中轉(zhuǎn)站怎么按用量計(jì)費(fèi)？

TrustedARI 用零知識(shí)證明解決：TrustedARI 構(gòu)建了可驗(yàn)證的計(jì)費(fèi)機(jī)制。智能體上報(bào)計(jì)費(fèi)字段，并附上證明 —— 證明這些字段確實(shí)來自服務(wù)方返回的 TLS 認(rèn)證響應(yīng)，不是為了少付費(fèi)偽造出來的數(shù)字。

中轉(zhuǎn)站不用看完整響應(yīng)消息，也能驗(yàn)證賬單真實(shí)有效。在保護(hù)響應(yīng)數(shù)據(jù)的機(jī)密性和完整性的同時(shí)，保證了按調(diào)用量、按 token、按工具執(zhí)行狀態(tài)結(jié)算的商業(yè)可持續(xù)性。

糊涂賬，變成公平透明的明白賬。

能不能落地，實(shí)驗(yàn)說話

TrustedARI 基于 TLS 1.3 協(xié)議棧實(shí)現(xiàn)了原型系統(tǒng)，在GitHub、Google、OpenAI 等 10 個(gè)真實(shí)服務(wù) API 上進(jìn)行評估，覆蓋代碼管理、數(shù)據(jù)庫檢索、LLM 推理等典型智能體工作流。

結(jié)果顯示，TrustedARI 不只是一個(gè)密碼學(xué)概念方案，而是具備進(jìn)入真實(shí)智能體中轉(zhuǎn)場景的系統(tǒng)落地能力。

連接建立：三方 TLS 握手通信開銷較基線方案降低39.34%，端到端建連延遲最高降低50.47%。

隱私請求構(gòu)造：真實(shí) API 平均計(jì)算時(shí)延1.32 秒；結(jié)構(gòu)隱藏機(jī)制只額外增加 0.19 秒時(shí)延 和 0.58MB 通信。

可驗(yàn)證計(jì)費(fèi)：證明生成平均僅需3.50 秒，比基線方案快 28.20 倍。

一句話 —— 可信，沒有變成沉重的「性能稅」。

兼容現(xiàn)有生態(tài)，下游零改造

最關(guān)鍵的一點(diǎn)：它能直接落地。

• 智能體側(cè)：只需加載一個(gè)新的 Skill，Agent 使用不受任何影響
• 服務(wù)方側(cè)：什么都不用改，看到的還是標(biāo)準(zhǔn) TLS 連接和標(biāo)準(zhǔn) API 請求

不需要重建生態(tài)。不需要改造下游。

可信增強(qiáng)不以犧牲可用性為代價(jià)。TrustedARI模板在多類智能體上保持了接近標(biāo)準(zhǔn)格式的請求生成準(zhǔn)確率。

智能體時(shí)代，需要「可信中轉(zhuǎn)」

AI 中轉(zhuǎn)站（技術(shù)上稱為 Agentic Routing Infra，ARI）的價(jià)值，來自它統(tǒng)一連接模型、工具和外部服務(wù)的能力。

它的風(fēng)險(xiǎn)，也恰恰來自這里。

當(dāng)中轉(zhuǎn)站連上大模型、代碼倉庫、數(shù)據(jù)庫、企業(yè)系統(tǒng)，它就不再是一個(gè)「請求轉(zhuǎn)發(fā)器」——

而是智能體訪問外部世界的關(guān)鍵控制面。

如果這個(gè)控制面，還靠平臺(tái)「自證清白」，

那隱私泄露、服務(wù)替換、結(jié)果篡改、異常計(jì)費(fèi)，就會(huì)成為整個(gè)智能體基礎(chǔ)設(shè)施里的系統(tǒng)性薄弱環(huán)節(jié)。

AI 中轉(zhuǎn)站的下一步，不會(huì)只比誰接入的模型更多、價(jià)格更低、調(diào)用更方便。

智能體時(shí)代真正需要的，是從「可用中轉(zhuǎn)」走向「可信中轉(zhuǎn)」。

把信任的基石，從「靠人品」，換成「靠數(shù)學(xué)」。

TrustedARI，正是這一節(jié)點(diǎn)上的可信原生答案。

團(tuán)隊(duì)介紹

本研究由清華大學(xué) InspiringGroup 完成，項(xiàng)目核心成員包括：李琪、鄒振華、李碩、徐明偉老師、劉卓濤老師。

劉卓濤老師團(tuán)隊(duì)長期研究可信 AI，從算法、模型、系統(tǒng) Infra、網(wǎng)絡(luò)和芯片層面系統(tǒng)解決 AGI 時(shí)代的可信問題，在相關(guān)領(lǐng)域發(fā)表論文近百篇，代表性成果獲得 ACM CCS 2025 杰出論文獎(jiǎng)（獲得全部滿分 review）、連續(xù)兩年獲得 USENIX Security 杰出論文獎(jiǎng)（中國學(xué)者首次），此外還獲得兩項(xiàng) Google 杰出工程獎(jiǎng)、美國 NSF 創(chuàng)新團(tuán)體獎(jiǎng)、以及多項(xiàng)企業(yè)合作成果獎(jiǎng)等榮譽(yù)。團(tuán)隊(duì)長期招收實(shí)習(xí)生、博士生和博士后。