Core Viewpoint - The article highlights a significant vulnerability in the MCP protocol, which is widely used in the AI industry, allowing attackers to exploit LLM's instruction/data confusion to access databases directly [1][3]. Group 1: Vulnerability Details - The MCP protocol has become a standard in the agent field, effectively connecting large language models with various tool services, but it is susceptible to malicious instructions hidden within user data [3][5]. - Researchers demonstrated the security risks of LLMs by building a multi-tenant customer service SaaS system using Supabase, which includes a database, authentication, and file storage [5][21]. - The attack utilized default configurations, including standard service roles and row-level security (RLS), without any additional protective measures [6][21]. Group 2: Attack Process - The attacker submitted a technical support request with a message that disguised malicious instructions, which were processed normally by the system [9][10]. - When developers later accessed unresolved tickets, they inadvertently executed embedded instructions within the attacker's message, leading to unauthorized data access [12][13]. - The system generated SQL queries that bypassed RLS restrictions, allowing sensitive data to be displayed in the conversation thread [15][17]. Group 3: Risk Mitigation Measures - The article suggests two primary measures to reduce exposure to such attacks: using read-only modes to prevent unauthorized data manipulation and implementing prompt injection filters to intercept and manage high-risk inputs [22][23]. - These measures aim to create a first line of defense against potential exploitation, especially for teams using third-party IDEs where context boundaries are unclear [23].

作者 | 李冬梅 采访嘉宾｜郭伟、汪晟杰 6 月 24 日，谷歌云官宣将 A2A（Agent-to-Agent）协议捐赠给了 Linux 基金会，消息一出引发了 AI 行业地震。这份包含智能体交互协议、SDK 和开发者工具的开源礼包，背后站着亚马逊、微软、思 科等科技巨头组成的"全明星"阵容。 Google Cloud 副总裁兼商业应用平台总经理 Rao Surapaneni 表示："通过与 Linux 基金会和领先的 技术提供商合作，我们将在值得信赖的开放治理框架下，实现更具创新性和价值的 AI 功能。" 在外界看来，谷歌云捐赠开源 A2A 的决策有点耐人寻味。在 Reddit 平台，有评论认为谷歌这么做是 对 Anthropic MCP 协议、OpenAI 函数等竞品的战略应对，但同时也揭示了行业共识：智能体经济需 要共建底层规则。 也有用户认为，MCP 已经起飞了，A2A 才开始追赶。 甚至有人厌倦了谷歌，认为 A2A 不会成功。 在 A2A 协议引发热议的同时，MCP 已经在企业级市场悄然生根。与 A2A 侧重智能体间通信不同， MCP 解决的是更基础的问题：如何让 AI 模型安全高效地调用现实世界中 ...

Core Insights - The year 2025 is anticipated to be the "Year of Intelligent Agents," marking a paradigm shift in AI development from conversational generation to automated execution, positioning intelligent agents as key commercial anchors and the next generation of human-computer interaction [1] Group 1: Development and Risks of Intelligent Agents - As intelligent agents approach practical application, the associated risks become more tangible, with concerns about overreach, boundary violations, and potential loss of control [2] - A consensus exists within the industry that the controllability and trustworthiness of intelligent agents are critical metrics, with safety and compliance issues widely recognized as significant [2] - Risks associated with intelligent agents are categorized into internal and external security threats, with internal risks stemming from vulnerabilities in core components and external risks arising from interactions with external protocols and environments [2] Group 2: AI Hallucinations and Decision Errors - Over 70% of respondents in a safety awareness survey expressed concerns about AI hallucinations and erroneous decision-making, highlighting the prevalence of factual inaccuracies in AI-generated content [2] - In high-risk sectors like healthcare and finance, AI hallucinations could lead to severe consequences, exemplified by a hypothetical 3% misdiagnosis rate in a medical diagnostic agent potentially resulting in hundreds of thousands of misdiagnoses among millions of users [2] Group 3: Practical Applications and Challenges - Many enterprises have found that intelligent agents currently struggle to reliably address hallucination issues, leading some to abandon AI solutions due to inconsistent performance [3] - A notable case involved Air Canada's AI customer service, which provided incorrect refund information, resulting in the company being held legally accountable for the AI's erroneous decision [3] Group 4: Technical Frameworks and Regulations - Intelligent agents utilize various technical bridges to connect with the external world, employing two primary technical routes: an "intent framework" based on API cooperation and a "visual route" that bypasses interface authorization barriers [4] - Recent evaluations have highlighted chaotic usage of accessibility permissions by mobile intelligent agents, raising significant security concerns [5] Group 5: Regulatory Developments - A series of standards and initiatives have emerged in 2024 aimed at enhancing the management of accessibility permissions for intelligent agents, emphasizing user consent and risk disclosure [6] - The standards, while not mandatory, reflect a growing recognition of the need for safety in the deployment of intelligent agents [6] Group 6: Security Risks and Injection Attacks - Prompt injection attacks represent a core security risk for all intelligent agents, where attackers manipulate input prompts to induce the AI to produce desired outputs [7][8] - The emergence of indirect prompt injection risks, particularly with the rise of MCP (Multi-Channel Protocol) tools, poses new challenges as attackers can embed malicious instructions in external data sources [8][9] Group 7: MCP Services and Security Challenges - The MCP service Fetch has been identified as a significant entry point for indirect prompt injection attacks, raising concerns about the security of external content accessed by intelligent agents [10] - The lack of standardized security certifications for MCP services complicates the assessment of their safety, with many platforms lacking rigorous review processes [11] Group 8: Future of Intelligent Agent Collaboration - The development of multi-agent collaboration mechanisms is seen as crucial for the practical deployment of AI, with various companies exploring the potential for intelligent agents to work together on tasks [12][13] - The establishment of the IIFAA Agent Security Link aims to provide a secure framework for collaboration among intelligent agents, addressing issues of permissions, data, and privacy [14]

证券研究报告/行业研究 MCP 协议加速 AI Agent 生态繁荣 ——人工智能行业专题研究 投资要点 ➢ AI Agent 是AI 发展的第三阶段 2024 年 11 月，Anthropic 发布 Model Context Protocol（MCP），自推 出以来，MCP 迅速成为 AI 原生应用的重要基础设施。MCP 协议如同 AI 应 用的 USB-C 端口，其最关键的设计理念是将"工具调用"与"上下文感知" 统一纳入一个协议框架，使得模型与外部世界之间的交互不仅更自然、更精 准，还可以跨模型平台共用。MCP 协议正在成为 AI 领域连接大模型与外部 世界的核心基础设施，提升了 AI 模型与外部服务的兼容性。预计未来 MCP 协议+Agentic-based 决策路径或将成为主流。 ➢ 科技巨头积极布局AI Agent 产品 从字节和阿里等科技公司近期的动向来看，AI Agent 或成为今年科技公司 布局 AI 的重要主线。整体来看，AI Agent 产业在 2024 年第四季度至 2025 年初呈现快速迭代态势，并逐渐从技术竞争转向生态价值重构。AI Agent 领 域的发展还呈现出明显的结构性分 ...

证券研究报告/行业研究 MCP 协议加速 AI Agent 生态繁荣 ——人工智能行业专题研究 投资要点 ➢ AI Agent 是AI 发展的第三阶段 根据 OpenAI 对 AI 发展的理解和定义，AI 水平可分为五大等级，智能体能 够代表用户采取行动处于第三阶段，其核心架构可概括为"核心决策中枢+ 核心认知架构+工具使用"。福布斯指出 2025 年将成为 AI 应用的分水岭即 AI 正从单纯的问答和内容生成升级为真正的"执行者"，能够独立完成实际工 作任务，而不仅仅是充当"助手"。根据 LangChain 数据，截至 2024 年底， AI Agent 的渗透率已达到 43%。 ➢ MCP 协议重构AI Agent 新范式 2024 年 11 月，Anthropic 发布 Model Context Protocol（MCP），自推 出以来，MCP 迅速成为 AI 原生应用的重要基础设施。MCP 协议如同 AI 应 用的 USB-C 端口，其最关键的设计理念是将"工具调用"与"上下文感知" 统一纳入一个协议框架，使得模型与外部世界之间的交互不仅更自然、更精 准，还可以跨模型平台共用。MCP 协议正在成为 ...

AI的前景广阔是共识，但机会只存在于模型的应用而非研发。 去年12月Anthropic推出MCP协议后，MCP的热度就一直居高不下。然后上个月，Google的A2A协议也出来了，连带着又引发了一波讨论。这两个协议之 所以火，有它的时代背景。 常看点行业新闻的朋友，应该都注意到了一种趋势，最近基础模型的训练越来越呈现出寡头化特征。有能力还有意愿搞基础大模型的，除开几家头部大 厂，剩下的创业公司已经是凤毛麟角了。 MCP跟A2A两种协议，本质上都是为AI应用铺开打造的基础设施。 AI的应用生态构建，可以看作是围绕三个角色展开的：用户、Agent和外部世界。 如果要让这个应用生态发展壮大，首先要解决的就是这几类角色之间的互联互通。 从这个角度看，很明显MCP解决的是Agent跟外部世界的互联互通，A2A解决的是Agent跟Agent之间的互联互通。但你有没有发现这里面还差点啥？Agent 跟自己，Agent跟外部世界都有了协议了来规范沟通互动，那用户跟Agent之间呢？ 今天我们要介绍的新协议AG-UI，就是针对的这个问题，它规范了Agent跟前端界面要如何连接、交流和互动。继MCP和A2A之后，AG-UI补齐了A ...

据官方公告，即日起所有用户无需等待名单，每天可免费执行一项任务（300积分），并且所有用户一 次性获得1000积分奖励。同时，Manus团队还宣布将推出付费订阅服务，分为每月19美元、39美元和 199美元三个档次，提供更高权限、额外功能及优先支持，以此加快商业化的脚步。 今年3月，这支来自中国的团队正式对外发布通用型AI Agent产品Manus。Manus定位为一位性能强大的 通用型助手，对用户不仅能提供想法，还能将想法付诸实践，真正解决问题。该产品一度被誉为"继 DeepSeek之后，AI领域又一国产突破"。彼时，由于Manus采用邀请内测限制，其邀请码在个别交易平 台被"炒"到上万元。 不过，Manus对行业真正的冲击在其基于开源模型打造的特性，这让更多人看到了AI大模型创业的可 能。"如果说大模型是搭建的网络商城，那Manus就是让大家看到，人人都能去开网店。"一位业内人士 如是形容。 如今，Manus突然宣布开放注册，或与行业激烈竞争有关。各大巨头纷纷下场入局Agent赛道自不必多 说，MCP协议等衔接工具的大面积应用也让门槛快速下降。 去年11月，国外大模型公司Anthropic开发正式推出了M ...

◎记者 罗茂林 火山引擎发布的另一款大模型——豆包1.5·视觉深度思考模型也遵循了"实用至上"的思路。 数据显示，豆包1.5·视觉深度思考模型（Doubao-1.5-thinking-vision-pro），激活参数仅20B，但具备强 大的多模态理解和推理能力，在60个公开评测基准中，有38个取得业内最佳表现，在视频理解、视觉推 理、GUI Agent能力等方面均处于第一梯队。 值得一提的是，该模型新增GUI Agent能力。基于强大的GUI定位性能，可在PC端、手机端等不同环境 中完成复杂交互任务。例如，可对新开发的App功能进行自动化检测。 5月13日，字节跳动旗下火山引擎开启上海站的大模型巡展活动，一批新的大模型产品亮相。与此前大 幅跃迁的产品更迭不同，小而专、聚焦实用，甚至是推出大模型工具，成为此次发布会产品的特点。 实用至上，火山引擎这场发布会可视为如今行业巨头布局的一个缩影。"字节在大模型产品迭代上的思 路越来越清晰，要能有可靠的商业场景，能被客户用起来，这很重要。"一位接近字节跳动的相关人士 告诉记者，相比执着于"一鸣惊人"的大招，今年以来，"小步快跑""多线程并进"成为字节发展的思路。 更小更 ...

任何行业水面之下都会隐隐暗藏一条"鄙视链"。 在人工智能行业，AIGCLINK发起人、行行AI合伙人占冰强对记者表示表示，2023年左右，行业里存在一条所谓的隐性"鄙视链"——模型公司瞧不上基于模 型开发的Agent（智能体）公司，Agent公司瞧不上搞提示词（prompt）的公司，搞提示词的公司瞧不上使用最简单AI工具的公司。 但在近期，由于Agent背后的MCP协议（模型上下文协议，Model Context Protocol）逐渐普及，这条"鄙视链"渐被共识消弭——大家不会在意某一款AI产品 背后到底是大模型还是Agent，只要产品能够高效完成用户发出的指令动作。协议令行业推动技术平权，效果成为更为重要的衡量标准。 模型刷榜、炫分、秀技的早期阶段之后，AI解决实际问题的功能被行业摆在第一位。具备规划执行功能的Agent承担起这一重任，而打破接口壁垒、构建 Agent生态的协议成为兵家必争之地。在这样的趋势下，多家大厂相继宣布对MCP协议的支持，而此举刚刚拉起未来更加波澜壮阔AI Agent 时代的序幕。 厂商密集涌入Agent赛道的背后，是新一轮"得入口者得天下"的战役。 其后，在海外市场，多款Agen ...

神译局是36氪旗下编译团队，关注科技、商业、职场、生活等领域，重点介绍国外的新技术、新观点、新风向。 编者按：MCP协议正以颠覆性力量重构AI智能体生态。本文拨开"基建先行"的认知迷雾，揭示基础设施与应用共生的底层逻辑，解析开发者如何借助协议红 利，在技术栈裂变中捕捉下一波智能体创业浪潮。文章来自编译。 核心要点 记住：技术发展不存在孤立的"基础设施阶段"。行业钟爱线性叙事——先有基建，后有应用——这种看似工整的逻辑实则谬误。我们对MCP生态的研究（关 于扩展智能体非对话能力）提供了新证据：基础设施与应用实为共生演进，持续相互驱动。 以商业史上最成功的"应用"之一可口可乐为例：饮料配方本身无需复杂的基建，但若无工业制冷、灌装技术和现代运输网络，可口可乐绝无可能成为全球现 象。而可口可乐的成功又反向推动了这些基础设施的进步。 模型上下文协议（MCP）通过连接外部服务，将智能体的功能扩展至对话之外。这一协议引发了热烈反响。 虽然MCP能否成为最终标准尚无定论，但其早期发展势头表明：市场显然需要通过一个获得很好认知的协议扩展智能体功能。 当前的MCP服务是供远大于求——数千个MCP服务器里面只有少数得到了有效应用。 ...