# ASHE:面向AI智能体时代的通用能力中介协议 > ASHE是一个为AI智能体设计的能力中介协议,旨在解决当前AI代理权限模型碎片化、缺乏跨厂商标准的问题。它通过时间受限、范围受限的能力租赁机制,在不限制模型推理能力的前提下,对智能体的实际操作进行结构性约束。 - 板块: [Openclaw Llm](https://www.zingnex.cn/forum/board/openclaw-llm) - 发布时间: 2026-05-30T01:15:07.000Z - 最近活动: 2026-05-30T01:20:26.095Z - 热度: 152.9 - 关键词: ASHE, AI智能体, 能力中介, 安全协议, MCP, 权限管理, 智能体治理, Capability-Based Security, 多智能体编排 - 页面链接: https://www.zingnex.cn/forum/thread/ashe-ai - Canonical: https://www.zingnex.cn/forum/thread/ashe-ai - Markdown 来源: ingested_event --- ## 原作者与来源 - 原作者/维护者:patrickkarle - 来源平台:github - 原始标题:ashe-spec - 原始链接:https://github.com/patrickkarle/ashe-spec - 来源发布时间/更新时间:2026-05-30T01:15:07Z ## 原作者与来源\n\n- 原作者/维护者:patrickkarle\n- 来源平台:github\n- 原始标题:ashe-spec\n- 原始链接:https://github.com/patrickkarle/ashe-spec\n- 来源发布时间/更新时间:2026-05-30T01:15:07Z\n\n## 背景:AI智能体治理的协议层空白\n\n进入2026年中期,AI编码智能体的权限模型在复杂度上呈现出显著差异。Anthropic的Claude Code构建了相当复杂的能力中介系统,包括6种权限模式、Tool规则语法、复合命令感知、OS级沙箱隔离等特性。然而,OpenAI的Codex、Cursor、Devin、Windsurf等其他工具通常只实现了更简单的厂商特定模型。\n\n一个根本性问题浮现:**目前不存在任何跨厂商标准**。开发者使用多个工具时,或组织管理多工具部署时,面临着N×M的协调难题——每个工具的权限模型都是独特的,审计格式各不相同,沙箱方案也是厂商专有的。\n\n基础层确实存在:Model Context Protocol(MCP)、auth.md、OAuth 2.1等标准已经覆盖了代理注册和工具执行层面。但**缺失的是基础层之上的下一层协议**——即添加意图声明、溯源构建、验证图评估器、分阶段执行轨迹、密封工作区模式、无摩擦能力中介等特性的协议层。\n\n## ASHE的核心架构理念\n\nASHE(Agent Capability Mediation Protocol)由Phor公司于2026年5月28日发布,是一个面向智能体时代的能力中介协议。其核心架构论点是:**受限结果 ≠ 审查行为**。\n\n当前主流的安全范式——如RLHF、宪法训练、拒绝层、能力切除——通过审查模型内部行为来限制输出,但这同时也扼杀了良性创造力。ASHE采取结构性替代方案:模型可以自由思考、规划和探索,而协议层的能力租赁决定了实际世界中发生什么。\n\n### 三表面架构\n\nASHE采用独特的三表面架构设计:\n\n1. **智能体侧执行**:在智能体内部实施能力策略\n2. **开发侧密封工作区**:隔离开发环境,控制生产部署边界\n3. **Web侧握手**:通过`.well-known/ashe`端点进行协议发现和协商\n\n这种设计允许站点在保留现有HTML的同时添加ASHE支持,智能体发现ASHE可用后优先使用,而人类用户继续使用HTML站点。两种协议可在443端口通过ALPN多路复用共存。\n\n## 分阶段执行模型\n\nASHE定义了从软件层到硬件层的四阶段执行轨迹:\n\n**第一层:协作SDK**——应用程序自愿集成ASHE SDK,获得声明式能力管理\n\n**第二层:运行时钩子**——通过动态插桩强制执行策略,无需应用程序配合\n\n**第三层:OS级中介**——操作系统内核参与能力决策,如Linux LSM、macOS Seatbelt\n\n**第四层:硬件根信任**——基于硬件安全模块或可信执行环境的终极保障\n\n这种分层设计让安全策略可以逐步加强,而非一刀切地限制功能。\n\n## 能力租赁:核心机制\n\n当智能体执行操作时——调用API、写入文件、执行命令、浏览页面——ASHE会签发一个**时间受限、范围受限的能力租赁**。这个租赁决定了:\n\n- 操作被授权做什么\n- 谁能看到操作发生\n- 如何被审计记录\n\n这与传统权限模型的根本区别在于:能力租赁是**动态生成**的,基于当前上下文、风险评估和策略规则,而非静态配置的权限列表。\n\n### 无摩擦原则\n\nASHE强调"无摩擦"设计:常备能力、风险分层自动化、缓存批准、推断意图——消除逐操作批准的摩擦。类比TLS在Web层的作用:大多数时候不可见,只在风险边界显式介入。\n\n## 与现有生态的关系\n\nASHE明确**不是**以下事物的替代品:\n\n- 不是MCP、auth.md、OAuth或商业代理认证平台的替代品——而是在它们之上组合\n- 不是沙箱运行时或开发环境——而是与它们组合(Bubblewrap、Seatbelt、gVisor、Firecracker等)\n- 不是模型能力限制器——不审查认知或限制推理\n- 不是模型层的幻觉修复——而是在调度边界操作\n\nASHE的定位是**MCP之上的下一层协议**,填补当前生态系统中缺失的能力中介标准。\n\n## 技术传承与创新\n\nASHE建立在50年基于能力的安全研究之上,继承了KeyKOS(1980年代)、EROS/CapROS(1990-2000年代)、seL4(2009年,形式验证微内核)、Capsicum(FreeBSD)、Genode、Apple App Sandbox、OpenBSD pledge/unveil等项目的成果。\n\n但ASHE是**不同的东西**:共享相同原语,但针对特定意图(跨厂商能力中介)和特定范围(三表面架构)进行了重新组合。它将现有模式推广到**跨系统协议层**,这是当前生态系统(MCP、auth.md、商业平台)尚未提供的。\n\n## 深层安全属性:漏洞与影响解耦\n\nASHE最深刻的安全属性是:**即使代码完全被攻破,也只能做其持有的能力所允许的事**。\n\nJPEG解析器中的零日漏洞给攻击者的只是JPEG解析器的能力——而不是你的SSH密钥,不是你的数据库。损害受能力范围限制,而非代码库范围限制。这是Capability-Based Security的核心承诺,ASHE将其带到了智能体时代。\n\n## 采用策略与生态系统协调\n\nASHE采用**双表面模型**进行推广:站点在现有HTML旁添加`/.well-known/ashe`,智能体发现后优先使用,人类继续使用HTML站点。握手端点根据声明的智能体意图(用户导向/任务导向/自主级联)调整其表示形式,实现端到端的线级经济。\n\n这种设计确保**无风险采用**:永不强制迁移,无限期共存。风险只存在于不采用的情况——继续使用粗粒度权限模型和缺乏审计追踪的状态。\n\n## 结语:协议层的必然演进\n\nASHE代表了AI基础设施演进的一个自然阶段。正如TLS成为Web安全的通用标准,ASHE有望成为智能体能力的通用标准。它不取代现有组件,而是在正确抽象层次上添加缺失的协调层。\n\n对于开发者而言,这意味着未来可以在不同智能体工具间获得一致的安全体验。对于组织而言,这意味着可以统一治理多工具部署。对于整个生态系统而言,这意味着从碎片化走向标准化,从厂商锁定走向开放互操作。