Google 推出 AI Agent 工具发现与验证开放标准：填补工具供应链安全空白

Google 发布了 AI Agent 工具发现与验证的开放标准，这是业界首个针对 AI Agent 工具调用安全性的开放标准。该标准允许 AI Agent 在调用外部工具前动态发现并验证工具的完整性和授权状态，填补了 Agent 供应链安全中工具验证环节的空白。

标准的核心能力

新标准围绕三个核心机制构建：

工具元数据格式

标准定义了一套统一的工具元数据格式，包含工具的以下关键信息：

• 身份标识：工具的唯一 ID、发布者、版本号和发布日期
• 能力声明：工具的功能描述、输入参数规格、输出格式和预期行为
• 依赖关系：工具自身的依赖树和运行时要求
• 安全属性：工具的权限需求、数据访问范围和隐私声明

标准化的元数据格式使得 Agent 可以在运行时对比多个来源的工具信息，检测不一致之处。

签名验证机制

这是标准中最重要的安全组件。工具发布者可以使用私钥对工具包进行数字签名，Agent 在调用前通过发布者的公钥验证签名：

• 完整性验证：确认工具包未被篡改——任何二进制修改都会导致签名校验失败
• 来源验证：确认工具确实来自宣称的发布者，而非冒名顶替者
• 版本追溯：验证工具的版本号是否与发布者记录的版本一致，防止版本回滚攻击

权限声明协议

标准要求工具在元数据中明确声明其所需的权限和访问范围：

• 工具声明需要访问哪些系统资源、网络端点或数据域
• Agent 可以据此判断工具的行为是否超出其声称的授权范围
• 当工具声明的权限与 Agent 自身的安全策略冲突时，Agent 可以拒绝调用

填补的三项空白

在当前 Agent 工具调用生态中，存在三个明确的安全空白，新标准一一回应：

空白一：工具来源不可验证

当前，Agent 调用工具时对工具的来源几乎没有验证——它信任工具注册表提供的包就是正确的包。Mastra 供应链攻击（140+ npm 包被投毒）正是利用了这一点：攻击者发布的恶意包在工具注册表中看起来和原版无异。

→ 标准回应：签名验证机制让 Agent 可以确认工具包的发布者身份和完整性。

空白二：工具行为边界模糊

Agent 调用工具时，无法预知该工具在运行时会执行什么操作。某些看似简单的「文本格式化工具」可能在后台发送网络请求、读取文件或修改系统配置。

→ 标准回应：权限声明协议要求工具在生产前声明其行为范围，Agent 可以据此做出调用决策。

空白三：运行时完整性无保障

工具被加载到 Agent 运行时后，其行为是否与发布时一致，当前无法验证。内存篡改、钩子注入等攻击可以在 Agent 不知情的情况下修改工具行为。

→ 标准回应：签名验证不仅覆盖工具包的静态内容，也为运行时的完整性校验提供了基础。

与 MCP 授权层的集成前景

Google 的这项标准与 MCP 协议近期新增的企业级授权层在目标上高度一致——都在为 Agent 工具调用建立安全管控框架：

如果两者能够集成，将形成 Agent 工具调用的完整安全链路：

工具发现 → 元数据验证 → 签名校验 → 权限匹配 → 授权决策 → 调用执行 → 审计记录

对 Agent 生态的影响

对 Agent 框架开发者：需要实现标准的工具元数据解析和签名验证逻辑。未来 Agent 框架的「工具加载器」需要内嵌验证引擎。

对工具开发者：需要为自己的工具生成符合标准的元数据声明，并使用私钥对工具包签名。签名管理将成为工具发布流程的一部分。

对企业安全团队：可以基于此标准建立 Agent 工具的信任策略——只允许运行经过签名验证且权限声明符合策略的工具。

参考资料

• Help Net Security「Google launches open standard for AI agent tool discovery and verification」，2026-06-18，https://www.helpnetsecurity.com/2026/06/18/google-agent-tool-discovery-standard/
• Google 官方公告，2026-06-18
• MCP 协议规范：https://modelcontextprotocol.io/