AI中转站正在「裸奔」：清华团队提出首个可信原生中转基础设施TrustedARI

当 AI 智能体真正开始干活，它的每一次请求，都要经过一个你看不见的「中间人」。

你猜怎么着？这个中间人，正在读你的提示词、改你的结果、偷你的账单。

清华团队提出的 TrustedARI，要做的就是把这种“靠人品”的信任，换成“靠数学”的证明。

当所有人都在卷 Agent 能力的时候，一个你看不见的风险，正在悄悄变大——

AI 智能体从聊天窗口走向真实任务，需要频繁调用外部的模型、工具和服务——

调模型推理、连邮箱、连代码仓库、连浏览器，甚至连企业 SaaS。

面对这一堆碎片化的接口、账号、订阅和额度，智能体自然需要一个统一的中转层来收口。

这个中转层，技术术语叫智能体中转基础设施或智能体路由基础设施（Agentic Routing Infrastructure，ARI）。

它正成为智能体连接外部世界的关键入口。

但关键入口，也正变成新的高风险信任边界。

运营主体不明、备案信息缺失、技术来源和数据流向不透明。

低价便利的另一面，是背后的重重安全风险：

• 数据裸奔，隐私泄露；模型缩水，结果失真；

• 恶意植入，远程控制；数据出境，失管失控。

把视角往下沉一层，问题立刻变得复杂起来。

在典型架构里，中转站同时握有

：

• 它能

  看见
  你请求和响应的明文

• 它能

  决定
  你的请求最终发往哪里

• 它能

  改写
  你的请求、响应，甚至篡改 Token 用量这种计费字段

你的提示词、商业文件、代码片段、模型输出——它全看得见。

本该发往高端模型的请求，可能被悄悄转给低配模型，Token 质量没法保证。

本该调用官方工具的请求，可能被转向未知的服务提供商。

^{AI 中转层的安全风险}

而当中转层连的不只是大模型，而是邮箱、数据库、企业系统时——

风险就不再是“内容泄露”，而是直接升级成

。

更扎心的是：面对这一切，过去你能做的，只有一件事——

相信平台不作恶。

来自清华大学

的 TrustedARI，给出了一个新答案——

• 论文题目：TrustedARI: Towards Trust-Native Agentic Routing Infrastructure for Agentic AI

• 论文链接：https://arxiv.org/abs/2606.15822

，从协议层重新配置权利与约束。

中转层照样能做路由、做适配、做计费。

但它不能再越权看

。

在 TrustedARI 中，智能体和 ARI 通过安全多方计算共同组成一个分布式“虚拟客户端”，并与下游服务方建立标准 TLS 会话。这样，服务方看到的仍然是标准请求；而在智能体和 ARI 之间，服务绑定、请求构造、响应验证和计费结算则通过 TLS 认证、多方安全计算和零知识证明完成可信增强。换句话说，

。

^{TrustedARI 协议功能示意图}

具体怎么做到？三把锁。

TrustedARI 设计了面向 ARI 的三方 TLS 握手机制。

智能体和中转站共同建立面向服务提供方的安全连接，同时智能体可以独立验证对方身份。

智能体不再只能听中转站“声称”它调用了目标模型——而是能使用 TLS 密钥“亲自验证”当前会话确实绑定到了预期服务提供方。

高端模型，不能被静默换成低配。

工具请求，不能被偷偷转去错误的服务方。

传统模式：你把内容明文交给中转站，它再补上 API key 和格式适配，转发给下游模型服务商或者 MCP 工具服务商。这正是数据不可信的根源。

。把请求构造重构成：双方基于公开模板，基于多方安全计算协议拼接双方的隐私输入，共同生成结构合法、可被服务方处理的 TLS 加密请求。

• 智能体，不需要知道中转站的 API key

• 中转站，也看不到你的提示词、业务数据和工具参数

• 连字段长度、边界这种结构信息，都一并加密保护

响应回来，

，中转站只看到加密消息；一旦中转站。

——一次全给到。

明文只有智能体看得到，那中转站怎么按用量计费？

TrustedARI 用零知识证明解决：TrustedARI 构建了可验证的计费机制。智能体上报计费字段，并附上证明——证明这些字段确实来自服务方返回的 TLS 认证响应，不是为了少付费伪造出来的数字。

中转站不用看完整响应消息，也能验证账单真实有效。在保护响应数据的机密性和完整性的同时，保证了按调用量、按 token、按工具执行状态结算的商业可持续性。

糊涂账，变成公平透明的明白账。

TrustedARI 基于 TLS 1.3 协议栈实现了原型系统，在

，TrustedARI 不只是一个密码学概念方案，而是具备进入真实智能体中转场景的系统落地能力。

：三方 TLS 握手通信开销较基线方案降低 39.34%，端到端建连延迟最高降低 50.47%。

：真实 API 平均计算时延 ；结构隐藏机制只额外增加 0.19 秒时延 和 0.58MB 通信。

：证明生成平均仅需 ，比基线方案。

一句话——可信，没有变成沉重的“性能税”。

最关键的一点：它能

。

• 智能体侧：只需加载一个新的 Skill，Agent 使用不受任何影响

• 服务方侧：什么都不用改，看到的还是标准 TLS 连接和标准 API 请求

不需要重建生态。不需要改造下游。

^{可信增强不以牺牲可用性为代价。TrustedARI模板在多类智能体上保持了接近标准格式的请求生成准确率。}

AI 中转站（技术上称为 Agentic Routing Infra，ARI）的价值，来自它统一连接模型、工具和外部服务的能力。

它的风险，也恰恰来自这里。

当中转站连上大模型、代码仓库、数据库、企业系统，它就不再是一个“请求转发器”——

而是智能体访问外部世界的

。

如果这个控制面，还靠平台“自证清白”，

那隐私泄露、服务替换、结果篡改、异常计费，就会成为整个智能体基础设施里的系统性薄弱环节。

AI 中转站的下一步，不会只比谁接入的模型更多、价格更低、调用更方便。

智能体时代真正需要的，是

。

把信任的基石，从“靠人品”，换成“靠数学”。

本研究由清华大学 InspiringGroup 完成，项目核心成员包括：李琪、邹振华、李硕、徐明伟老师、刘卓涛老师。

刘卓涛老师团队长期研究可信 AI，从算法、模型、系统 Infra、网络和芯片层面系统解决 AGI 时代的可信问题，在相关领域发表论文近百篇，代表性成果获得 ACM CCS 2025 杰出论文奖（获得全部满分 review）、连续两年获得 USENIX Security 杰出论文奖（中国学者首次），此外还获得两项 Google 杰出工程奖、美国 NSF 创新团体奖、以及多项企业合作成果奖等荣誉。团队长期招收实习生、博士生和博士后。