ADR：面向 MCP 智能体的检测与响应，在 Uber 规模验证

这是什么？

2026 年 5 月 17 日，Uber 的一支团队发布了 ADR: An Agentic Detection System for Enterprise Agentic AI Security（arXiv:2605.17380，MLSys 2026 海报）。论文称其为首个经过生产环境大规模验证的框架，用于监测通过 模型上下文协议（MCP） 运行的 AI 智能体——即如今常见的架构：Cursor、Cline 或 Claude Code 等宿主与远程 MCP 服务器通信，后者提供文件读写、API 调用与数据库访问能力。

其动机是许多团队都会认同的一个盲点。传统 EDR 工具只能看到 结果——某个文件被写入、某个 API 被调用——却看不到智能体的提示词、推理过程，以及把指令与动作相连的因果链。如此一来，便无法区分一次恶意外泄与一次普通的配置保存。ADR 的主张是：智能体安全需要为智能体量身打造的遥测，以及足够廉价、能够规模化运行的检测。代码与基准已在 GitHub 开源。

工作原理

ADR 由三个组件构成，各自对应一个熟悉的 SOC 角色：

组件            角色（SOC 类比）          功能
--------------  ------------------------  --------------------------------------
ADR Sensor      可见性 / EDR 代理         解析智能体工具的本地缓存（Cursor、
                                          Cline、Claude Code 的 SQLite / JSONL
                                          缓存），重建完整会话：提示词、推理、
                                          MCP 工具调用、运行环境上下文
ADR Detector    分级分诊 + 分析师         一级：低成本、高召回的 LLM 分诊
                                          （"存疑则升级"）；二级：结合企业
                                          上下文与威胁情报的深度推理
ADR Explorer    内部红队                  离线引擎，在部署前生成并测试攻击
                                          变体，再反馈回二级检测

其核心原则是 因果遥测，而非仅记录结果：Sensor 记录某件事 为何 发生（提示词 → 推理 → 工具执行），从而弥合可观测性盲点。两级 Detector 之所以存在，是因为在生产体量下（每天逾 1 万次会话）对每个事件都跑一遍 LLM 成本过高——一级会短路明显无害的活动，仅将可疑事件升级到成本更高的二级。离线 Explorer 持续发现”困难样本”，并将其编入威胁情报库，使检测在攻击进入生产之前、而非之后得到改进。

此处不复现任何漏洞利用，理解该架构也无需如此；权威参考是论文及其代码仓库。

为何重要

其独到之处在于：这并非实验室原型。ADR 已 在 Uber 运行逾十个月，覆盖 逾 7200 台唯一主机，每天处理 逾 1 万次智能体会话。在生产中，它揭露了 跨 26 个类别的数百起凭据外泄——这些凭据被分享到企业网络之外——并支撑起一层”左移”预防机制，报告 97.2% 的精确率（在数十万次会话中，从 212 个唯一凭据中检出 206 个）。

在公开的 ADR-Bench 基准上（302 项任务——42 项恶意、260 项良性——覆盖 133 个 MCP 服务器与 17 种攻击技术），ADR 报告 零误报、同时检出 67% 的攻击，在 F1 上以 2–4 倍领先三个基线（ALRPHFS、GuardAgent、LlamaFirewall）。作者刻意优化精确率：基线方法在 260 项良性任务上最多产生 40 个误报，对企业而言即 40 次昂贵且无谓的事件响应触发。这种取舍——零误报地检出三分之二的攻击，而非检出更多却淹没 SOC——正是部署智能体监测者的实践教训。

防御

ADR 本身即防御，因此要点在于如何对智能体监测进行埋点与评估。

1. 捕获因果链，而非仅结果。 文件写入与 API 调用日志无法区分外泄与配置保存。重建提示词 → 推理 → 工具调用，使行为可解释。Sensor 通过解析智能体工具的本地缓存做到这一点。
2. 分级检测以控制成本。 对每个事件都跑推理型 LLM 无法规模化。先用低成本、高召回的模型分诊，将昂贵的上下文分析留给被标记的事件。
3. 持续进行离线红队。 在部署前生成困难的攻击变体并反馈进检测逻辑，而非坐等新型攻击在生产中出现。
4. 把凭据外泄当作一等信号。 该部署最大的现场发现就是凭据离开网络——应针对多种格式显式监测。
5. 为生产优化精确率。 一道向 SOC 倾倒误报的护栏，无法在实际运营中存活。请报告你的工作点（召回率 与 误报数），而不仅是抢眼的检出率。

状态

项目	参考	日期	备注
ADR 系统	arXiv:2605.17380	2026-05-17	Sensor + 两级 Detector + 离线 Explorer
生产部署	Uber	约 10 个月	7200+ 主机，10000+ 会话/天，97.2% 精确率
ADR-Bench + 代码	github.com/uber/ADR	2026-05	302 项任务，133 个 MCP 服务器，17 种技术
报告结果	ADR-Bench	2026-05	0 误报，67% 检出，F1 为基线的 2–4 倍

需牢记：这是 一家厂商的内部部署、采用自报数据，以 MLSys 海报形式呈现，而非独立评测。持久且可迁移的要点是架构层面的：MCP 智能体造成了传统 EDR 无法填补的可观测性盲点，弥合它需要面向智能体的原生遥测、成本感知的分级检测，以及一条在攻击者之前先对检测器做红队的反馈回路。