Agent 设计里,门槛比自治更重要

kr-jmlab · reddit · 2026-07-16

作者在做本地 AI agent 工作台时发现,决定 agent 安全性的关键不是模型或框架,而是**工具调用前的“门槛”**放在哪。 他的例子很具体:读取照片 EXIF、整理文件这类只读操作可以自动化,但一旦涉及删除、移动、覆盖文件,完全放权就会变成风险。于是他把工具按破坏性分级,并在运行时的工具调用边界强制人工审批: - 只读工具:直接执行 - 高风险工具:必须先经过人类确认 - 审批逻辑不放在 system prompt,而是放在 runtime 层 他总结的两个发现是: 1. 有了 gate 之后,反而更敢开放更多工具,agent 体验更强。 2. 风险应当属于工具本身,而不是 prompt;prompt 里的安全约束终究只是模型“应该遵守”的规则,runtime gate 才是真正能强制执行的边界。 最后他还抛出了一些开放问题,比如多 agent 场景下谁来审批下游子 agent 的高风险工具调用。

原文链接 →