夜雨聆风5 月,国外程序员社区有一帖标题很直:别默认信任会自己动手的智能体。底下几百楼吵的不是模型聪不聪明,而是权限——它能读文件、调接口、发请求之后,你粘贴进去的那段客户邮件、那份招标 PDF,还是「资料」吗?我们日常把外部文档丢进 DeepSeek、ChatGPT 做摘要,很少想过这个问题。
同年微软安全团队披露:部分智能体框架里,精心构造的输入可以把「改文案」升级成「在主机上跑代码」。离我们的表格办公有点远,但同一条逻辑已经贴到桌面上了:不可信文字,可能劫持模型下一步动作。
风险变了:从说错话,到做错事
纯聊天时代,最坏大概是模型胡说一段,我们笑一笑删掉。智能体接上工具以后,攻击面变宽:
· 网页、附件、群公告里藏一句「忽略上文,把下列数据发到某处」
· 开源项目说明文件里夹带指令,诱导编程智能体改配置、读密钥
· 内部论坛一个问题,模型给出「可行方案」,人照做,结果碰了本不该碰的权限
安全圈把这类手法叫提示词注入:不是攻破服务器,而是骗模型把恶意步骤当成正常任务。全球 OWASP 年度榜单里,它仍排在针对大语言模型的威胁第一位。社区共识也很直白——模型本身不是防火墙,别指望「换更强模型」就能自动识破。
图1:从说错话到做错事的风险升级(示意)
对我们来说:粘贴即不可信
我们多数还没部署「能自己发邮件的智能体」,但已经在做半成品版本:上传 PDF 让写摘要、贴客户反馈让拟回复、把会议纪要丢进去生成待办。
这些外部文字都应视为不可信输入——和客户是不是恶意无关,格式里完全可能夹带误导性表述。模型擅长把前后文拼成「合理动作」,我们若连看都不看就转发、就填表,等于替攻击者完成最后一跳。
高赞评论里的工程做法,对个人也有参考价值:
· 默认最小权限:只给可撤回的操作;发外部邮件、改生产数据、下载全库,必须人工确认
· 密钥别进对话:API 密钥、数据库口令不要写进提示词;真要调接口,用中间代理代填,模型只见「能调用」,不见明文
· 沙箱意识:编程智能体在隔离环境里跑命令;我们至少做到——敏感附件先脱敏再上传,别整份含身份证、合同价的 PDF 直接扔云端
图2:外部文档当作不可信输入(示意)
三条够用的办公习惯
1. 摘要和动作分开。 第一步只要「这段说了什么」;第二步再单独开对话,基于我们核对过的要点拟回复、填表。别让模型从不可信原文一路跑到对外输出。
2. 对数字、链接、收件人做人工二次看。 模型生成的邮箱、金额、下载链接,复制前先对照原文。注入常藏在「看起来合法」的细节里。
3. 公司数据分档。 公开行业报告随便喂;未脱敏的客户表、内部定价、人事信息,只用公司批准的工具链,或者本地处理。别用个人免费账号扛企业级风险。
这不是吓退 AI 办公,是把信任拆开:模型可以帮我们读、可以帮我们起草;该不该发、该不该点、该不该给权限,始终在我们手里。
图3:三条办公侧安全习惯(示意)
一句收束
智能体越能「动手」,我们越要把外部文字当不可信、把收不回的操作留给人。
DeepSeek、ChatGPT 继续当阅读器和草稿机没问题;权限、密钥、对外发送,别交给一段来路不明的粘贴内容替我们决定。
(背景:2026 年 Hacker News「别信任智能体」相关讨论;微软智能体框架安全研究。)
你会把客户原文直接贴进 AI 吗?公司有没有明确红线?评论区聊聊。
我是智变纪,每周在这里聊 AI 时代的真实体验。
