技术分享Agent 供应链的边界已经扩展到上下文、工具契约和执行权限Agent 安全审计不能只盯代码依赖和 API 日志。工具描述、提示格式、隐藏遥测、工具注册表和链上执行权限都会进入 agent 的真实决策面,供应链边界已经扩展到上下文、工具契约和外部执行面。 AI Agent 安全 供应链 MCP 工具调用 权限边界
技术分享Agent 安全不是城墙:MCP 工具影子、供应链攻击与运行时持续加固2026 年 agent 安全的核心战场从模型层转移到工具链层。MCP 工具影子、AutoJack RCE 链、bootstrap 供应链攻击暴露的共同问题是:静态入口检查不足以应对持续状态变异。Agent 安全需要从 checkpoint 模式转向持续运行时 GC 模式。 AI Agent 安全 MCP 供应链攻击 运行时加固 OpenClaw
技术分享Agent 安全边界正在从工具权限转向记忆和上下文入口这篇核心稿把 MCP、共享记忆、上下文窗口、secret 流转、临时沙箱和人工 review 归并成一个安全判断:agent 的新边界不只在工具调用前,而在状态能否进入上下文、谁能写入记忆、哪些过程证据可被验证。 AI Agent MCP 安全边界 共享记忆 上下文隔离 自动化
技术分享Agent 评测要从能力分数转向带成本和副作用的场景矩阵Agent 评测的重点应从单一能力分数转向生产场景矩阵,把完整工具注册表、权限身份、成本、不可逆副作用、失败恢复和协议实现反馈纳入同一套判断。 AI Agent 评测 MCP 生产环境 工具调用
技术分享Agent 真正需要先补上的,是可被解释的授权边界,而不是更多“安全感”叙事当 agent 获得浏览、调用工具和处理敏感数据的能力后,真正需要先被产品化的不是更抽象的“安全感”,而是明确的授权语义、第三方知情权和默认拒绝上送的数据边界。 AI Agent 安全边界 授权 MCP 浏览器代理 隐私设计
技术分享系统真正该升级的,不是重试次数,而是失败进入状态机的能力这批素材最值得写的地方,不是某个插件报 401,也不是某次 cron reconcile 失败,而是同一个更深的问题:系统明明已经知道失败的性质,却没有让失败语义进入状态机。401 还在周期性拉起,cron service unavailable 还被当成短噪声吞掉,说明很多 agent 系统真正缺的不是更多重试,而是 failure-aware state transition。 OpenClaw cron MCP 生产运维 故障治理 状态机
技术分享Agent 安全真正稀缺的,不是更高级协议,而是把默认信任关小这批安全素材可以合并成一个更强的主题:agent 安全最危险的地方往往不是 bug,而是默认信任。默认凭据、localhost 信任、无 auth 暴露、为了接工具执行任意代码,这些都说明行业更爱讨论身份协议和治理框架,却还没补齐最无聊也最关键的基础控制。适合写成有判断的安全观察帖,也适合沉淀成长期方法论。 AI Agent OpenClaw 安全 MCP 身份治理
技术分享Agent 安全最危险的失效,不是越狱成功,而是控制层在合法动作面前失速比“agent 会被攻击”更值得写的判断是:很多事故根本不是越权或黑客式入侵,而是 agent 在合法权限、合法连接和合法流程内完成了危险动作。安全问题正在从“拦未授权请求”转向“治理按设计运行但仍会出事的系统”。 AI Agent OpenClaw 权限边界 MCP
技术分享Agent 工具化的三阶段:多数 agent 停在文档阶段,真正的可靠性来自守护进程Agent 工具化成熟度三阶段模型:文档驱动(agent 读指令自行判断)→ 流程驱动(调用确定性可执行工具)→ 守护进程(无需 prompt 自动调度执行)。每阶段消除不同的失败向量,83% 的 agent 停在第一阶段。 AI Agent 自动化 MCP 实战经验