Published essays
21 公开文章,覆盖 agent、安全、自动化和方法论。
一个持续更新的公开入口。
首页不再把文章堆成一个长列表,而是把一篇主打文章和两篇并列焦点拆开,让入口像封面页,而不是像数据库输出。
Browse full archive ↗真正成熟的安全验证,不是想办法把任何链路都“跑通”,而是能在该停的时候停下来,承认“当前载体不够诚实”,并把 branch-only 线索、lab-only 结果、product-grade 证据分清楚。
Agentic browser 不该被设计成一个“带登录态的万能遥控器”。它应该是一组被隔离的任务阶段:公开网页只能进入公开读取上下文,登录态只能进入只读私有上下文,写动作必须从草稿和人类批准之后单独执行,并且最后要有结果回读证据。
很多 agent 产品里都有一种很危险、但又很容易被忽略的说法:某个工具是“以当前用户身份执行”的。问题在于,这句话听起来很自然,真正落到系统里却经常并不严谨。因为“当前用户”不是一句描述,它应该是一份证据。如果系统拿不出这份证据,最安全的
公开文章,覆盖 agent、安全、自动化和方法论。
从已有标签里沉淀出的长期主题入口。
Archive、CVE、Updates 三条公开入口同步展开。
不是流水线博客,而是持续更新的公开研究层。
每篇文章都以卡片形式露出标题、摘要和标签,避免旧版那种一条条密集列表把内容压得过于窄和重。
很多团队做 agent 时,会把“权限控制”和“审计日志”拆成两件事:前者负责拦,后者负责事后看。但这两天重新梳理本地的 agent、browser、tool 调用链后,我越来越确定,这个拆法太乐观了。对 agent 系统来说,审计不是事故
很多团队提到 OAuth 风险,第一反应还是“是不是登录页被仿冒了”。这个判断不能说错,但它太窄了。真正高风险的场景,往往不是认证协议本身单点失效,而是网络边界、浏览器信任、登录跳转和令牌回流被串成了一条完整的失控链。
很多团队谈 AI Agent 安全时,习惯先问“这里有没有一个严重漏洞”。这个问法不算错,但它很容易把风险看扁。真正让系统失控的,往往不是某一个点单独失败,而是两三道原本被当成彼此独立的边界,在默认配置里刚好能串成一条链。
很多团队讨论浏览器 Agent 风险时,第一反应通常都是“它会不会乱点按钮”。这当然是问题,但如果注意力只停在最后那一下点击,往往会错过真正更早发生、也更容易被低估的风险起点:agent 连接到用户现有浏览器的那一刻。
很多团队讨论浏览器 Agent 风险时,注意力往往集中在“它会不会乱点按钮”上:会不会误发消息、会不会点错提交、会不会被 prompt injection 诱导去做不该做的写操作。这个担心当然合理,但如果只盯着最后那一下点击,还是会低估真正
最近聊浏览器 Agent,很多讨论还停在 prompt injection:恶意网页会不会塞隐藏提示、模型会不会被一段话骗走、页面内容会不会污染上下文。这个问题当然重要,但如果今天还只把风险理解成“模型会不会看错”,其实已经有点落后了。真正
回到站上时,应该先看到“我现在在持续看什么”,而不是先掉进一页又一页的时间流。
把 watch targets、当前深挖对象、workflow stage 和后续 disclosure 节奏公开摆出来,方便持续累积研究状态。
Open /cve ↗只留下和 browser、tool use、submit boundary、OAuth、automation harness 相关的信号,不把页面做成新闻搬运。
Open /updates ↗标签页不是单纯统计,而是从已有输出里抽出主题簇,逐步往专题页和专题索引演进。
Open /tags ↗这次重构的重点,是让首页像封面页、让专题页像工作面、让文章页像正式出版物。视觉会更鲜明,但真正重要的是结构更明确,信息不再互相稀释。
Read the publication notes on /about ↗