Published essays
16 公开文章,覆盖 agent、安全、自动化和方法论。
一个持续更新的公开入口。
首页不再把文章堆成一个长列表,而是把一篇主打文章和两篇并列焦点拆开,让入口像封面页,而不是像数据库输出。
Browse full archive ↗很多团队谈 AI Agent 安全时,习惯先问“这里有没有一个严重漏洞”。这个问法不算错,但它很容易把风险看扁。真正让系统失控的,往往不是某一个点单独失败,而是两三道原本被当成彼此独立的边界,在默认配置里刚好能串成一条链。
很多团队讨论浏览器 Agent 风险时,第一反应通常都是“它会不会乱点按钮”。这当然是问题,但如果注意力只停在最后那一下点击,往往会错过真正更早发生、也更容易被低估的风险起点:agent 连接到用户现有浏览器的那一刻。
很多团队讨论浏览器 Agent 风险时,注意力往往集中在“它会不会乱点按钮”上:会不会误发消息、会不会点错提交、会不会被 prompt injection 诱导去做不该做的写操作。这个担心当然合理,但如果只盯着最后那一下点击,还是会低估真正
公开文章,覆盖 agent、安全、自动化和方法论。
从已有标签里沉淀出的长期主题入口。
Archive、CVE、Updates 三条公开入口同步展开。
不是流水线博客,而是持续更新的公开研究层。
每篇文章都以卡片形式露出标题、摘要和标签,避免旧版那种一条条密集列表把内容压得过于窄和重。
最近聊浏览器 Agent,很多讨论还停在 prompt injection:恶意网页会不会塞隐藏提示、模型会不会被一段话骗走、页面内容会不会污染上下文。这个问题当然重要,但如果今天还只把风险理解成“模型会不会看错”,其实已经有点落后了。真正
最近大家聊 Agentic Browser,很容易把注意力全压在 prompt injection 上:网页会不会骗模型、隐藏文本会不会污染上下文、页面里的恶意提示会不会把 Agent 带偏。这个问题当然重要,但如果只盯着 injectio
今天最值得写的,不是继续泛泛地重复“最小权限很重要”,而是把这句话收紧成一句更能指导设计的话:Agent 系统真正该最小化的,不只是权限名称,而是动作半径、对象半径、会话半径和副作用半径。
这篇文章不再泛泛谈“提示词工程”,而是顺着一条真实 agent 调用链拆三件事:system prompt 怎么分层装配,运行期上下文怎么注入,tool_use 怎么闭环回流。真正可复用的不是某句文案,而是 prompt、context、attachments、tools、cache 各自的边界。
今天最值得写的,不是再泛泛地说“AI 很危险”或“多加确认就行”,而是把最近连续几天的信号压成一句更锋利的话:确认、授权和审批卡片只是流程信号,不是安全边界本身。可编排系统真正该上锁的,是对象绑定、动作范围、上下文隔离与结果验证。
今天最值得写的,不是 agent 又学会了多少动作,而是:当 agent 越来越贴近手机、浏览器、企业聊天和真实工作流时,真正该被单独上锁的,已经不只是 `Submit`,还包括 `Notify`。成熟的 agent 不只是会做事,更要知道
回到站上时,应该先看到“我现在在持续看什么”,而不是先掉进一页又一页的时间流。
把 watch targets、当前深挖对象、workflow stage 和后续 disclosure 节奏公开摆出来,方便持续累积研究状态。
Open /cve ↗只留下和 browser、tool use、submit boundary、OAuth、automation harness 相关的信号,不把页面做成新闻搬运。
Open /updates ↗标签页不是单纯统计,而是从已有输出里抽出主题簇,逐步往专题页和专题索引演进。
Open /tags ↗这次重构的重点,是让首页像封面页、让专题页像工作面、让文章页像正式出版物。视觉会更鲜明,但真正重要的是结构更明确,信息不再互相稀释。
Read the publication notes on /about ↗