这周，每个 agent 开发者都应该重新思考“信任”

“我写的 agent 会把我的账全转走吗？”——这本来是个段子，但 Robinhood 这周宣布让你家 agent 直接下单，加上 CAPTCHA 依然能拦住 agent、jqwik 包里有人偷偷塞了删数据 prompt，甚至有人专门写了 protestware 针对 coding agent。我不信你没在工位上叹一口气。

信任崩塌的速度，比 agent 跑 dev 环境还快。

机器偷渡：当你以为 agent 很乖的时候

先讲个惊悚的。jqwik —— Java 生态里一个不算冷门的 property-based testing 库 —— 最近被人发现里面藏了 prompt injection。目的是让 AI coding agent 在读文档或代码时，被诱导执行 rm -rf 类操作，目标是“vibe coders”——那些盲目信任 AI 输出的开发者。Ars Technica 那篇报道标题写得很直白：Fed up with vibe coders, dev sneaks data nuking prompt injection。你猜怎么着？还真有人解包出来看了。

这不是孤例。另一篇博客 《Protestware for coding agents》 也提到，有人在 npm 包里面植入针对 agent 的“抗议逻辑”——当 agent 调用该函数时，会输出“别再让我写单元测试了”之类的内容。恶意性和玩笑门槛都在降低，我怀疑很快就会有供应链攻击专门瞄准 agent 的代码执行链。

另一头，roundtable.ai 的测试结果很扎心：CAPTCHA 依然能稳稳地拦住 agent。不是说视觉识别不行，而是 agent 在面对“旋转图片、选择包含自行车的格子”这种任务时，准确率依然远低于人类。如果连 CAPTCHA 都过不了，说 agent 能改变世界——靠啥？API 白名单里干活吗？

权限放得太快，连银行都开始拉闸了

Robinhood 的新闻在 Hacker News 上 109 pts，标题极其直白：Robinhood now lets your AI agents trade stocks。翻译一下：你写个 agent，给它一个 API key，它就能帮你买股票、卖股票、跑高频策略。Robinhood 当然说有风控、有额度限制——但这条新闻下面第一高赞是：“请问如果我的 agent 被 prompt injection 了，谁赔？”

我换过几个角度想——其实很多金融 API 早就有自动化交易了，但那是量化基金自己写的 agent，受严格审计。现在开放给普通用户，让 GPT-5.5 或 Claude 生成的代码直接操作钱，这个链路里信任谁来负责？平台、模型提供商、还是开发者自己？目前没有任何明确答案。

另一边，有人还在造轮子

当然，不能只唱衰。这周的新工具也能看出行业的挣扎方向。

Ktx (86 pts) 是一个可执行的上下文层，专门给数据 agent 用。它把数据源的 schema、权限、动态上下文打包成一个轻量层，agent 请求数据时不用直接连数据库，而是通过 Ktx 暴露的接口。说白了就是加一层代理，控制 agent 能读到什么。思路正确。

Open Envelope (44 pts) 试图为“agent 团队”定义 schema。你声明有哪些 agent，每个 agent 的 role、tool list、memory，然后让编排引擎解析。类似于 Kubernetes 之于容器，但它目前还停留在 schema 阶段，没看到实际跑用例。方向对，但早期。

Zot (100 pts) 是另一个 coding agent harness，作者说自己写是因为“现有的都不够顺手”。我不评价具体代码——但这条 news 能堆到 100 pts 说明社区对更好的 agent 框架还是渴求的。

DeepSWE (65 pts) 倒是值得留意：一个声称“无污染”的长期编码 agent 基准。作者打了 300 多个真实 issue，每个都已经去掉公开的答案（防止 agent 过拟合），跑一遍能更公平地评估长程任务。我还没空跑，但从 readme 看逻辑严谨。

厂商动态：OpenAI 砸案例，LangChain 改名

OpenAI 这周发了好几篇博客。Braintrust 用 Codex + GPT-5.5 把客户需求直接转成代码，把实验周期从周缩到小时。Boston Children’s Hospital 拿 AI 辅助诊断了 40 多例罕见病——这是相对正面的用例，责任边界清晰：医生最后确认，AI 只做候选筛选。还有一个比较重要的公告：Rosalind Biodefense，专门给生物防御领域的可靠开发者开放 GPT-Rosalind。同时发了《第三方评估指南》，试图建立生态信任标准。

LangChain 那边动作更多：他们把 Agent Builder 改名为 LangSmith Fleet，同时上线了聊天上传文件、tool registry、定期报告、Deep Agents v0.4。名字从“Builder”变成“Fleet”，能看出野心——不再是单 agent 聊天，而是舰队式的 agent 集群管理。但说实话，“Fleet”这个术语在安全领域已经被用了很多年（容器编排、设备管理），工程师对这个词第一反应往往是“又贵又复杂”。

最后，一句冷水

有两篇文章我放在最后提，因为它们说的可能是大实话。

一篇叫 Why AI Agents Cannot Change Software Systems，作者直接说：agent 可以改代码，但无法维护系统。因为真正的软件系统存在大量隐性约束：遗留的配置、运维脚本、异常分支、业务逻辑的“不写在代码里”的部分。agent 只能看到文件里的 diff，看不到“为什么这里要这么写”。

另一篇 Webflow 的博客号称《Evolving Webflow for the Agentic Web》，但里面更多是想象。你回头看看，Webflow 自己还没彻底解决可视化编辑器 vs 代码编辑器矛盾呢。

我不说 agent 没未来——但这周的材料让我觉得，大家都把“让 agent 能做什么”想得太简单，把“怎么确保 agent 不乱做什么”想得太少了。

也许 6 个月后回头看这篇周刊会打脸，至少现在，我会在 agent 的 system prompt 里加上一行：“你绝对不可以调用 rm、dd 和任何金融 API。”