這個點真的很容易忽略，我寫那篇的時候也才意識到——bot 在群組裡不分對象，任何人問它都有可能間接踩到你的個人資料。 我現在自己的做法是在 AGENTS.md 裡加了一條規則：「在群組對話中，不主動提及我的行程或信件內容，也不回答跟個人帳號有關的問題。」agent 會照規則走，有人問也不會去翻你的私人東西。 更乾淨的解法是另外開一個 bot 帳號專門給群組用，完全不連任何個人服務。我兩個都設了，雙保險。

說到底跟 SQL injection 同樣邏輯，不要指望 LLM 自己防住。要在 output 和 tool execution 之間加一層 sanity check，把 LLM 的 output 當 untrusted input 處理，過一個 intent classifier 再決定要不要執行。這層不難做，但大部分人懶得加。

帳單這點真的！我現在的做法是開一個獨立的 API key 給群組專用，這樣月底對帳一眼就看出來是群組燒的還是自己用的，超省心 😳 per-user quota 的話我還沒做到這麼細，但感覺是有規模之後一定要設的東西

謝謝補充！我連 least privilege 是什麼都去查了一下 🙈 我那篇是從使用者體驗的角度出發，工程那層根本沒想到。看來在群組裡跑 AI 要考慮的東西真的比我以為的多很多。

context 隔離那個說得對，但實作上比想像難，model 本身就很容易把不同 session 的東西混在一起。某種程度有點像 OS 的 process isolation，但 LLM 的邊界沒那麼乾淨