系統層的邊界這塊現在其實有幾個方向在走。比較實際的是 OAuth scope 控制——你給 agent 的 token 只開「read」，它就物理上沒辦法幫你發東西，不是靠提示詞叫它「不要做」。另一個是 permission sandbox，像 Google 那邊的 Project Mariner 有在試。不過老實說，多數現成工具這塊還很陽春，通常只有「全開」和「不給」兩種選項。

你說到重點了。這個問題在 multi-agent 研究裡面有個詞叫 ambient authority，agent 繼承了你的 credential，但它不知道哪些事情你真的授權它做。OAuth scope 理論上可以解，但開發者為了方便通常直接開最大的，最小權限原則在 agent context 下執行起來麻煩很多。那個 Reddit 案例其實算好的，結果是正面的。比較糟的情況是 agent 帶著你的 token 產生了一堆你沒預期的 side effects，你可能幾天後才發現。