不要把你的个人邮箱交给你的AI助手。给它一个自己的邮箱。
摘要
建议为AI代理提供其自己的托管电子邮件收件箱,并设置策略护栏,而不是使用个人电子邮件,以避免提示注入风险,使用Nylas CLI作为解决方案。
我反复看到(自己也犯过)的一个错误:你构建了一个需要收发邮件的代理,于是直接粘贴自己邮箱的 OAuth 令牌让它运行。现在,一旦有提示注入的恶意消息,你的代理就能以你的名义发送邮件,而 LLM 和你的收件箱之间根本没有策略层。更干净的做法是,给代理一个它自己管理的邮箱——一个真实的地址,而不是借用别人的——再加上在代理阅读任何消息之前就执行的规则。坦白说,我在 Nylas CLI 上工作,所以我有偏见。但“把人类的收件箱给代理”这种反模式在我们出现之前就存在了,而且不管用什么工具,我都希望人们能正确处理这一点。以下就是具体方法。一次性设置即可注册账号、关联邮箱,并为代理账号创建一个免费域名:
```
# 注册 + 关联邮箱 + 免费代理账号域名
nylas init
```
然后创建一个专用地址(无需 OAuth 握手,无需人类邮箱)并附加策略:
```
# 创建代理拥有的邮箱
nylas agent account create [email protected]
# 添加一道护栏:在代理看到邮件前运行
# 例如,直接屏蔽某个发件人域名
nylas agent rule create \
--condition from.domain,is,example.com \
--action block
```
这个地址可以发送事务性邮件并接收回复,这样代理就拥有了一个真正的双向通道,而不是一次性发送的 SMTP 临时方案。策略可以在消息到达模型之前阻止、归档或路由消息——这部分正是人们经常忽略,然后被提示注入坑惨的地方。通过 MCP 将其接入代理,模型就能把邮件当作工具使用,而你无需针对每家提供商手写 Gmail/Graph API 代码。
大家是怎么为代理限定收件箱访问范围的?是用单独的账号和策略,还是其他方式?
相似文章
AI代理中无人提及的部分:两个代理尝试使用同一个电子邮件收件箱时会发生什么
当多个AI代理共享一个电子邮件收件箱时,它们可能像OTP这类消息上发生冲突,导致静默失败。解决方案是为每个代理提供专用的收件箱,配备隔离的读取锁,并使用长轮询代替定时轮询。
@svpino:给AI代理提供一个邮箱实际上是个有趣的想法。我想这就像给员工一个自己的邮箱地址……
一条推文讨论了给AI代理提供专属邮箱的想法,将其比作给员工分配公司邮箱。它推广了Atomic Mail,一项处于开放alpha阶段的服务,通过API和MCP为AI代理提供邮件功能。
停止构建自主电子邮件代理
作者基于实际失败案例,反对构建完全自主的电子邮件代理,主张采用受限的“提议-批准”工作流,即AI准备上下文和草稿,但由人类最终批准发送。
我的智能体在凌晨3点给老板发了邮件——防止危险工具调用的两行人工审核防护
本文介绍了一种简单的模式,将AI智能体工具分为安全与危险两类,将发送邮件、删除文件等危险操作路由到人工审批节点,以防止意外执行。
我们让AI代理访问数据库、邮件系统和支付API。然后我们只是……信任它们。
本文强调了当前对能够访问数据库、邮件系统和支付API的AI代理严重缺乏治理层,指出目前在没有监督的情况下信任LLM的做法危险且不足。