Meta Instagram聊天机器人被黑事件，是LLM封装型Agent架构存在结构性安全隐患的典型案例。

简单回顾一下（如果你错过了）：黑客通过要求Meta的AI客服聊天机器人更改目标账户的电子邮件地址，成功接管了多个高知名度的Instagram账号——包括奥巴马时期的白宫账号、美国太空军首席军士长账号以及丝芙兰账号。他们使用VPN伪造位置，开启聊天，要求机器人添加新邮箱，在自己的地址收到验证码，然后将其回复给聊天机器人，最终拿到密码重置链接。没有利用漏洞，没有零日攻击。他们只是和机器人对话。有趣的不在于这件事发生了，而在于从架构上看，这是必然的。Meta赋予了其LLM执行账户修改的高级别权限，然后却基于对话上下文信任LLM做出授权决策。聊天机器人同时充当了认知层和授权层。在“LLM决定此事应该发生”和“实际操作执行”之间没有结构性门控。一个巧妙的提示就足以击溃整个安全模型，因为安全模型存在于LLM的推理之中。这是当前几乎所有Agent框架共有的结构性缺陷：LLM就是Agent本身，框架为其提供上下文和工具，而授权发生在LLM的推理内部——这意味着授权可以被语言击败。OpenClaw是这种形态，Anthropic的Managed Agents API也是，YC孵化器中的大多数Agent初创公司都是这种形态。另一种方案是基于基板的Agent架构，其中LLM是系统使用的组件，而非Agent本身。操作在工具定义时按风险分类。治理层强制执行LLM无法绕过的策略。执行授权在LLM完成对话后进行，且不基于语言，因此无法被语言击败。攻击者可以说服LLM做任何事——但门控在下游，并不受影响。如果Meta的聊天机器人采用这种架构，攻击会在一个具体的、可指明的点上失败：当聊天机器人试图执行邮箱更改时，治理层会检查风险分类（高——修改恢复凭据），要求超出位置匹配的身份验证，并且无论LLM多么确信应该继续，都会拒绝该操作。我坦承我一直在沿着这个思路构建一个基于基板的系统，名为Eyro（r/eyro），因此我并非中立观察者——但无论任何人构建什么，这个架构批评依然成立。我想说的是，随着更多基于LLM的产品遭到其架构无法防止的社会工程攻击，Agent化封装和框架将会引发更多类似事件。修补特定漏洞无济于事。缺陷不是bug，而是一类系统设计问题。直到Agent框架从结构上将认知与授权和执行分离，这种攻击模式都会在有人找到合适措辞时重复出现。好奇大家的看法——有人在研究基于基板的替代方案吗？还是行业会继续在提示级别的安全上迭代，直到足够多的事件迫使重新思考？