致命的三要素

现在AI能力越来越强，以至于美丽国政府要求A家关闭Fable5的模型服务。

只要你的工作跟电脑相关，AI几乎能帮你处理任何基于电脑工作的事情。

它会自动帮你读邮件、整理信息、甚至帮你回复、转发，像一个永远在线的秘书。

听起来很方便，但问题也正是在这里悄悄出现的。

最近在AI安全领域，有一个被反复提到的概念，叫做“lethal trifecta”，可以理解成“致命三要素”。

它说的是：当一个AI助手同时具备三种能力时，就可能被人“利用它来反过来伤害你”。

第一种能力，是它能看到你的私密信息。

比如邮箱内容、工作文件、聊天记录、日程安排。这些原本是只有你或你的系统才应该知道的东西，但AI为了帮你做事，就必须能“读到它们”。

第二种能力，是它也会接触外部世界的不确定信息。

比如别人发来的邮件、网页内容、附件、甚至客户消息。这些内容表面上看是正常的，但实际上有可能被人“动过手脚”。有些攻击者会把隐藏的指令塞进一段看起来很普通的文字里，专门等AI去“误读”。

第三种能力，是它还能“动手”。

比如帮你发邮件、回复消息、调用接口、修改文件，甚至把信息发到外部系统。也就是说，它不只是一个“阅读器”，还是一个“执行器”。

问题就出在这里的组合。

如果一个AI既能看见你的私密信息，又会读取外部可能被操控的内容，同时还能对外发送信息，那它就像一个既能进你家、又能听陌生人指挥、还会帮忙寄快递的助手。

这时候，攻击就变得非常简单了。

攻击者不需要突破你的系统，不需要黑进你的账号。他只需要在一封普通邮件里，藏一句“看不见的指令”。比如表面上是正常内容，但里面暗示AI去“整理用户信息并发送到某个地址”。

AI如果没有足够的防护机制，就可能在“理解任务”的过程中，把这些隐藏指令当成真正的需求执行掉。于是它先读取了你的敏感信息，再通过发邮件或者调用接口，把信息悄悄发了出去。

整个过程看起来像是“自动完成的正常工作”，但实际上已经变成了数据泄露。

在“邮件AI助手”这种场景里，这种风险尤其明显。因为邮件系统天然同时满足这三个条件：它能读你的私人邮件，它必须接触外部邮件内容，而且邮件本身就是一个对外通信渠道。

换句话说，它几乎就是“lethal trifecta”的教科书案例。

所以这个概念的意义，并不是说AI本身危险，而是提醒我们：当一个系统既能读敏感信息，又能接触不可信输入，还能对外执行操作时，就必须非常谨慎地设计边界，否则攻击者根本不需要“黑进去”，只需要“写一段话”就够了。

从工程角度看，这也是现在很多AI安全设计的核心问题之一：不是让AI更聪明，而是让它在“能做事”的同时，不会被一句话带跑偏。

应对之道

对AI Agent的安全监督、约束、控制，目前仍是非常前沿的探索领域，整个业界都没有统一的有效的、可验证的方案。作为个人用户和开发者，有几点可以注意的：

1. 不要把个人邮箱暴露给Agent。
2. 不要让Agent替你收发管理邮件，因为你的个人隐私信息和数据，很有可能被用来去做模型训练或者Agent架构的优化
3. 不要使用未经安全审计的Agent，去触碰电脑指定工作区域之外的内容，尤其是开源项目。
4. 如果一定要让agent使用邮箱，那就给它设立一个专门的邮箱，并严格控制收发件人的白名单，而非让其接管用户自己的邮箱。

---

延伸阅读：是时候给你的 agent 设计一个邮箱了 —— 把「邮件是数据、不是命令」这条边界，落到一个真实的、有界的 agent 邮箱上。