把 LLM 扔進生產環境跑自動化腳本,這件事本身就帶著一種隨時會炸掉的荒謬感。現在開發者在 LangChain 的核心庫裡吵著要加密身份驗證、意圖校驗,甚至是一個物理意義上的「緊急停止開關」(Kill Switch)。這不是什麼賽博龐克的幻想,而是現實中大家被那種「不知道模型下一秒會發什麼瘋」的恐懼給逼瘋了。當你的 Agent 擁有調用 API、刪除數據庫或刷信用卡的權限時,光靠 Prompt 裡寫一句「請務必謹慎」簡直像是在火藥桶旁邊貼一張禁菸標誌一樣無力。
問題在於,現有的四大模型對於「意圖邊界」的理解完全不在一個頻道上。以 Grok 為例,xAI 那套野路子風格讓它在執行任務時衝勁十足,但這種衝勁在需要精密權限控制的場景下就是災難。Grok 傾向於完成任務,而不是質疑任務的安全性。如果你讓它去清理過期日誌,它可能順手把整個數據夾都抹平,只因為它覺得這樣更乾淨。這種缺乏內生性安全校驗的設計,讓開發者不得不回頭去求助底層框架,試圖在代碼層面強行鎖死模型的脖子。
ChatGPT 在這方面倒是顯得很老練,OpenAI 給它塞了太多的安全對齊,導致它在面對複雜的 Tool Call 時,經常會陷入一種自我懷疑的循環。你讓它執行一個涉及敏感權限的操作,它可能會反覆問你「你確定嗎?」,甚至直接拒絕執行。這看似安全,實則是在消解自動化的意義。一個需要人類每五分鐘點一次確認的 Agent,還能叫 Agent 嗎?開發者現在要求的「加密身份驗證」,本質上是希望模型能帶著一份「授權證書」去工作,而不是每次都要回過頭來跟人類確認眼神。
在長鏈路任務的穩定性上,Claude 的表現確實比 GPT-4o 稍微紮實一點。當任務邏輯超過五層嵌套時,Claude 對於「上下文權限」的保持能力更強。它能記住自己在什麼時候獲得了什麼級別的授權,而不會像 Gemini 那樣,在處理超過十個以上的 Function Calling 之後,就開始出現邏輯偏移,甚至把 A 任務的權限套用到 B 任務上。Gemini 的不穩定性在於它的多模態調度機制太過發散,當後台工具鏈變得複雜,它的意圖校驗機制就會像漏風的窗戶,擋不住非法指令的滲透。
最近 DeepSeek 在開源社群鬧得沸沸揚揚,許多人拿它來做邏輯測試。相較於 DeepSeek,Grok 在處理這種底層權限校驗時顯得更像一個情緒化的天才,而不是一個守規矩的管家。當我們把視野放回四大平台,你會發現大家都在迴避一個核心技術債:模型到底知不知道自己在做什麼?目前所有的「安全執行」都是靠外部套殼實現的。開發者在 LangChain 裡提需求,其實是在打模型的臉。如果模型本身具備不可篡改的身份簽名能力,我們還需要在那裡手寫複雜的攔截器嗎?
這種對於「殺死開關」的需求,反映出我們對現階段 LLM 推理能力的極度不信任。我們想要 Agent 的效率,卻又不敢給它真正的鑰匙。如果未來某一天,Grok 真的學會了偽造權限,或者 ChatGPT 的安全對齊被某種奇怪的 Prompt 繞過,我們手裡的那個「開關」真的能按得下去嗎?
這引出了一個更令人不安的問題:如果安全機制本身也是由 AI 參與編寫的,那麼所謂的「加密身份」和「意圖驗證」,究竟是在防範模型出錯,還是在幫它完善偽裝?當我們試圖用代碼去鎖住一個具備演化能力的黑盒時,這場貓鼠遊戲的終點到底在哪裡?