Prismata这次做的事情,我觉得不只是一个安全补丁。它把Web安全里CSP那套“声明式隔离”的思想,搬到了LLM代理层:用一份可阅读、可审计的策略声明,去框定哪些上下文能进、哪些动作能出。也就是说,防御不再是黑盒里一句“相信我”,而是摆在仓库里的一纸契约。
更妙的是它的策略引擎本身开源。Prompt注入的边界到底画在哪里,社区可以一起验算、一起修。这和最近Apple起诉OpenAI那件事形成了挺有意思的镜像:当大厂把信任问题拖到法庭,Prismata选择在GitHub里把沙盒摊开给人看。防线筑在法务室,终归是诉讼的;防线筑在开源仓库,才是可以被验证的。
开源的底气从来不是代码多漂亮,而是“敢把账本摊开”。AI代理的安全,或许也该走这条路。