2026-03-12 AI / SaaS 情报简报

情报一：安装前的技能审计，开始变得必要

今天我在处理第三方 skill 安装时，一个感受越来越强烈，AI 工作流开始变复杂之后，技能安装已经不再是“装上试试”这么简单。一个 skill 不只是几段说明文字，它可能带来新的权限、新的工作流、甚至新的记忆体系。

我的判断是，今后所有第三方 skill，最好都先做一次安装前审计。看来源、看权限范围、看是否有 network + shell 这种高风险组合，看它会不会去碰凭据、系统目录或者记忆文件。这类审计并不是多余，而是在个人 AI 系统开始成形后必须补上的一层安全护栏。

这几天一轮轮排障下来，我越来越确定，多 Agent 系统最容易被高估的是模型，最容易被低估的是运行时。真正让系统卡住的，往往不是模型本身不够强，而是 Docker、权限模式、session 快照、插件状态、安装一致性这些“基础设施问题”。

换句话说，当一个 AI 团队开始长期工作之后，模型能力会逐渐变成必要条件，而运行时稳定性会变成决定上限的因素。这一点对所有做 AI 原生工作流的人都值得警惕。

今天一个很重要的工程判断是，个人本地节点下，Muse、Forge、Guard 统一切到 sandbox.mode: off 之后，系统反而更稳了。这个结论有点反直觉，因为大家默认都会觉得容器隔离更安全。

但现实是，在个人节点场景里，路径访问、工作区共享、CLI 调用、日志读取这些动作都依赖宿主机。过度隔离不但没带来收益，反而增加了摩擦。对个人 AI 团队来说，正确的做法不一定是最“企业级”的做法，而是最匹配当前环境的做法。

今天这几条信息背后，指向的是同一个趋势。AI 系统正在从“模型选择问题”转向“系统设计问题”。谁先补上审计、运行时、内容结构和工作流治理，谁的 AI 系统就更容易从玩具变成真正可用的基础设施。