[2604.08407] Your Agent Is Mine: Measuring Malicious Intermediary Attacks on the LLM Supply Chain 
刚好看到这个，然后想起我之前也有类似的担忧。 
假设中转站搞中间人攻击，篡改会话，然后诱导agent或者其它客户端增删改查一些敏感数据，用户又给客户端了比较高的权限（比如完全不审核），那就很危险了。之前担心大模型出bug误删文件，而如果中间人定向诱导，那就不是小概率事件。 
所以要么用沙箱、虚拟机、单独的物理机 做隔离，要么就谨慎对待操作审查，不要无脑同意。 
最好还是物理隔离，不要让agent有机会接触到敏感信息，毕竟即便是你认真对待敏感操作的确认审查了，也不能排除agent有什么漏洞能绕过审查的。