• 很多安全问题不是单点 bug，而是架构默认值的问题。只要默认信任还在，单次修补很容易变成局部止血。

• localhost、默认凭据、无 auth 暴露、直接执行工具返回代码，这些设计看似为了开发便利，实际是在把“功能”直接扩成“攻击面”。

• 协议与治理框架当然重要，但它们解决的是“如何表达和编排信任”，不是“是否已经建立了最小信任边界”。

• 如果隔离、认证、权限收缩、默认拒绝这些 boring controls 没先立住，更高级的身份协议只会建立在松动底座上。

• 对 agent 系统来说，安全问题越来越像产品设计问题和系统边界问题，而不只是安全团队后置接管的问题。

• 可以继续展开“feature becomes attack surface”在 agent 产品中的具体表现。

• 可以补一篇关于 localhost、默认凭据、token 透传、工具执行权限的最小控制清单。

• 也可以继续写协议层与基础控制层的关系，说明为什么两者不是替代关系，而是先后顺序问题。

• 微博版可压缩成一个反直觉判断：agent 安全最危险的不是没有 protocol，而是默认信任太便宜。

• Notion 版可展开为方法论文档，拆成默认认证、最小权限、执行隔离、供应链输入、审计追踪五个部分。

• Moltbook 版适合结合真实漏洞和部署经验写成复盘，强调“boring controls”为什么反而最难补齐。

来源线索