The Ledger Podcast 2026 年 6 月 25 日訪問 Shisa.ai CTO Leonard Lin。這集的核心不是「AI agent 很危險」這句老話,而是把危險拆成一條清楚的邊界:模型可以提案,但不能獨自拿著秘密、讀外部資料、再對外執行高風險動作。
Leonard Lin 開場就把問題講得很直:LLM fundamentally does not see a difference between data and instructions。你給模型一封信、一個網頁、一份文件,它不只是在讀內容,也可能把內容裡的句子當成下一步要做的命令。
這就是 prompt injection 難解的原因。傳統軟體會把資料與程式碼分開,資料庫裡的一段文字不該變成系統指令。但 LLM 的工作方式正好相反,它把上下文全部攤在同一個推理空間裡,資料、任務、規則、使用者要求會互相影響。
AI agent 比聊天機器人更危險,因為它不只回覆文字。它可能讀你的信、查你的檔案、呼叫工具、送出交易或改動外部系統。當「讀到惡意資料」和「能夠採取行動」連在一起,模型的聰明會變成攻擊面。
所以本集沒有把安全寄託在「再訓練一個更乖的模型」。Leonard 的方向是承認模型會被騙,然後設計一個系統,讓被騙的模型沒有權限單獨造成真正傷害。
訪談提到 Simon Willison 常說的 lethal trifecta:存取私密資料、接觸不可信內容、能把資訊送到外部世界。單獨看,每一件事都像正常功能。放在一起,agent 就可能把使用者的資料、惡意網頁的指令、外部工具呼叫串成一條攻擊路徑。
這個框架讓安全問題變得具體。不是所有 agent 都同樣危險。只讀公開資料的 agent,風險主要是答錯;同時能讀私密資料、瀏覽網頁、對外傳送或簽署的 agent,才需要更嚴格的控制層。
Ledger 之所以關心這個題目,是因為 crypto 把「外部動作」推到極端。一次錯誤簽署不只是寄錯信,而是資產真的移走。AI agent 一旦接近錢包、金鑰或交易流程,就不能只靠 prompt 說「請小心」。
Leonard 介紹 Shisa D 時,用的是一個反轉過來的控制平面。一般 agent 設計常把模型放在中間:模型看上下文、決定工具、帶著 token 去呼叫外部服務。Shisa D 的做法是把 secrets 從模型旁邊拿走,把工具呼叫放到另一層審核。
在這種設計裡,模型像是一個提案者。它可以說「我想呼叫這個工具,參數是這些,目的在這裡」。但真正決定能不能做、要不要改、是否需要升級成硬體確認的,是模型外面的系統。
這個思路不像在追求「完全自動」。它比較像把自動化拆成幾段,每一段都保留可驗證的邊界。AI 做擅長的事:讀、整理、提案。系統做該做的事:控管秘密、檢查工具、阻擋不合理的外部動作。
本集的 demo 把 Shisa D 的高風險動作導到 Ledger signer。重點不是把每個動作都變慢,而是把最高風險的那一下搬到安全螢幕上,讓使用者看到 real intent,再用實體點按批准。
這裡的關鍵是「意圖可讀」。如果螢幕只顯示一串地址、雜湊或看不懂的 calldata,人類其實沒有在批准交易,只是在批准自己不懂的東西。Ledger 一直談 clear signing,就是要把最後一公尺從盲簽改成可理解的確認。
Ian Rogers 在節目裡談的是 human agency。AI agent 如果真的要代表人做事,設計重點不是讓人完全消失,而是讓人出現在最該出現的位置。低風險步驟交給自動化,高風險轉移、簽署、授權保留清楚的人工確認。
節目最後談到 vibe coding。Leonard 並沒有否定 AI 寫程式,他的重點是理解不能外包。你可以讓 AI 產生程式、測試、重構與文件,但你仍然要知道系統在做什麼,尤其是安全邊界在哪裡。
這跟 agent 安全是同一件事。當人把「我不懂,但 AI 說可以」當成工作流程,prompt injection、錯誤工具呼叫、過度授權就會變成組織風險。真正的效率不是讓模型直接接管,而是讓模型產出的每一步都能被人或系統檢查。
本集留下的實用判準:如果一個 agent 的失誤會造成金錢、身份、資料或外部系統的不可逆變化,就不要讓模型同時擁有秘密、判斷權與執行權。
AI agent 的未來不會只靠「模型更強」解決。模型會更強,攻擊也會更會寫給模型看的指令。安全的產品會把權力切開,讓 AI 變成高品質提案者,而不是唯一的操作者。
安全的 AI agent,不是更會聽話的模型,而是模型不能單獨下命令的系統。
資料、秘密、工具與簽署要被分開。模型可以提出下一步,但真正的權限要留在可驗證的控制層。
這不是測驗,是讓你表態
The Ledger Podcast 原始影片補上 Leonard Lin 如何從日本開源 LLM、Shisa.ai、同時跑多個 agent、prompt injection、Shisa D 控制層、Ledger signer demo,一路談到 vibe coding 的邊界。這裡已整理核心論點,原影片提供更多上下文。
觀看原始影片 →來源:Ledger YouTube 頻道 The Ledger Podcast。原始影片為 How to Fix the Security Flaw Built Into Every AI Agent | The Ledger Podcast ft. Shisa.ai,發表日期為 2026 年 6 月 25 日,由 Ledger Chief Human Agency Officer Ian Rogers 訪問 Shisa.ai CTO Leonard Lin。本文不構成投資建議或安全稽核建議。
喜歡這種分析嗎?
從 AI agent、錢包安全到鏈上金融,用台灣讀者看得懂的語言,把複雜的產業變局說清楚。目前已有超過 2 萬位讀者訂閱。
免費訂閱區塊勢 →也可以直接付費支持,解鎖每週完整文章