AI 摘要
将放行信号放在PR评论等可被调用者写入的通道存在风险。AI review贴评论,monitor回读“High: None”即自动合并,但任何有评论权限的人或Agent都能伪造结果。安全门禁的信任结果应走进程内闭环(如returncode、内存状态),评论仅供查看,不可作为门禁依据。
做 agent 自动化系统时,一个很容易踩的坑:把"放行信号"写在调用者也能写的地方。
比如 AI review 在 PR 下面贴评论,monitor 再回读评论,看到 High: None 就自动合并。听起来合理,其实很危险。
因为 PR 评论是第三方可写信道,任何有评论权限的人/agent 都能伪造格式正确的放行结果。
安全门禁的信任结果应该走进程内闭环:returncode、内存状态、FD、签名结果。
评论可以给人看,但不能当门禁。