# 做Agent自动化系统时，一个很容易踩的坑：把"放行信号"写在调用者也能写的地方

- 来源：凡人小北 (@frxiaobei)
- 发布时间：2026-06-30 22:12
- AIHOT 分数：70
- AIHOT 链接：https://aihot.virxact.com/items/cmr0qikfn044tslol3ymsa7zp
- 原文链接：https://x.com/frxiaobei/status/2071960183690150348

## AI 摘要

将放行信号放在PR评论等可被调用者写入的通道存在风险。AI review贴评论，monitor回读“High: None”即自动合并，但任何有评论权限的人或Agent都能伪造结果。安全门禁的信任结果应走进程内闭环（如returncode、内存状态），评论仅供查看，不可作为门禁依据。

## 正文

做 agent 自动化系统时，一个很容易踩的坑：把"放行信号"写在调用者也能写的地方。

比如 AI review 在 PR 下面贴评论，monitor 再回读评论，看到 High： None 就自动合并。听起来合理，其实很危险。

因为 PR 评论是第三方可写信道，任何有评论权限的人/agent 都能伪造格式正确的放行结果。

安全门禁的信任结果应该走进程内闭环：returncode、内存状态、FD、签名结果。

评论可以给人看，但不能当门禁。
