控制 AI bot 的两种架构思路： 一种是让 agent 自带读写，安全机制靠大模型本身把控。 另一种是完全读写分离：跟用户沟通的 agent 只能读状态，不能写。所有写操作由后台更高权限的系统完成。 有点像傀儡师 - 后面有人遥控，前面的 agent 没有太多自主权限。 哪种更好？还在验证。