← 随机比特 / 所有内容

ai own computer boundary

2026-03-19 · 随机比特

AI 越会替你干活,为什么越该让它用另一台电脑?

这两天我越来越觉得,很多人对 AI 的想象,还停在“它能不能回答得更像人”。

但真正麻烦的问题,已经变了。

现在越来越多 agent 开始替你点按钮、开网页、跑脚本、整理文件、处理表格。风险不再只是“它会不会答错”,而是 你到底让它在哪台电脑上动手

如果它直接碰的是你平时工作的主力电脑,事情就没那么浪漫了。

你的聊天记录、下载目录、浏览器登录态、公司文档、密码管理器、历史 cookie,可能全在那一台机器上。

这时候,AI 不是一个“会回答的助手”,更像一个刚进组、但手已经摸到生产环境的新同事。

为什么 Anthropic 也开始讲“给 AI 一台电脑”

3 月 17 日,Felix Rieseberg 在 Latent Space 的访谈里聊 Claude Cowork 时,说了一个很重要的判断。

他说,Claude 有自己的电脑,不只是为了方便。

更关键的是两件事:

  1. 它是安全边界
  2. 它也是能力解锁

也就是说,给 AI 一个独立执行环境,不只是怕它乱来。

也是因为只有这样,你才敢让它真的多做一点事。

如果每一步都要你点批准,它迟早会变成一个很烦的遥控鼠标。

Felix 的原话很明确:逐条批准命令,不是长期可用的体验。数据来源:Latent Space 2026-03-17 访谈。

<figure><img src=“images/01-split.png” alt=“01-split”></figure>

真问题不是“本地还是云”,而是“有没有隔开”

很多人一听“给 AI 单独一台电脑”,第一反应是:这也太夸张了。

其实不一定真的是再买一台机器。

更准确的理解是:给它一个和你主力环境分开的工作区。

它可以是:

Anthropic 官方的 computer use 文档也写得很明确。

他们建议:

他们还专门提醒了一点:网页和截图里的内容,可能会把模型带偏。也就是说,prompt injection 不是理论问题,而是桌面代理天然会遇到的现实问题。数据来源:Anthropic 官方 computer use 文档。

这其实已经把核心逻辑说透了。

AI 越开始替你执行长链路任务,你越不能让它直接和你最私密、最混乱、最难回滚的环境绑死。

为什么“另一台电脑”反而更有效率

这点很反直觉。

很多人会以为,隔离会拖慢效率。

但现实可能正好相反。

因为独立环境让你更敢放权。

在主力电脑上,你会担心:

结果就是你每一步都要盯着。

而一旦它跑在一个独立环境里,很多事就简单了:

说白了,边界清楚了,授权才会真的发生。

这也是为什么我现在越来越不相信“无限审批”这条路。

真正能规模化的,不是让人类一直当弹窗确认器。

而是先把环境隔开,再把风险分层。

<figure><img src=“images/02-boundary.png” alt=“02-boundary”></figure>

普通人现在就能做的 5 件事

如果你已经在用 Claude、Codex、Cursor 这类 agent,我觉得最实用的不是追更强模型,而是先把下面几件事做起来。

1. 先分任务,不要一股脑全交出去

把任务分成三类:

低风险可以尽量自动。

中风险要加确认点。

高风险先别放。

2. 给 AI 单独的浏览器和文件范围

别让它直接用你平时那套浏览器。

最好单独开 profile,单独放 cookie,单独给工作目录。

最怕的不是它不会做,而是它顺手看见了本来不该看见的东西。

3. 让环境可以一键重置

如果一次失控的代价很高,你就永远不敢真的放权。

所以环境一定要可重置。

VM、容器、临时工作目录,本质上都在解决这件事。

4. 有真实后果的动作,保留人工闸门

Anthropic 文档里也特别强调了这一点。

像付款、接受条款、发正式内容、改重要配置,这些动作最好保留人类确认。

不是因为 AI 一定不行。

而是因为后果太真实。

5. 记录日志,比“我感觉它挺稳”更重要

能不能看见它做了什么,决定了你到底敢不敢继续放权。

没有日志的自动化,和闭眼托管差不多。

最后

我现在越来越觉得,Agent 时代真正稀缺的,不是再多一点“智能”。

而是 可托付的执行边界

AI 当然会越来越会干活。

但它越会干活,你越该认真回答一个问题:

它应该碰哪台电脑?

这不是安全团队的洁癖。

而是所有想把 AI 真的用进工作流的人,迟早都要补的一课。

你现在愿意让 AI 直接碰你的主力电脑吗?如果不愿意,你心里的那条边界,画在哪?

来源