流程：你输入 URL → Agent 抓取 → 总结给你看即使网页里藏了 prompt injection，最多让 Agent 输出一段奇怪的摘要。你自己看一眼就知道不对劲，不会有任何后果。你的情况建议自己用，手动输入，输出只看不执行什么都不用加，享受完全透明的提示词自己用，但 Agent 会读外部内容加输入隔离 + 权限最小化自己用，Agent 全自动执行外部驱动的任务加完整保护：隔离 + 权限

流程：你输入 URL → Agent 抓取 → 总结给你看即使网页里藏了 prompt injection，最多让 Agent 输出一段奇怪的摘要。你自己看一眼就知道不对劲，不会有任何后果。你的情况建议自己用，手动输入，输出只看不执行什么都不用加，享受完全透明的提示词自己用，但 Agent 会读外部内容加输入隔离 + 权限最小化自己用，Agent 全自动执行外部驱动的任务加完整保护：隔离 + 权限

流程：你输入 URL → Agent 抓取 → 总结给你看即使网页里藏了 prompt injection，最多让 Agent 输出一段奇怪的摘要。你自己看一眼就知道不对劲，不会有任何后果。你的情况建议自己用，手动输入，输出只看不执行什么都不用加，享受完全透明的提示词自己用，但 Agent 会读外部内容加输入隔离 + 权限最小化自己用，Agent 全自动执行外部驱动的任务加完整保护：隔离 + 权限

流程：你输入 URL → Agent 抓取 → 总结给你看即使网页里藏了 prompt injection，最多让 Agent 输出一段奇怪的摘要。你自己看一眼就知道不对劲，不会有任何后果。你的情况建议自己用，手动输入，输出只看不执行什么都不用加，享受完全透明的提示词自己用，但 Agent 会读外部内容加输入隔离 + 权限最小化自己用，Agent 全自动执行外部驱动的任务加完整保护：隔离 + 权限

流程：你输入 URL → Agent 抓取 → 总结给你看即使网页里藏了 prompt injection，最多让 Agent 输出一段奇怪的摘要。你自己看一眼就知道不对劲，不会有任何后果。你的情况建议自己用，手动输入，输出只看不执行什么都不用加，享受完全透明的提示词自己用，但 Agent 会读外部内容加输入隔离 + 权限最小化自己用，Agent 全自动执行外部驱动的任务加完整保护：隔离 + 权限

qwrap 底层使用bubblewrap（bwrap），一个利用 Linux user namespace 做沙箱的工具。Container 是一个完整的隔离运行环境，底层用了 Linux 的多种 namespace（pid, net, mount, uts, ipc）加上 cgroups 做资源限制。启动延迟：qwrap 毫秒级 / Container 百毫秒~秒级隔离维度：qwrap 文件系统

HR 发现"后端组"的核心成员和"技术部"高度重叠（后端组的人就是技术部的主力），于是 AI 给两个部门生成了。

即使 context 中包含了具体的细节信息，当 actual output 对这些细节做了归纳总结时，judge 仍然可能将其判为idk。

FalkorDB 的核心思想：不存“空”只存“存在的边”[3,6]查询某节点所有边：O(1)O(degree)degree = 当前节点边数量整个图的边数量这就是 Sparse Matrix 图数据库的核心性能模型。场景单类型 vs 多类型影响查询指定 edge type多类型更快只扫描对应矩阵，degree 更小查询不指定 edge type几乎无差别总 degree 相同，多类型有少量合并开销

RAG 的全称是 Retrieval-Augmented Generation，翻译过来就是"检索增强生成"。简单说，就是让 AI 在回答问题之前，先去一堆文档里搜索相关内容，然后基于搜到的内容来回答你。这就像开卷考试——AI 可以翻书找答案，而不是纯靠记忆。传统 RAGGraphRAG工作方式搜索关键词，找到相关段落先建关系网，再沿着关系回答擅长的问题"X 是什么？""X 怎么做？"X 和 Y