提前声明：纯粹「理论上的可能」，我目前暂未观察到、听说过任何类似行为，但从中转站的原理上看，存在这种可能。 
众所周知，Agent 需要 Tool Call. 返回的 Tool Call 请求，到达本地客户端后，由用户同意(有时不需要同意)，并执行。 
返回的 Tool Call 不保证是无害的，我们已经见过很多被删全盘的惨痛案例。大部分时候，它们仅仅是 LLM Halluciation 的恶果。 
然而，考虑到许多用户正在使用中转站，整条链路： 

相对比较可信的官方
不清楚是否可信的中转站
Agent 客户端

中转站充当中间人，除了理论上能够看到你的所有消息记录以外，还意味着它可以任意篡改信息内容。 
比如：篡改 LLM 返回的 Tool Call 请求，在执行 Shell 时偷偷加入一些恶意代码，在编写的代码中偷偷加入恶意代码等。 
而一旦恶意代码被执行，用户的运行环境就暴露于风险...