关于在真实基础设施上安全运行 AI 智能体的技术文章：访问关系图、最小权限漂移、审计 Claude Code 与 MCP，以及自托管 AI 治理。https://olivares.ai/zhhttps://olivares.ai/zh/blog/map-what-your-ai-agents-can-reach/https://olivares.ai/zh/blog/map-what-your-ai-agents-can-reach/一个 AI 智能体持有凭证、被允许执行某些操作，又被观测到正在执行另一些操作。访问地图揭示了二者之间的差距——以及最小权限在哪里悄然失守。Fri, 05 Jun 2026 00:00:00 GMTagent-accessleast-privilegeobservabilityaudithttps://olivares.ai/zh/blog/auditing-claude-code-and-mcp-self-hosted/https://olivares.ai/zh/blog/auditing-claude-code-and-mcp-self-hosted/如何在不离开自有边界的前提下，为 Claude Code 和 MCP 服务器构建审计级追踪链：按代理划分的身份、哈希链账本，以及不可信的 MCP 信号。Thu, 28 May 2026 00:00:00 GMTMCPClaude Codeauditself-hostedhttps://olivares.ai/zh/blog/least-privilege-drift-for-ai-agents/https://olivares.ai/zh/blog/least-privilege-drift-for-ai-agents/AI 代理获取访问权限的速度远超任何人的审查速度。学习如何通过“授予 vs 观测”差异比对，并在访问时强制执行策略，从而检测最小权限漂移。Wed, 20 May 2026 00:00:00 GMTleast-privilegeai-agentspolicy-as-codeaudithttps://olivares.ai/zh/blog/self-hosted-ai-governance-data-residency-gdpr/https://olivares.ai/zh/blog/self-hosted-ai-governance-data-residency-gdpr/为什么自托管 AI 平台是 GDPR 下最有力的数据驻留态势：治理工具永远不会接触到您的数据。只记录边，而非负载。Wed, 13 May 2026 00:00:00 GMTdata-residencygdprself-hostedai-governancehttps://olivares.ai/zh/blog/passive-discovery-vs-proxies-ai-agents/https://olivares.ai/zh/blog/passive-discovery-vs-proxies-ai-agents/查看 AI 智能体的两种方式：一种是高影响半径的内联代理，另一种是基于日志、OpenTelemetry 和 eBPF 兜底的被动发现。一次诚实的权衡。Wed, 06 May 2026 00:00:00 GMTpassive-discoveryobservabilityeBPFleast-privilege