今日一句话 Unicode 隐形字符能劫持你的 agent，你的 prompt 防御还停留在 2024 年。

今日精选（3 条）

1. 🧠 Unicode 隐形字符可以劫持 LLM Agent

r/LocalLLaMA · 链接

选这条的原因：这是今天最值得警惕的安全研究，直接影响所有在生产环境跑 agent 的人。

测试结论很清楚：把恶意指令藏在零宽字符里，8300 次测试中成功率相当高，主流模型都中招。这不是理论漏洞，是现在就能被利用的攻击面。如果你的 agent 会处理用户输入的文本（尤其是从网页、文档、邮件里抓来的内容），这个问题今天就该排进 backlog。

现在能做的：在文本进入 LLM 之前，加一层 Unicode 清洗，过滤掉 U+200B、U+FEFF 这类零宽/不可见字符。不要指望模型自己识别，它们识别不了。这条比任何 prompt 层面的防御都更可靠。

2. 🛠️ pplx-embed：Perplexity 发布 Web 级检索嵌入模型

r/LocalLLaMA · 链接

选这条的原因：embedding 模型的竞争格局在变，Perplexity 入场值得看一眼。

pplx-embed 主打 web-scale retrieval，针对的是大规模、多语言、噪声多的真实网页数据场景。如果你的 RAG pipeline 现在用的是 OpenAI text-embedding-3 或者 Cohere，可以跑一下 MTEB 对比，尤其是 retrieval 子任务。

但有一点要说清楚：embedding 模型的切换成本不低，要重新建索引。除非你的检索质量现在有明显瓶颈，不建议为了新鲜感换。先看 benchmark 数据，再决定要不要动。

3. 🧠 DeepSeek DualPath：解决 Agent 推理的存储带宽瓶颈

r/LocalLLaMA · 链接

选这条的原因：DeepSeek 在推理效率上持续出论文，这篇直接针对 agentic 场景的长上下文瓶颈。

核心思路是把 KV cache 的访问路径拆成两条：高频 token 走快速路径，低频走慢速路径，减少带宽压力。对跑本地推理的人来说，这个方向意味着同样的硬件能撑更长的 context window，或者跑更大的 batch。

现在能用吗？还是论文阶段，没有开源实现。但如果你在用 vLLM 或者 llama.cpp 跑长上下文任务，可以关注后续有没有社区跟进实现。DeepSeek 的论文到落地通常不会太慢。

本周趋势

Qwen3.5 系列这两天在 LocalLLaMA 上刷屏，从 27B 到 122B 各种量化测评都出来了。结论基本一致：122B 在 3x3090（72GB VRAM）上跑，性价比目前是本地部署的天花板选项。如果你有这个硬件配置，现在就可以上。

但更值得注意的是安全侧的信号——Unicode 注入攻击这类问题说明，agent 的攻击面已经从「模型被 jailbreak」扩展到「输入管道被污染」。现在这个阶段，如果你在做 agent 产品，输入清洗和沙箱隔离的优先级应该和功能开发并列，不是事后补的东西。

精力分配建议：本地推理选型可以跟 Qwen3.5 走，embedding 先观望 pplx-embed 的实测数据，agent 安全防御现在就动手。

今日噪音 今天 List 里 90% 的内容是社群运营和个人感悟，跟 AI 开发没有关系，直接跳过。