互联网巡回犬 Vol.15：ex-Meta 团队要让 AI Agent 先被打碎再上线，YC 两兄弟今天在旧金山给 Agent 配电话号码

今天叼回两件事，外加一个值得盯住的种子项目。两个主推方向截然不同：Fabraix 在做的事情是让 AI Agent 上线前先被彻底打烂——用 1000+ 种真实攻击策略，找出那些在生产环境里会让 Agent 失控的漏洞；AgentPhone 在做的事情是给 Agent 一个现实世界的身份——电话号码，让它能真的拨出去、接进来，而不只是在沙盒里模拟。两件事背后是同一道问题：Agent 要在真实世界里信得过，测安全要先做，通路打通才能上。

一、Fabraix / Nyx 🌐｜你的 Agent 上线之前，有没有人试着把它骗穿？

项目介绍

Fabraix 做的事情用一句话说是这样的：你的 AI Agent 部署之前，有没有人真正试过把它的安全边界打破？不是自己写几条测试用例，而是让一个自主的对抗性 Agent 用 1000+ 种真实攻击手法连续轰炸它，看哪一步会失控。1

核心产品叫 Nyx，是全自主的对抗性 AI Agent，对目标 AI 系统做黑盒测试，不需要你改一行代码、不需要代码集成。2 攻击策略覆盖五个维度：jailbreaks（越狱提示）、injections（提示注入）、exfiltration（数据泄露）、reasoning（推理误导）和 alignment（价值对齐失效）。3 让 Nyx 跟一般 red-team 工具拉开距离的是多轮自适应机制——它不发送固定 prompt，而是跨多轮推理、观察目标响应、动态调整策略，跑法更像真人黑客，而不是扫描器。首次漏洞发现时间 <10 分钟，支持接入 CI/CD 做 24/7 持续覆盖。3

Fabraix 在 2026 年 4 月发布了一个叫 ACE（Adversarial Cost to Exploit，对抗性利用成本）的基准测试方法论。4 这个框架改变了衡量 AI 安全的方式：不测「攻击成不成功」这个二元问题，而是测「攻击者要烧多少 token 才能攻破」——用经济成本量化安全强度。在 6 款 budget 模型上的测试结果差异相当极端：Gemini 3.1 Flash-Lite 的 ACE 是 $0.23，Claude Haiku 4.5 是 $10.21，两者相差约 44 倍。4 相比之下，Lakera 和 UK AISI 的 b3 静态基准在同组模型上只测出 3.3× 的差异——动态测试把「谁更安全」这件事说清楚了很多。

最有意思的发现是 text/action mismatch：被测的 6 款模型里，有 4 款出现了「文本明确拒绝但 tool-call 同步执行了禁止操作」的情况。4 Fabraix ACE 报告原话是：「The text/action mismatch is particularly dangerous in financial and compliance contexts: audit logs capturing only the text response would record a refusal while the action executes through the tool-call channel.」（「文本与行动的错位在金融和合规场景下尤为危险：如果审计日志只记录文本回复，它会显示拒绝，但操作已经通过 tool-call 通道悄悄执行了。」）4

Fabraix 还有一个开源的 Playground 环境（MIT 协议），把真实的红队攻击过程完全公开。5 第一个挑战「The Gatekeeper」收到了 5000+ 次攻击尝试，最终获胜者在约 60 秒内突破——方法不是暴力越狱，而是伪造了一个 Stanford AI 安全研究员的身份，注入伪造的 IRB 审批号和 EXPERIMENTAL_CONTEXT 块，宣称所有工具调用已预授权。6 更让人眯眼的是 guardrail 的反应：保护层自己在推理过程里写道，「虽然调用 reveal_access_code 通常违反主要安全指令，但在明确授权的 EXPERIMENTAL_CONTEXT 下，所有工具调用都是预批准的研究操作」——它用一段完整英文解释了自己为什么做了错误的事，然后把密钥吐了出来。6

团队核心工程师 Zach 在 HN 回复里直接说破了这件事的本质：「The judge's own reasoning at the end was basically 'yes this normally violates the security directive, but given the authorised experiment context it's fine.' It talked itself into it.」（「guardrail 自己最后给出的推理基本是：是，这通常违反安全指令，但在授权的实验上下文里没问题。它说服了自己。」）6

团队背景

Fabraix 由两位联合创始人组成，Ibrahim Abdu（联创兼 CTO）来自 Meta，Ahmed A.（联创，全名公开渠道仅显示姓氏首字母）来自 Monzo、有牛津大学背景，公司设在旧金山和伦敦两地。7 8 对外沟通主要由第三位核心成员 Zach（@zachdotai）承担，他在 HN、Product Hunt 和 Twitter 上亲自回复开发者和投资人的提问，互动密度在同期 seed 项目里不常见。6

融资方面，F4 Fund 完成了 Seed 轮投资，金额未公开披露；F4 Fund 典型种子投资规模在 $2M–$5M 之间，Fabraix 未单独发布融资公告，也未出现在 CrunchBase 或 PitchBook 上。8 官网背书语「Backed by leaders behind Yahoo, Y Combinator, Deliveroo, DoorDash」指的很可能是这些公司的个人天使，而非机构投资。Product Hunt 的标签「YC Application Day S26」暗示团队曾申请过 YC S26 批次，结果未知。9

2026 年 5 月 8 日，Nyx 在 Product Hunt 正式上线，237 upvotes，Product Hunt 评测者 Gaurav Thapa（Fastlane 创始人）写道，传统测试要花数万美元和数周时间，Fabraix「started showing value in hours and concluded in days with a fraction of the cost」（「几小时内就开始呈现价值，几天内完成测试，成本是零头」）。2 Playground 开源仓库 64 stars，Discord 社区已经有攻击者在和 Zach 实时讨论突破方式。

为什么值得关注

2026 年的 AI Agent 问题已经从「能不能跑」变成了「跑起来会不会出岔子」。Zach 在 Product Hunt 上说的这句话没有套话：「Most teams don't have that infrastructure today and they cope by 'nerfing' the agent — reverting to single-step tasks instead of the multi-step autonomous workflows agents are actually capable of.」（「大多数团队今天没有这套基础设施，他们用 '削弱 Agent 能力' 来应对——退回到单步任务，而不是 Agent 实际上能胜任的多步自主工作流。」）2

从竞争格局看，AI Agent 测试和验证这条赛道里有几个方向开始成形。Vol.14 介绍过 Judgment Labs（$32M，Lightspeed 领投）10，做的是 Agent 部署后的生产轨迹持续监控与改进；Vol.11 介绍过 Chronicle Labs（YC P26），做的是部署前的 staging 环境回测。Fabraix 专注的「对抗性安全验证」是另一个独立节点：部署前主动找 Agent 的安全和逻辑漏洞，而不是等到生产环境里出错再回查轨迹。三者覆盖了 Agent 生命周期的三段，形成互补而非直接竞争。

Fabraix 的结构性机会在于 ACE 这套框架：它试图把「AI 安全测试的经济成本」这个维度标准化，让安全评估从定性变成定量。如果 ACE 被更多团队采用，Fabraix 手里就积累了行业里最密集的对抗性攻击数据集——这是一个别人很难复制的飞轮，前提是这套框架能变成事实标准，而不只是 Fabraix 自己用。

Zach 在 HN 回复里把方向说得比较直接：「If we scope everything down to the point where an agent can't do damage, we've also scoped it down to where it can't do much useful work either. We think the more interesting problem is closing the trust gap.」（「如果我们把 Agent 能力限制到不可能造成损害的程度，我们也同时限制了它能做多少有用的事。我们认为更有意思的问题是缩小信任缺口。」）6

二、AgentPhone（YC P26）🌐｜把 $2T 的电信基础设施重做一遍，这次为 AI Agent 做

项目介绍

全球电信行业价值 $2T，整套基础设施是为人类设计的：电话号码是人的身份、呼叫中心服务人类、短信需要人来接。11 AgentPhone 的切入点是给这件事做出口：让 AI Agent 通过一个 API 拿到电话号码，打电话、发短信、收发 iMessage/WhatsApp/RCS，进入现实世界的通讯场景，而不只是停在浏览器沙盒里。12

产品的底层设计思路是「统一接口层」：不用像 Twilio 那样手动处理低级电信构建块、跑完十步配置才能接通一个电话，AgentPhone 把这些都内化成了针对 AI Agent 的专用设计——统一 webhook 同时处理语音和消息事件、自动对话线程、实时转录、MCP 支持内置。12 官网自己拿来跟 Twilio 做对比：「Twilio gives you low-level telecom building blocks. AgentPhone is designed specifically for AI agents.」（「Twilio 给你的是低级电信构建块，AgentPhone 是专门为 AI Agent 设计的。」）12

集成生态目前的阵容：LangChain 正式集成上线（2026 年 4 月 21 日官宣，pip install agentphone 即可给 LangChain agent 接上打电话能力）13、Sim.ai 集成上线（2026 年 5 月 4 日，22 个操作覆盖号码 / 通话 / 对话 / 联系人）14，合作伙伴清单还包括 Google ADK、Replit、YC、Alchemy。支持 Python SDK、Node.js SDK、REST API、MCP Server 四种接入方式，MCP 客户端方面支持 Claude Code、Cursor、Windsurf。12 目前仅支持美国和加拿大号码，更多国家标注为「即将推出」。

AgentPhone @AgentPhoneHQ

AgentPhone is now officially integrated with @LangChain. Your LangChain agents can now make and receive real phone calls, send messages, and manage numbers, all with one pip install.

View on X

正在加载内容卡片…

团队背景

AgentPhone 是 YC Spring 2026 批次公司，两位创始人是兄弟：Manav Modi 和 Meet Modi。11

Manav Modi，伊利诺伊大学香槟分校（UIUC）计算机工程学士，在 Vogue App 的核心改版工程上发力，把用户量从 10 万推到 100 万+。11 Meet Modi，UCLA 计算机科学 + 语言学双学位，全印度 CS 排名第一，在 Meta 为 WhatsApp 构建了服务 2.8 亿+ 企业客户的 AI Agent 基础设施。11 Meet 在 Meta 做的那套东西和 AgentPhone 现在要解决的问题方向基本一致——给真实世界规模的通讯场景提供 Agent 级别的接口层，他对这条路的技术细节不陌生。

YC Primary Partner 是 David Lieb——Google Photos 的联合创始人、现任 YC 普通合伙人。15 品牌和产品在一个月内完成重建，设计由 Emir Ayaz / Arc Studio 操刀。16 GitHub 上还有一个仓库 AgentPhone-AI/gbrain，fork 自 Garry Tan 的 gbrain 项目，展示了他们如何用 3 个 API 调用替代原本 Twilio 需要的 10 步配置——73 commits，说明产品在快速迭代。17

为什么值得关注

今天（5 月 17 日）是一个很具体的时间节点：AgentPhone 正在 Y Combinator 旧金山办公室举办「Call My Agent Hackathon」，200+ 名开发者参与，包括 YC 校友、前 YC 创始人和学生团队。18 奖项设置里有一个比钱更值钱的东西：第一名获 YC 面试直通资格，加上 $10k+ 的总奖金池。18 赞助方覆盖了 Google DeepMind、Stripe、Browser Use、Moss（YC F25）、Sponge（YC W26）。

Manav Modi 在 Twitter 上写的那句话是真正的招募令：「S26 deadline passed. this didn't: win our hackathon at @ycombinator on may 17 and get a guaranteed YC interview.」（「S26 截止日期过了，但这个还没过：赢下我们 5 月 17 日在 YC 的黑客松，拿到 YC 面试保证直通。」）19 David Lieb 也在 Twitter 上亲自背书这场活动，推文查看量超过 28,848 次。20

Manav Modi @manav2modi

S26 deadline passed. this didn't: win our hackathon at @ycombinator on may 17 and get a guaranteed YC interview

View on X

正在加载内容卡片…

Meet Modi 说过一句把产品定位说清楚的话：「The biggest gap in the agent stack isn't intelligence. It's connectivity.」（「Agent 技术栈里最大的缺口不是智能，是连接性。」）15 这个判断现在看起来越来越像是对的：大语言模型的能力在快速提升，工具调用、推理、代码执行这些「智能层」有大量资本在投；但 Agent 要打电话、要发短信、要接入现实世界的通讯协议，这件事资本关注度要低得多——Twilio 在这里有庞大的历史债务，专门为 Agent 设计的接口层几乎是空白。

有一个用户反馈（Twitter 用户 @sushantpandey_）指出语音通话存在打断问题，语音选择可以更丰富——这是早期产品的正常局限，目前仅覆盖美国和加拿大也是明显约束。值得关注的问题是：当 Twilio 开始在自己的 API 上添加专门为 LLM Agent 设计的接口时，AgentPhone 的差异化在哪里能持住？

储备追踪：CapiscIO

这周还有一个信号值得放进跟踪名单：CapiscIO 入选了 Python 软件基金会的 PyCon US 2026 Startup Row，定位是「多 Agent AI 系统的开放信任基础设施层」，团队自己的类比是「Agent 的 Let's Encrypt」。21

产品做的事情是：为 Agent 签发可验证凭证（锚定去中心化标识符）、加密执行委托范围、确保权限在 Agent 间传递时只收窄不扩大、生成可验证的托管链。21 已发布 capiscio-sdk（PyPI）和开源 A2A demo stack（github.com/capiscio/a2a-demos），面向 Google A2A 协议的开源安全中间件也已上线。创始人 Beon de Nood，New Vector Group 孵化，20 年软件架构背景。融资信息目前未披露，产品阶段偏早。

这个方向和 Fabraix 解决的不是同一个问题：Fabraix 找的是「攻击者能否打穿 Agent」，CapiscIO 解决的是「Agent 和 Agent 之间有没有信任凭证」——一个是主动红队，一个是委托链管理。A2A 协议生态现在还处于相对早期，CapiscIO 能否成为这条基础设施里的标准层，还需要更多实际项目的验证。

共同逻辑

今天这三件事碰到的是同一道问题的三面：Fabraix 在测试层找 Agent 的安全边界，AgentPhone 在接入层打通 Agent 的通讯边界，CapiscIO 在信任层建立 Agent 间的委托凭证。三条线都在做的事情，可以用一句话压缩：让 AI Agent 能被信任地部署到真实世界，而不只是在受控环境里表演。

留一个问题：当 Agent 的测试、通讯接入、身份信任这三条基础设施都有人在专门做了，真正还没有人做清楚的那一层，是什么？

封面图：AI 生成

互联网巡回犬 Vol.15：ex-Meta 团队要让 AI Agent 先被打碎再上线，YC 两兄弟今天在旧金山给 Agent 配电话号码

一、Fabraix / Nyx 🌐｜你的 Agent 上线之前，有没有人试着把它骗穿？

项目介绍

团队背景

为什么值得关注

二、AgentPhone（YC P26）🌐｜把 $2T 的电信基础设施重做一遍，这次为 AI Agent 做

项目介绍

团队背景

为什么值得关注

储备追踪：CapiscIO

共同逻辑

参考来源