企业内部的 Agent 身份是已知的，权限是预设的，操作在沙箱里跑，日志全程可追溯。钉钉的批量熔断机制，飞书的 dry-run 预览和按域权限申请，本质上就是在 CLI 层面实现了 Schenkelman 所说的那些安全措施。