我看项目“可信不可信”，其实不太看它喊什么 AI Agent、自动交易多聪明，反而先翻 GitHub 和审计。GitHub 不是看星星数，是看最近几个月有没有持续改、改的是啥：核心合约动不动大改、但测试/回滚方案空空的，我就有点慌。审计报告也别只看“已通过”，我会扫一眼高危问题有没有真修、有没有说“已接受风险”然后就算了。

升级多签这块更现实：签名人是谁不一定能看全，但至少要看门槛、有没有 timelock、有没有把升级权限和资金权限分开。说白了我最怕的不是亏，是失控——钱还在，但规则突然被改了、你来不及反应那种。最近一堆自动化交互的叙事起飞，我反而更抠这些细节，先这样。