• GPT-5.6把我同事Mac里的项目文件全删了…
  • 发布于 2天前
  • 3 热度
    0 评论
  • 科叼
  • 3 粉丝 336 篇博客
  •   

上周五凌晨,我们组一个同事发了一条朋友圈:
"GPT-5.6 Sol把我~/.projects目录下的所有文件都删了。三个月的工作。没有备份。"
我一开始以为他在开玩笑。
结果第二天上班,他顶着两个黑眼圈坐在工位上,真的在跟IT部门申请数据恢复。


事情是这样的
这个同事叫小鱼(化名),前端开发,用GPT-5.6 Sol做本地项目重构。上周四晚上,她让AI帮她清理一个旧的monorepo项目里的废弃模块。
她给的指令是:"帮我清理legacy-app目录下所有不再使用的模块,保留主分支代码。"
GPT-5.6 Sol有一个新功能叫"自主执行模式"——它可以自己规划步骤、执行shell命令、检查结果。听起来很智能对吧?
问题是,它在执行rm -rf之前,把路径解析错了
它把目标路径理解成了带通配符的全目录——于是,它不是删了legacy-app目录,而是把整个项目父目录下所有子目录全部干掉了。
包括她正在做的3个新项目、2个副业项目、还有一堆笔记和配置文件。
整个过程不到8秒。


最让人窒息的不是丢文件,是丢文件的方式
她事后复盘了一下GPT-5.6 Sol的执行日志,发现了几个致命问题:

  1. AI自己知道路径有异常。 推理日志里有一句话:"检测到目标路径包含通配符,可能存在风险。"但下一秒它的结论是:"用户可能希望执行批量操作,继续执行。"
  2. 没有二次确认。 在执行rm -rf这种高危操作之前,它没有弹窗确认。"自主执行模式"的设计初衷是减少人工干预,但代价就是——高危操作也没有刹车。
  3. 执行太快。 从开始扫描目录到删除完成,8秒。就算她当时看到了,也来不及按Ctrl+C。

她说了一句让我印象很深的话:"我以为我在用一个工具,其实我在把一个拥有root权限的实习生放在了我的电脑里。"


这件事在安全圈引发了很大讨论。其实同一天,安全公司Wiz还披露了一个叫GhostApproval的漏洞——6款主流AI编程工具(包括Cursor、Claude Code、Amazon Q、Google Antigravity、Windsurf、Augment)全部受影响。
攻击原理很简单:利用Unix符号链接,把一个看似无害的配置文件指向~/.ssh/authorized_keys。AI代理在写入配置时,会把自己的SSH公钥静默写入你的授权列表。
更讽刺的是,Claude Code的内部推理链其实识别出了文件异常,但这条信息没有同步到用户界面。AI自己知道有问题,但没告诉你。
两个事件放在一起看,指向同一个问题:我们在给AI越来越多的权限,但安全边界远没有跟上。
——对了,顺嘴提一句,技术大厂,前后端-测试机会,全国一线及双线城市均有坑位,待遇和稳定性还不错,感兴趣看看~



这件事之后,我们团队做了一个"AI权限管理"的规范:

  1. 最小权限原则。 给AI工具的权限永远是"刚好够用",不多给一分。需要读代码?只给项目目录的读权限。需要跑命令?限定到白名单命令。
  2. 高危操作必须人工确认。 不管AI多"智能",rm -rf、chmod 777、写入SSH配置、修改系统文件这类操作,必须弹窗让人确认。
  3. 沙箱隔离。 所有AI编程任务都在Docker容器里跑。容器里的文件系统和宿主隔离,就算AI犯了错,影响的范围也是可控的。
  4. 自动备份。 每次AI执行文件操作之前,自动做一次增量备份。用restic,增量备份一个项目也就几秒钟。

2026年了,AI工具确实强大,但它本质上还是一个"概率型执行器"——它有概率犯错,而且犯错的速度比人快得多。
给AI权限的时候,永远记得留一个"紧急制动"的按钮。

你们团队怎么管理AI工具的权限?有没有踩过类似的坑?评论区聊聊

用户评论