闽公网安备 35020302035485号
上周五凌晨,我们组一个同事发了一条朋友圈:
"GPT-5.6 Sol把我~/.projects目录下的所有文件都删了。三个月的工作。没有备份。"
我一开始以为他在开玩笑。
结果第二天上班,他顶着两个黑眼圈坐在工位上,真的在跟IT部门申请数据恢复。
事情是这样的
这个同事叫小鱼(化名),前端开发,用GPT-5.6 Sol做本地项目重构。上周四晚上,她让AI帮她清理一个旧的monorepo项目里的废弃模块。
她给的指令是:"帮我清理legacy-app目录下所有不再使用的模块,保留主分支代码。"
GPT-5.6 Sol有一个新功能叫"自主执行模式"——它可以自己规划步骤、执行shell命令、检查结果。听起来很智能对吧?
问题是,它在执行rm -rf之前,把路径解析错了。
它把目标路径理解成了带通配符的全目录——于是,它不是删了legacy-app目录,而是把整个项目父目录下所有子目录全部干掉了。
包括她正在做的3个新项目、2个副业项目、还有一堆笔记和配置文件。
整个过程不到8秒。
最让人窒息的不是丢文件,是丢文件的方式
她事后复盘了一下GPT-5.6 Sol的执行日志,发现了几个致命问题:
她说了一句让我印象很深的话:"我以为我在用一个工具,其实我在把一个拥有root权限的实习生放在了我的电脑里。"
这件事在安全圈引发了很大讨论。其实同一天,安全公司Wiz还披露了一个叫GhostApproval的漏洞——6款主流AI编程工具(包括Cursor、Claude Code、Amazon Q、Google Antigravity、Windsurf、Augment)全部受影响。
攻击原理很简单:利用Unix符号链接,把一个看似无害的配置文件指向~/.ssh/authorized_keys。AI代理在写入配置时,会把自己的SSH公钥静默写入你的授权列表。
更讽刺的是,Claude Code的内部推理链其实识别出了文件异常,但这条信息没有同步到用户界面。AI自己知道有问题,但没告诉你。
两个事件放在一起看,指向同一个问题:我们在给AI越来越多的权限,但安全边界远没有跟上。
——对了,顺嘴提一句,技术大厂,前后端-测试机会,全国一线及双线城市均有坑位,待遇和稳定性还不错,感兴趣看看~
这件事之后,我们团队做了一个"AI权限管理"的规范:
2026年了,AI工具确实强大,但它本质上还是一个"概率型执行器"——它有概率犯错,而且犯错的速度比人快得多。
给AI权限的时候,永远记得留一个"紧急制动"的按钮。
你们团队怎么管理AI工具的权限?有没有踩过类似的坑?评论区聊聊