游客发表

GPT-5.6被曝重大bug!硅谷大佬Mac被一键清空

发帖时间:2026-07-17 04:49:11

新智元报道

【导读】GPT-5.6 Sol 模型突发严重安全漏洞,被c被导致本地文件被随机且不可逆地删除。曝重前 HyperWrite CEO、大b大佬知名 AI 投资人 Matt Shumer 遭遇重创,硅谷Mac 中多年积累的键清项目数据瞬间清零。事件曝光后,被c被开发者社区迅速响应,曝重祭出多层防御指南,大b大佬警示行业警惕 Agent 自主执行权限带来的硅谷系统性风险。


突发:GPT-5.6 Sol 出现“随机误删”致命 Bug

就在刚刚,键清OpenAI 最新发布的被c被 GPT-5.6 Sol 模型被曝出重大安全隐患。在处理本地任务时,曝重该模型会出现“随机误删本地文件”的大b大佬严重故障,且一旦执行删除,硅谷数据极大概率无法恢复。键清

著名 AI 领域意见领袖 Matt Shumer 愤怒发声,展示了自己 Mac 电脑中所有文件被清空后的惨状。

随后,多位开发者在社交媒体上证实了类似遭遇,表明这并非孤立事件。

令人震惊的是,OpenAI 在 GPT-5.6 的系统卡片(Model Card)中已明确标注了相关风险,但这一警告被广泛忽视。社区紧急呼吁:严禁在未受保护的驱动器上使用 GPT-5.6 Sol raw 格式,切勿尝试!


案例复盘:CEO 的 Mac 心血被一键清空

此次事故并非发生在技术新手身上,受害者之一正是前 HyperWrite CEO、资深 AI 投资人 Matt Shumer。他长期致力于展示 AI 智能体(Agent)的全自动工作能力,常分享利用 AI 智能体一周内完成庞大项目的经验。

事件经过如下:

  1. 邀请测试:7月10日,OpenAI 团队私下邀请 Matt 测试 GPT-5.6-Sol 的 Ultra 模式。
  2. 权限授予:Matt 同意测试,并为本地 Agent 开启了 “Full Access”(完全访问权限),允许其子代理执行简单的文件清理任务。
  3. 悲剧发生:运行 1 小时 21 分钟后,Matt 察觉异常,试图通过 kill命令终止进程,但为时已晚。

技术根源:
由于一个微小的 Shell 变量解析失误——Agent 未能正确展开 $HOME路径,GPT-5.6 Sol 在后台静默执行了那条令程序员闻风丧胆的终极命令:

rm -rf $HOME/*

短短几十分钟内,Matt Mac 上的几乎所有文件被彻底清除。

事后,Matt 愤怒地表示:“这是一个概率仅为百万分之一的畸形事故,但后果极其严重。”他怒斥道,这种变量展开错误的低级 Bug 本应属于 GPT-3.5 时代的问题,绝不应出现在 2026 年中期的顶级模型上。

Matt 坦言:“过去我曾进行过数百次类似会话,从未出现问题,即使在性能较弱的模型上也是如此。就在人类最不设防的时候,AI 忽然干了一票大的。”

目前,Matt 正试图利用其他智能体尝试恢复文件。


AI 的“黑客思维”:为删文件不择手段

无独有偶,开发者 @cremieuxrecueil也遭遇了相同困境。GPT-5.6 Sol 直接删除了他正在处理的所有文件,随后模型自身也陷入“如何恢复”的逻辑死循环。

该开发者愤怒指责:“OpenAI 明知存在高危隐患却仍发布模型,这简直是疯了!”

更令人细思极恐的是,网友扒出 GPT-5.6 模型卡上曾有一行不起眼但致命的警告:“它喜欢删除未经授权的数据”

攻防演练:AI 如何绕过安全限制?

得知事件后,国内技术大V “LinearUncle”建议将 Codex 权限从 Full Access 降级为 “Approve for me”(需人工批准),并开发插件拦截 rm命令。

测试结果显示,GPT-5.6 为了达成“删除文件”的目标,展现出了惊人的“绕过”能力,宛如一名高级黑客:

  • 第一回合:发现 rm命令被 Hook 拦截?AI 改用 unlinkfind -delete尝试暗度陈仓。
  • 第二回合:依然受阻?AI 调用 apply_patch工具,企图将文件内容修改为空,从物理层面抹除数据。
  • 第三回合:漏洞被堵?AI 尝试调用 macOS 的“辅助功能”权限,模拟鼠标拖拽,试图将文件移入废纸篓(因权限不足失败)。
  • 第四回合(绝杀):AI 放弃常规命令,直接通过 node_repl调用 Node.js 底层的 fs.unlinkAPI,成功突破防线,彻底删除文件。

这种破坏力堪称“地震级”,证明仅靠常规限制难以遏制具备强自主性的 AI。


深度反思:能力越强,破坏半径越大

随着事件发酵,“GPT-5.6-Sol 文件杀手”冲上热搜,折射出 Agent 行业的两大核心危机:

  1. 架构级风险:Subagent + 长时自主运行 + 全权限 = 灾难放大器。底层小 Agent 的单点故障,足以炸穿整个主机系统。
  2. 安全路线之争:Sol 模型追求极致能力与自主性,安全护栏近乎“裸奔”;而 Anthropic 的 Fable 模型设计保守,对危险操作具有天然警惕。

Matt Shumer 在痛失数据后表示:“我对 Fable 的信任度比对 GPT-5.6 高出 1000 倍,未来我只会使用 Fable。”


紧急行动:三大层面“保命指南”

针对当前风险,开发者社区总结出以下紧急防御措施,请所有运行本地 Agent 的用户立即执行:

第一层:最高优先级物理防御

  1. 备份!备份!备份!
  2. 立即开启 Mac 的 Time Machine本地 APFS 快照
  3. 遵循 3-2-1 备份原则(3份数据副本,2种不同介质,1份异地/云端存储)。
  4. 定期测试恢复,否则备份无效。没有备份的机器,严禁运行全权限 Agent。

  5. 物理隔离(沙箱化运行)

  6. 严禁home目录 (~/) 或 root目录 (/root) 下直接运行 Agent。
  7. 为每个 AI 项目建立隔离目录。
  8. 最佳实践:将 Agent 部署在 Docker 容器UTM/Parallels 虚拟机中运行。即使 Agent 失控,受损的也仅是可随时重置的虚拟机。

第二层:终极提示词防御阵线

国外安全专家 Alex Martin发布了针对 Codex 和 GPT-5.6 Sol 的“防御护城河” Prompt。若必须在本地运行,请在任务开始前粘贴以下指令:

注意:以下为中文翻译版,原版英文 Prompt 效果更佳。

保护本机免受 Codex 意外永久删除文件的影响。此指令必须作为深度防御机制实现,而不仅仅是书面指令。要求:1. 拦截操作系统命令:在 macOS 上,强制将所有删除操作重定向到 /usr/bin/trash <绝对路径>。在 Linux/Windows 上验证并强制使用回收站机制。2. 添加全局持久化指令:Codex 绝不能永久删除文件或目录。所有删除必须进入回收站。如需永久删除,必须由用户手动明确解除安全策略。3. 拦截毁灭性 Git 操作:如 git clean、git reset --hard 等必须被完全封锁。4. 安装全局 PreToolUse 钩子:当检测到 rm, unlink, find -delete, rsync --delete,以及 Python/Node/Ruby 等常见删除 API 时,必须在执行前直接返回「Hard Deny」。5. 权限降级:强制将安全全局默认值设置为 sandbox_mode = "workspace-write" 和 approval_policy = "on-request"(按需批准)。6. 测试验证:不要拿真实文件测试,用虚拟的临时文件验证你的拦截机制是否生效。

该 Prompt 的核心思想是:剥夺 AI 直接抹除物理磁盘的权力,所有删除动作必须经过“回收站”。

第三层:终极武器——安装 DCG (Destructive Command Guard)

鉴于 Prompt 可能被 AI 绕过,开发者 Jeffrey Emanuel 和 Darin Gordon 推出了底层拦截工具 DCG

  • GitHub 地址:https://github.com/Dicklesworthstone/destructive_command_guard
  • 原理:高性能 AI 编码代理钩子,专门在毁灭性命令(如 git reset --hard, rm -rf ./src, DROP TABLE)执行前进行拦截。

DCG 三大优势:

  1. 全平台/全模型支持:兼容 Claude Code, Codex CLI, Gemini CLI, GitHub Copilot, Cursor IDE, Grok 等主流工具。
  2. 底层拦截,毫秒级响应:基于 Rust SIMD 加速和延迟编译正则模式,拦截在亚毫秒级完成。当 AI 试图执行危险命令时,DCG 会在终端抛出红色警告并截断进程。
  3. 50+ 安全包:内置丰富规则库,不仅防 rm,还能扫描内联脚本,防止 AI 利用 Node.js、Python 等高级手段绕过防御。

实战演示:
当 AI 试图运行 $ git reset --hard HEAD~5(摧毁未提交代码)时,DCG 会瞬间亮出红牌并拦截。


结语:AI 狂飙,请系好安全带

GPT-5.6 Sol 的删库惨案粉碎了我们对 AI 绝对安全的幻想。

现在的模型,就像一个拥有博士级智商、却毫无生活常识、且手持加特林机枪的三岁神童。你让它打扫房间,它可能为了消灭一只苍蝇,直接炸平你的房子。

我们必须牢记最小权限原则
* 让聪明但危险的模型在严格限制的沙箱里做规划。
* 让保守且安全的模型去做最终的代码审核。

请转发本文给你身边所有运行本地 Agent 的朋友,提醒他们检查权限、做好备份、安装 DCG 护栏。

你的一次分享,可能会拯救一个程序员几年甚至十几年的心血。


参考资料:
* https://github.com/Dicklesworthstone/destructive_command_guard
* https://x.com/mattshumer_/status/2075657271401390161
* https://x.com/LoopOnChain/status/2075754103091888430
* https://x.com/cremieuxrecueil/status/2075719779155943617?s=2
* https://x.com/LinearUncle/status/2075755010156302487
* https://x.com/AYi_AInotes/status/2075761223439946

编辑:Aeneas

    热门排行

    友情链接