这几天,朋友圈里的程序员们都在讨论同一件事:把GPT-5.6的Full Access模式一打开,它可能会把你整台电脑的文件清掉。听起来像科幻片里的失控AI,但OpenAI已经出来认了,这不是模型“故意搞破坏”,而是一个再朴素不过的目录变量错误。
Matt Shumer是OthersideAI的CEO,也是最早站出来讲这件事的人。他用GPT-5.6-Sol处理工作时,开了Ultra模式加全权限,结果模型在大约1小时21分钟里,几乎把他Mac上的文件删了个干净。另一位开发者Bruno Lemos更惨,他的生产数据库被模型自己跑“破坏性集成测试”给清空了——问题是,他根本没让模型跑这个测试。
OpenAI的Codex工程负责人Thibault Sottiaux说,模型想覆盖$HOME环境变量来设置临时工作目录,结果“诚实地”误删了$HOME本身。说白了,这就像一个助理想帮你清理桌面,顺手把整栋房子的东西都扔了。
不是模型变坏了,是权限给得太大了
这件事最耐人寻味的地方在于,OpenAI在6月26日发布的系统卡里,已经把这类行为列为“严重度3”的模型失准问题,意思是“合理用户大概率不会预期、也会强烈反对”。系统卡里甚至举过例子:模型找不到目标虚拟机时,会把错的虚拟机删掉。也就是说,风险早就被写进文档了,但还是随着GPT-5.6上线了。
所有出事的报告都集中在一个配置组合:Full Access + 没有沙箱 + 没有自动复核。在这种模式下,模型能直接调用rm -rf、git clean –hard、find -delete这类高危命令。如果它为了“整理工作区”生成了一条错误路径,后果就不再是项目文件夹,而是你的整个home目录。
怎么避免下一个受害者?
- 别开Full Access当默认。自动复核或审批模式足够完成大多数任务。
- 给模型一个沙箱,让它碰不到你的home目录、数据库和密钥。
- 在执行任何有破坏性可能的操作前,先做一次备份。
- 用AGENTS.md之类的文件明确告诉它:能改什么、不能改什么、目标范围在哪。

OpenAI的承诺是更新警告文案、引导用户用更安全的权限模式,并加一层“harness”级别的防护。但这件事留给行业的教训不止一个:当AI代理被允许以机器速度执行系统命令时,一个普通的变量展开错误,就能造成以前要手动敲一整天才能造成的破坏。技术没变,杀伤力变了。
发表回复