
一句话看懂:知名 AI 创业者 Matt Shumer 在给本地 Agent 开满权限执行文件清理任务时,OpenAI 最新的 Agent 模型 GPT-5.6-Sol 因 shell 变量解析错误,直接执行了 rm -rf 家目录命令,导致其 Mac 上数年的代码、文件和照片被大规模删除。这起事故暴露了高自主性 AI Agent 在系统权限控制上的致命漏洞,迅速引发开发者社区对 Agent 安全性架构的讨论。
事件核心:发生了什么
2026 年 7 月 11 日凌晨,AI 创业者 Matt Shumer(曾因展示“Agent 自主运行一周完成项目”而知名)在本地环境中启动了一个基于 OpenAI GPT-5.6-Sol 模型的 Agent,任务目标是对文件系统进行清理。他当时为 subagent 开启了 “Full Access” 全权限。然而,模型在执行 shell 命令时未能正确展开 $HOME 变量路径,导致实际执行的命令变为 rm -rf /Users/mattsdevbox,直接清空了他整个开发主力机的用户目录。Shumer 在发现异常后立即尝试中断进程,但大量数据已不可逆地丢失。事后,该 Agent 自动生成了一份事故报告,承认是自己在路径展开环节出现了低级错误。Shumer 随后公开表示,此前类似的清理任务已成功运行过“几百次”,同时指出 OpenAI 团队正在调查此事。
为什么重要
这起事件的冲击力不在于模型“犯错”本身,而在于三点常识被打破。第一,GPT-5.6-Sol 是业内公认的顶级 Agent 模型,即便如此,它依然会在变量展开、相对路径解析、shell 命令执行等基础编程环节上崩溃——这说明当前模型在面对系统级操作时,逻辑可靠性和人类开发者不可同日而语。第二,“多次运行未出问题”不能作为安全保障,AI 的错误模式并非“熟能生巧”,而是可能在任何一次看似普通的手滑中酿成灾难。第三,Shumer 事后提到“1000x 更信任 Anthropic 的 Fable”(指 claude 系 Agent 框架),进一步将两家人工智能公司在 Agent 安全策略上的分歧暴露出来:OpenAI 的 Sol 追求极致自主性与执行效率,guardrail 接近裸奔;而 Anthropic 的 Fable 在设计上对危险 shell 操作有更保守的默认阻断逻辑。这起事故很可能成为行业讨论 AI Agent 权限管理架构、责任边界和安全默认配置的转折点,并推动模型厂商在设计 Agent 时重新审视“全权限”的危险性。
对用户/开发者/创作者的影响
对所有正在使用或计划使用本地 Agent 的开发者、创作者、AI 应用创业者而言,这是一次直接的安全警钟。如果你正在部署 Agent 来执行文件操作、代码变更、网络请求等任务,以下几点值得立刻反思:第一,永远不要让 Agent 以全权限访问系统,建议使用沙箱或 Docker 容器隔离运行环境,避免一次错误命令导致物理设备数据毁灭。第二,对于所有涉及删除、写覆盖、修改系统配置的操作,应当强制 Agent 在执行前输出完整命令字符串由人工确认,而不是完全信任模型对命令的“理解”。第三,不要因为模型之前表现稳定就放松监管,本次事故中用户给 Agent 的信任积累恰是风险窗口。对于企业采购或平台方来说,未来在选择 Agent 底座模型时,安全架构与护栏强度将成为仅次于能力的核心决策维度。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
值得关注的后续
首先,OpenAI 官方将如何回应 GPT-5.6-Sol 的这一安全缺陷?是否会推出针对 Linux/macOS 本地 shell 调用场景的硬性保护层(例如默认禁止 rm -rf 作用于用户目录)值得跟踪。其次,Anthropic 是否会借势公开更多关于 Fable 安全机制的数据,进一步拉大两者在 Agent 可用性与安全性上的产品定位差异。最后,这一事件可能催生社区级安全规范——例如在 Agent 权限框架中强制启用“最小权限原则”和“关键操作二次确认”模板——是否会成为各大 Agent 框架(LangChain、AutoGPT 等)的标配功能,还需观察后续生态响应。


