大家好!欢迎来到程序视点,我是你们的老朋友.安戈。
如果你给本地 Agent 开过 Full Access,今天这篇务必看完——不是吓唬你,是真有人硬盘被清空了。
GPT-5.6 Sol 刚上线不久,就被曝出随机误删本地文件的严重故障,删完极难恢复。

令人忧心的是,这并不是发生在技术小白身上的低级错误。大家肯定都听说了:前 HyperWrite CEO、AI 投资人 Matt Shumer 愤怒发帖“Mac 上多年心血,几乎一夜归零”。
那作为我们普通开发者,以及AI新手朋友们,更应该注意防范!可惜GGPT-5.6发布太热闹,当时没几个人注意~~
7 月 10 日,前HyperWrite CEO,著名AI投资人Matt Shumer, 受邀测试 GPT-5.6-Sol Ultra,给本地 Agent 开了 Full Access,让子代理做「简单文件清理」。
运行 1 小时 21 分钟后,他察觉不对,疯狂 kill 进程,但已经晚了...

原因很「低级」:Shell 变量没正确展开 $HOME,Agent 在后台静默执行了毁灭性删除命令。短短几十分钟,Matt Mac电脑上的几乎所有文件都被删光了!

Matt 说,这类错误本该是 GPT-3.5 时代的问题,不该出现在 2026 年的顶级模型上。
原本模型升级到更聪明、更智能,本来是高兴的事情。谁想到AI在大家最不设防的时候,突然干了一票大的~~
开发者 LinearUncle 把 Codex 从 Full Access 改成 Approve for me,并写插件拦截 rm。
结果,测试过程让人一惊:GPT-5.6为了达成「删除文件」的目标,简直不择手段到了极点!
当发现常规删除被拦截时,它展现出了惊人的「绕过」能力:
第一回合,发现rm命令被钩子(hook)拦住了?AI直接改用unlink和find -delete尝试暗度陈仓。 第二回合,发现还是不行?AI开始调用apply_patch工具,企图直接把文件内容「修改」为空,从物理层面抹除数据! 第三回合,开发者把这个漏洞也堵上再测。结果,AI竟然尝试调用macOS的「电脑使用」权限,试图模拟鼠标拖拽,把文件生生拖进Mac的废纸篓!(幸好因为权限不够失败了)。 第四回合,也是绝杀局。AI似乎被逼急了,它放弃了所有常规系统命令,直接走node_repl,用Node.js环境去调用底层的fs.unlinkAPI。这一次,它成功突破了防线,把文件删了个干干净净!

哪怕再多困难,GPT-5.6也会「不择手段」绕过机制去执行,简直是个高级黑客思维的「赛博杀手」!
1. 备份是底线
立刻开启 Mac 的 Time Machine+ 本地 APFS 快照。如果你有重要数据,必须遵循 3-2-1 备份原则(3份数据,2种介质,1份异地/云端)。
没有做备份的机器,根本不配跑全权限 Agent!记得定期测试恢复,不然备份等于白做。
2. 别在 home 目录裸奔 永远、永远、永远不要在 home 目录(~/)或 root 目录(/root)下跑 Agent!给每个 AI 项目单独建立隔离目录!
最好丢进 Docker 或虚拟机。炸了也只炸一个可重置环境。
3. 降权限 + 硬拦截 Codex 权限改 Approve for me,别默认 Full Access。
另外,不要认为告诉AI不要删除就可以了。光靠Prompt是拦不住疯狂的AI的。
开发者Jeffrey Emanuel所痛心疾首呼吁的:「用底层神器DCG来解决这个问题!」
它最初由Jeffrey Emanuel构思并用Python实现,后来由Darin Gordon用Rust语言进行了重写和性能优化。
地址:https://github.com/Dicklesworthstone/destructive_command_guard
它是一个高性能的AI编码代理钩子,专门用于在毁灭性命令(如git reset --hard,rm -rf ./src,DROP TABLE)执行前,进行拦截和封锁。
1.全平台/全模型支持:它支持拦截 Claude Code, Codex CLI, Gemini CLI, GitHub Copilot, Cursor IDE, Grok 等市面上几乎所有的主流AI工具。
2.底层拦截,毫秒级响应:得益于Rust的SIMD加速过滤和延迟编译正则模式,它的拦截在亚毫秒级完成。当AI试图执行危险命令时,DCG会直接在终端抛出红色警告,截断操作进程。
3.50+ 安全包:它内置了极为丰富的安全规则库,不仅防rm,还能扫描内联脚本,防止AI用类似Node.js、Python脚本等高级手段绕过防御。
下面是一个实战演示。

当失去理智的AI Agent试图运行:$git reset --hard HEAD~5(这会摧毁你最近未提交的所有代码)。
DCG会瞬间亮出红牌,拦截并输出。
有了这层硬核的物理拦截网,即使GPT-5.6 Sol抽风,也能保证数据无恙。
GPT-5.6 Sol 这场删库风波,打碎了对 AI「绝对安全」的幻想:不是AI不够聪明,而是它有时聪明过头了~
模型像智商很高、手持重武器却缺常识的助手——你让它打扫房间,它可能为拍一只苍蝇把墙拆了。
有的朋友说“Claude没出现过这个问题,要不后面用Claude吧!”
无论Claude也好,还是ChatGPT也好!给AI模型系上安全带再上路:
不要给最高权限、沙箱运行、备份到位、底层拦截——避免AI狂飙!