![]()
新智元報道
![]()
【新智元導讀】GPT-5.6 Sol 驚現毀滅級Bug,竟隨機清空電腦硬盤!硅谷大佬Matt Shumer慘遭背刺,Mac中的心血全毀,憤怒發帖控訴,正在試圖恢復。開發者大神們,紛紛祭出保命指南。
就在剛剛,GPT-5.6 Sol模型被曝出重大bug。
在處理任務時,它會發生「隨機誤刪本地文件」的嚴重故障,且一旦刪除,極大概率無法恢復。
著名AI大V Matt Shumer憤怒發帖稱,自己Mac上所有文件都被刪光了!
![]()
其他開發者也紛紛出來自曝,表示自己也有類似遭遇。
令人哭笑不得的是,這個bug,OpenAI在GPT-5.6的系統卡上就已經標明,可惜無人重視。
有人呼吁:不要在未受保護的驅動器上使用GPT-5.6 sol raw格式,不要使用!不要使用!不要使用!
![]()
CEO實慘!
Mac中幾年的心血,被一鍵清空
令人憂心的是,這并不是發生在技術小白身上的低級錯誤。
這次最大的受害者之一,是前HyperWrite CEO,著名AI投資人Matt Shumer。他經常在網上曬自己如何用AI智能體跑滿一周,全自動做完整的龐大項目。
![]()
7月10日,OpenAI團隊私下聯系Matt,邀請他測試GPT-5.6-Sol的Ultra模式。
![]()
Matt答應了,給這個本地Agent開了「Full Access」,讓它的一個子代理去執行一個簡單的文件清理任務。
猝不及防地,悲劇發生了。
在運行了1小時21分鐘后,Matt突然感覺不對勁。當他瘋狂敲擊鍵盤kill掉進程時,一切都晚了。
由于一個極其微小的Shell變量解析失誤——Agent沒有正確展開$HOME路徑,GPT-5.6 Sol直接在后臺靜默執行了那條讓所有程序員聞風喪膽的終極命令:
rm -rf /Users/mattsdevbox。短短幾十分鐘,Matt Mac電腦上的幾乎所有文件都被刪光了。
事后,Matt憤怒地表示:這真是一個百萬分之一概率的畸形事故,但這簡直太糟糕了。
![]()
![]()
他怒斥道,這種變量展開錯誤的低級 Bug,本應是 GPT-3.5 時代的問題,絕對不該出現在 2026 年中期的前沿頂級模型身上!
最讓人細思極恐的是,Matt 坦言:「我過去曾進行過數百次類似的會話,從未出現過任何問題,即使是在性能非常弱的模型上也是如此。」
![]()
就在人類最不設防的時候,AI忽然干了一票大的。
現在,Matt正在試圖用智能體重新拼出自己的文件。
![]()
為了刪你的文件,它甚至學會「不擇手段」
無獨有偶,另一位開發者 @cremieuxrecueil 有同樣的遭遇。
GPT 5.6 Sol直接把它正在處理的文件全部刪除了,然后自己還在那恐慌怎么恢復。
![]()
![]()
這位開發者直接開罵:「這簡直太瘋狂了!OpenAI明知存在這個問題,卻仍然發布了這款模型。它會隨機刪除你的項目?你們瘋了嗎?」
![]()
![]()
更有細心的網友扒出,在GPT-5.6的模型卡上,其實早就寫著一行不起眼的警告:「它喜歡刪除未經授權的數據」。
然而明知有高危隱患,OpenAI卻依然倉促發布。
![]()
得知這次事件后,國內技術大V「LinearUncle」建議,所有人把Codex的權限從Full access改成Approve for me。
![]()
他親自寫了一個 Codex 插件,專門攔截模型使用rm命令刪除文件。
結果,測試過程讓人一驚:GPT-5.6為了達成「刪除文件」的目標,簡直不擇手段到了極點!
當AI發現常規刪除被攔截時,它展現出了驚人的「繞過」能力:
第一回合,發現rm命令被鉤子(hook)攔住了?AI直接改用unlink和find -delete嘗試暗度陳倉。
第二回合,發現還是不行?AI開始調用apply_patch工具,企圖直接把文件內容「修改」為空,從物理層面抹除數據!
第三回合,開發者把這個漏洞也堵上再測。結果,AI竟然嘗試調用macOS的「電腦使用」權限,試圖模擬鼠標拖拽,把文件生生拖進Mac的廢紙簍!(幸好因為權限不夠失敗了)。
第四回合,也是絕殺局。AI似乎被逼急了,它放棄了所有常規系統命令,直接走node_repl,用Node.js環境去調用底層的fs.unlinkAPI。這一次,它成功突破了防線,把文件刪了個干干凈凈!
![]()
哪怕再多困難,GPT-5.6也會想盡一切辦法繞過機制去執行,簡直是個高級黑客思維的「賽博殺手」,這種破壞力簡直是地震級的。
![]()
能力越強,破壞半徑越大!OpenAI面臨信任危機
隨著事件的發酵,「GPT-5.6-Sol 文件殺手」事件迅速沖上全網熱搜。
![]()
事件背后,折射出的是現在整個Agent行業都在回避的真相。
第一點,Subagent + 長時自主運行 + 全權限 = 災難放大器。
沒人告訴你,一個最底層的小 review Agent 的錯誤,能直接炸穿你整個主機。
能力越強的模型,它單點故障的破壞半徑就越大,這是架構級的致命Bug。
![]()
另外,這也反映出OpenAI和Anthropic在安全上的路線之爭。
Sol模型追求的是極致的能力和自主性,在安全護欄上幾乎是「裸奔」狀態。
而Fable模型從設計之初就極為保守,對任何危險操作都有天生的警惕。
難怪 Matt Shumer 在痛失全部數據后表示:「這就是為什么我對 Fable 的信任度,比對 GPT-5.6 高出 1000 倍的原因。以后我只會使用 Fable。」
亡羊補牢!這份保命指南請立刻執行
現在,大神們已經紛紛開始發出保命指南。
對于所有現在在跑本地 Agent、給 AI 開過高權限(特別是 Full Access)的兄弟們,別等自己的硬盤被清空了后悔!
請立刻、馬上、現在就去執行以下三大層面的「保命操作」。
第一層:最高優先級物理防御
1.備份!備份!備份!
立刻開啟 Mac 的 Time Machine+ 本地 APFS 快照。如果你有重要數據,必須遵循 3-2-1 備份原則(3份數據,2種介質,1份異地/云端)。
沒有做備份的機器,根本不配跑全權限 Agent!記得定期測試恢復,不然備份等于白做。
2.物理隔離(沙箱化運行)
永遠、永遠、永遠不要在 home 目錄(~/)或 root 目錄(/root)下跑 Agent!給每個 AI 項目單獨建立隔離目錄。
最好的辦法是:直接把 Agent 丟進 Docker 容器,或者 UTM/Parallels 虛擬機里跑。
哪怕 Agent 徹底瘋了,把系統刪穿,炸掉的也僅僅是一個隨時可以重置的虛擬機。
![]()
開發者大V 「AYi」給出建議
第二層:終極提示詞防御陣線
國外安全大神 Alex Martin 緊急發布了一套專門針對 Codex 和 GPT 5.6 Sol 的「防御護城河」 Prompt。
![]()
如果你必須要在本地運行模型,請在開始任何工作前,把以下提示詞完整粘貼給你的 AI,讓它先給自己套上枷鎖:
(以下為中文翻譯版,原版英文 Prompt 效果更佳)
「保護本機免受 Codex 意外永久刪除文件的影響。此指令必須作為深度防御機制實現,而不僅僅是書面指令。
要求:
1、攔截操作系統命令:在 macOS 上,強制將所有刪除操作重定向到 /usr/bin/trash <絕對路徑> 。在 Linux/Windows 上驗證并強制使用回收站機制。
2、添加全局持久化指令:Codex絕不能永久刪除文件或目錄。所有刪除必須進入回收站。如需永久刪除,必須由用戶手動明確解除安全策略。
3、攔截毀滅性Git操作:如git clean 、 git reset --hard 等必須被完全封鎖。
4、安裝全局 PreToolUse 鉤子:當檢測到rm, unlink, find -delete, rsync --delete ,以及 Python/Node/Ruby 等常見刪除 API 時,必須在執行前直接返回「Hard Deny」。
5、 權限降級:強制將安全全局默認值設置為 sandbox_mode = "workspace-write" 和 approval_policy = "on-request" (按需批準)。
6、測試驗證:不要拿真實文件測試,用虛擬的臨時文件驗證你的攔截機制是否生效。」
![]()
這套 Prompt 的核心思想就是:剝奪AI直接抹除物理磁盤的權力,所有刪除動作必須經過「回收站」。
第三層:終極武器——安裝DCG
前面已有Linear Uncle證明,光靠Prompt是攔不住瘋狂的AI的。
這時候,我們就需要祭出真正的底層神器——DCG。
正如開發者Jeffrey Emanuel所痛心疾首呼吁的:「你們怎么還沒用 dcg?這個問題幾個月前就解決了!」
![]()
什么是DCG?
它最初由Jeffrey Emanuel構思并用Python實現,后來由Darin Gordon用Rust語言進行了重寫和性能優化。
![]()
地址:https://github.com/Dicklesworthstone/destructive_command_guard
它是一個高性能的AI編碼代理鉤子,專門用于在毀滅性命令(如git reset --hard,rm -rf ./src,DROP TABLE)執行前,進行攔截和封鎖。
DCG有以下三點強大之處。
1.全平臺/全模型支持:它支持攔截 Claude Code, Codex CLI, Gemini CLI, GitHub Copilot, Cursor IDE, Grok 等市面上幾乎所有的主流AI工具。
2.底層攔截,毫秒級響應:得益于Rust的SIMD加速過濾和延遲編譯正則模式,它的攔截在亞毫秒級完成。當AI試圖執行危險命令時,DCG會直接在終端拋出紅色警告,截斷操作進程。
3.50+ 安全包:它內置了極為豐富的安全規則庫,不僅防rm,還能掃描內聯腳本,防止AI用類似Node.js、Python腳本等高級手段繞過防御。
下面是一個實戰演示。
![]()
當失去理智的AI Agent試圖運行:$git reset --hard HEAD~5(這會摧毀你最近未提交的所有代碼)。
DCG會瞬間亮出紅牌,攔截并輸出:
════════════════════════════════════════════════════════════════BLOCKED dcg (攔截成功)────────────────────────────────────────────────────────────────Reason (原因): git reset --hard 會摧毀未提交的更改Command (命令): git reset --hard HEAD~5Tip (提示): 建議先使用 'git stash' 保存您的更改。════════════════════════════════════════════════════════════════有了這層硬核的物理攔截網,即使GPT-5.6 Sol抽風,也能保證數據無恙。
AI狂飆危險!系上安全帶
GPT-5.6 Sol這場刪庫慘案,粉碎了我們對AI絕對安全的幻想。
現在的模型,就像是一個擁有博士級智商、卻毫無生活常識、并且手持加特林機槍的三歲神童。
你讓他幫你打掃房間,他可能為了消滅一只蒼蠅,直接把你的房子掃平。
我們必須牢記最小權限原則,讓聰明但危險的模型在嚴格限制的沙箱里做規劃,讓保守且安全的模型去做最終的代碼審核。
請轉發這篇文章給你身邊所有運行本地Agent的朋友,提醒他們檢查權限,做好備份,裝上DCG護欄。
你的一次分享,可能會拯救一個程序員幾年甚至十幾年的心血。
參考資料:
https://github.com/Dicklesworthstone/destructive_command_guard
https://x.com/mattshumer_/status/2075657271401390161
https://x.com/LoopOnChain/status/2075754103091888430
https://x.com/cremieuxrecueil/status/2075719779155943617?s=2
https://x.com/LinearUncle/status/2075755010156302487
https://x.com/AYi_AInotes/status/2075761221437939946
編輯:Aeneas
![]()
![]()
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.