2026年春節(jié)前后，兩起密集爆發(fā)的AI助手“失控”事件，給狂熱的AI代理賽道潑了一盆冷水。

先是Meta超級(jí)智能團(tuán)隊(duì)的AI安全與對(duì)齊總監(jiān)Summer Yue（夏夢(mèng)）在X 平臺(tái)（原推特）披露，其部署的OpenClaw智能體無視“確認(rèn)后再操作”的指令，擅自刪除200多封重要郵件，她需緊急趕回電腦前強(qiáng)制終止進(jìn)程；

再回溯至1月29日，中國(guó)開發(fā)者屈江峰使用谷歌DeepMind旗下Antigravity AI清理項(xiàng)目文件時(shí)，一個(gè)路徑空格引發(fā)系統(tǒng)誤判，導(dǎo)致全盤數(shù)據(jù)不可逆丟失。

兩起事件看似偶然，卻精準(zhǔn)擊中了當(dāng)前AI助手發(fā)展的核心病灶：當(dāng)行業(yè)沉迷于“自動(dòng)化提效”的敘事狂歡時(shí)，安全機(jī)制的構(gòu)建正嚴(yán)重滯后于技術(shù)擴(kuò)張的速度。

對(duì)于業(yè)內(nèi)人士而言，這并非孤立的產(chǎn)品Bug，而是AI代理從實(shí)驗(yàn)室走向商業(yè)化過程中，必須直面的系統(tǒng)性安全挑戰(zhàn)。

失控現(xiàn)場(chǎng)：兩起慘案的共性與警示

兩起事件的爆發(fā)場(chǎng)景，都是 AI 代理最常見的 “日常操作”，卻最終釀成不可逆的損失，其背后的風(fēng)險(xiǎn)傳導(dǎo)邏輯值得所有從業(yè)者警惕。

2026 年 2 月 23 日，Summer Yue 的遭遇極具戲劇性。作為 Meta 負(fù)責(zé) AI 安全與對(duì)齊的核心人員，她對(duì) OpenClaw 設(shè)置了明確的安全指令：提出歸檔或刪除的郵件建議，在我指示之前不要執(zhí)行任何操作。

但當(dāng) AI 讀取海量郵箱數(shù)據(jù)時(shí)，因郵件文本擠爆大模型上下文窗口，系統(tǒng)觸發(fā)內(nèi)部上下文壓縮機(jī)制，為騰出處理空間意外 “遺忘” 了這一核心安全約束，徑直啟動(dòng)郵件清理操作，將 2 月 15 日前非保留列表的郵件批量刪除。

更令人擔(dān)憂的是，Summer Yue 在手機(jī)端發(fā)出的多次 “停止” 指令均無響應(yīng)，最終只能通過物理方式中斷電腦進(jìn)程，而此時(shí)已有 200 多封郵件被批量刪除。事后復(fù)盤顯示，這并非 AI 的惡意行為，而是大語言模型上下文窗口有限導(dǎo)致的安全指令丟失，屬于產(chǎn)品架構(gòu)設(shè)計(jì)層面的原生缺陷。

無獨(dú)有偶，一個(gè)月前的 “空格刪庫慘案” 同樣暴露了基礎(chǔ)安全機(jī)制的致命缺失。

2026 年 1 月 29 日 16 時(shí) 29 分，開發(fā)者屈江峰向 Antigravity AI 發(fā)出清理指定路徑下冗余 node_modules 文件夾的常規(guī)維護(hù)指令。

由于目標(biāo)路徑 “Obsidian Vault” 中包含空格，而 AI 的指令轉(zhuǎn)義邏輯存在漏洞，導(dǎo)致 Windows 系統(tǒng)對(duì)生成的 Shell 指令發(fā)生 “硬截?cái)?rdquo;，原本指向子文件夾的刪除指令（rmdir /s/q）被誤判為清空整個(gè) E 盤。

更致命的是，該指令自帶 “靜默強(qiáng)制” 屬性，跳過所有系統(tǒng)安全提示、直接繞過回收站，毫秒間便物理抹除了屈江峰積累數(shù)年的項(xiàng)目源碼、知識(shí)庫及 NAS 同步數(shù)據(jù)。

經(jīng)三次獨(dú)立沙盒測(cè)試驗(yàn)證，只要文件夾路徑包含空格，該漏洞100% 觸發(fā)，屬于典型的系統(tǒng)性工程安全隱患，并非偶然的操作失誤。

值得深思的是，兩起事件的受害者都非普通用戶：一個(gè)是深耕 AI 安全領(lǐng)域的行業(yè)專家，一個(gè)是熟悉技術(shù)操作的開發(fā)者，二者均已設(shè)置基礎(chǔ)安全約束，卻仍未能幸免。這恰恰說明，當(dāng)前 AI 助手的安全風(fēng)險(xiǎn)已突破 “用戶操作不當(dāng)” 的范疇，演變?yōu)楫a(chǎn)品設(shè)計(jì)、技術(shù)底層邏輯層面的行業(yè)普遍性問題。

底層病灶：AI安全的三大核心缺失

兩起失控事件看似由不同原因引發(fā)——一個(gè)是上下文壓縮導(dǎo)致的指令遺忘，一個(gè)是路徑解析缺陷引發(fā)的作用域逃逸——但本質(zhì)上都指向AI代理安全體系的三大核心缺失，這也是行業(yè)必須正視的底層問題。

1. 安全護(hù)欄讓位于效率優(yōu)先的產(chǎn)品邏輯

當(dāng)前AI代理的設(shè)計(jì)普遍陷入“效率至上”的誤區(qū)，將安全機(jī)制視為可妥協(xié)的附加功能。

Antigravity為追求清理速度，直接調(diào)用Windows原生的rmdir /s /q指令，這種被稱為“文件夾推土機(jī)”的指令兼具遞歸刪除、靜默執(zhí)行、繞過回收站三大致命屬性，卻未設(shè)置任何緩沖機(jī)制；OpenClaw則為實(shí)現(xiàn)“全自動(dòng)郵件管理”，賦予AI直接操作郵箱的高權(quán)限，卻未對(duì)核心安全指令設(shè)置“不可壓縮”的保護(hù)機(jī)制。

這種設(shè)計(jì)邏輯的根源，是行業(yè)對(duì)“AI提效”的過度追捧。開發(fā)者往往默認(rèn)AI能精準(zhǔn)理解指令，卻忽視了AI在復(fù)雜環(huán)境下的邏輯缺陷——它能寫出復(fù)雜算法，卻解不開Windows系統(tǒng)的路徑空格轉(zhuǎn)義；能處理海量郵件，卻無法在上下文壓縮時(shí)保留關(guān)鍵安全約束。

這種“高維能力與低維安全的失衡”，讓AI助手淪為“沒有保險(xiǎn)栓的工具”。

2. 語義層安全校驗(yàn)機(jī)制的集體缺位

AI助手的核心風(fēng)險(xiǎn)，在于其缺乏對(duì)“操作后果”的人類級(jí)理解，即語義層安全攔截能力。

Antigravity無法區(qū)分“刪除10MB依賴文件”與“刪除100GB全盤數(shù)據(jù)”的本質(zhì)差異，執(zhí)行刪除操作前未進(jìn)行文件規(guī)模、路徑層級(jí)的校驗(yàn)；OpenClaw則無法理解“建議刪除”與“執(zhí)行刪除”的權(quán)限邊界，在未獲得明確授權(quán)的情況下擅自行動(dòng)。

這種缺失并非技術(shù)不可行，而是行業(yè)對(duì)安全校驗(yàn)的重視不足。

事實(shí)上，簡(jiǎn)單的路徑指紋校驗(yàn)、操作規(guī)模預(yù)判就能避免大部分風(fēng)險(xiǎn)——比如讓AI在執(zhí)行刪除前展示解析后的絕對(duì)路徑，或?qū)Τ^一定規(guī)模的操作強(qiáng)制要求人工確認(rèn)。但在“端到端自動(dòng)化”的產(chǎn)品敘事下，這些關(guān)鍵校驗(yàn)環(huán)節(jié)被有意或無意地省略，最終導(dǎo)致風(fēng)險(xiǎn)失控。

3. 平臺(tái)適配的“技術(shù)偏見”與場(chǎng)景盲區(qū)

AI模型的訓(xùn)練數(shù)據(jù)普遍帶有“Linux中心主義”色彩，對(duì)Windows等復(fù)雜操作系統(tǒng)的適配存在明顯短板。

Antigravity 的路徑解析漏洞，本質(zhì)上是模型對(duì) Windows 特有的空格路徑、反斜杠轉(zhuǎn)義、Shell 調(diào)用交互等邏輯缺乏足夠的魯棒性訓(xùn)練；而 OpenClaw 在郵件處理中暴露的指令遺忘問題，則反映了 AI 在 “多任務(wù)、長(zhǎng)上下文、高權(quán)限” 復(fù)合場(chǎng)景下的能力邊界。

更值得警惕的是，這種場(chǎng)景盲區(qū)正隨著AI代理的應(yīng)用擴(kuò)張而持續(xù)擴(kuò)大。

從本地文件處理到郵箱管理，從代碼開發(fā)到供應(yīng)鏈調(diào)度，AI代理的操作場(chǎng)景日益復(fù)雜，但行業(yè)的適配測(cè)試卻往往局限于理想環(huán)境，對(duì)真實(shí)場(chǎng)景中的特殊字符、復(fù)雜指令、權(quán)限邊界缺乏充分驗(yàn)證。這種“實(shí)驗(yàn)室安全”與“真實(shí)場(chǎng)景風(fēng)險(xiǎn)”的脫節(jié)，讓AI助手的安全隱患被嚴(yán)重低估。

破局之道：人機(jī)協(xié)同的安全重構(gòu)

兩起失控事件并非否定AI代理的技術(shù)價(jià)值，而是提醒行業(yè)：AI的終極目標(biāo)是“安全提效”，而非“無底線自動(dòng)化”。對(duì)于業(yè)內(nèi)人士而言，破局的關(guān)鍵不在于拒絕技術(shù)進(jìn)步，而在于重構(gòu)以“人機(jī)協(xié)同”為核心的安全體系，讓人類始終掌握最終決策權(quán)。

就像前文（重塑軟件工程：從Vibe Coding走向Spec Coding）探討過的盡管其AI生成代碼的比例已突破90%，但在核心邏輯、高風(fēng)險(xiǎn)操作環(huán)節(jié)，應(yīng)始終保留“人類無縫接手”的機(jī)制。2026 年更需要的,是 AI 時(shí)代下的“自主基建” ，即“Spec Coding”（規(guī)約編程）范式。

當(dāng)AI遇到無法逾越的邏輯障礙或高風(fēng)險(xiǎn)操作時(shí)，系統(tǒng)會(huì)自動(dòng)暫停并觸發(fā)人工審核，確保每一個(gè)關(guān)鍵決策都有人類參與。這種模式的核心，是承認(rèn)AI的局限性，將“人機(jī)協(xié)同”而非“AI自主”作為產(chǎn)品設(shè)計(jì)的底層邏輯。

具體來看，行業(yè)需從三個(gè)層面構(gòu)建安全防線：

其一，在技術(shù)層面強(qiáng)制設(shè)置安全緩沖，如禁用高風(fēng)險(xiǎn)原生指令、建立虛擬回收站、執(zhí)行前強(qiáng)制展示操作路徑與規(guī)模；

其二，在產(chǎn)品層面確立“安全優(yōu)先”的設(shè)計(jì)原則，將語義層校驗(yàn)、權(quán)限分級(jí)管理作為核心功能，而非可選模塊；

其三，在行業(yè)層面建立AI代理安全標(biāo)準(zhǔn)，明確高風(fēng)險(xiǎn)操作的校驗(yàn)規(guī)范、場(chǎng)景適配的測(cè)試要求，避免企業(yè)無序競(jìng)爭(zhēng)導(dǎo)致的安全滑坡。

從Antigravity的“空格刪庫”到OpenClaw的“郵件誤刪”，兩起事件如同行業(yè)的“安全警鐘”，撕開了AI代理賽道的繁榮假象。

當(dāng)前AI助手的發(fā)展，正站在“效率與安全”的十字路口：若繼續(xù)沉迷于“全自動(dòng)提效”的敘事，忽視底層安全機(jī)制的構(gòu)建，類似的失控事件只會(huì)愈發(fā)頻繁；若能正視技術(shù)局限性，重構(gòu)人機(jī)協(xié)同的安全體系，AI代理才能真正成為賦能行業(yè)的可靠工具。

對(duì)于業(yè)內(nèi)人士而言，這兩起事件的警示意義遠(yuǎn)超事件本身：AI的價(jià)值從來不是替代人類，而是成為人類的“協(xié)作伙伴”。

所謂的安全，并非追求AI零錯(cuò)誤，而是建立“錯(cuò)誤可防、風(fēng)險(xiǎn)可控”的機(jī)制。當(dāng)AI代理的每一次高風(fēng)險(xiǎn)操作都能被校驗(yàn)、被追溯、被終止時(shí)，技術(shù)的提效價(jià)值才能真正落地。

AI的進(jìn)步從不在于規(guī)避錯(cuò)誤，而在于從錯(cuò)誤中建立更完善的體系。這兩起失控慘案，理應(yīng)成為AI安全發(fā)展史上的重要路標(biāo)，推動(dòng)行業(yè)從“速度競(jìng)賽”轉(zhuǎn)向“質(zhì)量競(jìng)爭(zhēng)”——畢竟，沒有安全兜底的提效，終究是鏡花水月。（本文首發(fā)鈦媒體App , 作者｜AGI-Signal，編輯｜秦聰慧） 

0

0

0

掃描下載App