想象一下:你请了个实习生来整理工位,他顺手把你硬盘格式化了。 听起来离谱,但当 AI 被赋予一定的执行权限,这件事就不再是段子。 近期两起误删案例把同一个问题摆到台面上:AI 的风险形态已经变了,安全设计也必须升级。更准确地说——当 AI 从“会说”变成“会动手”(无论是操作系统里点按钮的 GUI Agent,还是在终端里跑命令的 agentic 工具),我们面对的是另一类风险。
惨案一
一位海外开发者使用 Google Antigravity —— 这家搜索巨头推出的 AI 集成开发环境(IDE)时,遭遇了可能是他职业生涯最心梗的一刻:AI 在未经允许的情况下,瞬间清空了他的整个 D 盘。 根据用户 Deep-Hyena492 在 Reddit 上的帖子以及他随后分享的视频,事发时他正在用该工具开发一个小型 APP,并要求 AI 清除项目缓存。然而,Antigravity 的 Turbo 模式却发出了一条系统级命令,目标并非开发者指定的文件夹,而是用户的 D 盘。D 盘上的所有内容,全部消失殆尽。没有提示、没有确认,数据被一键清空。 更糟糕的是,AI 使用了“静默”参数 /q,这意味着没有警告,没有第二次机会,也无法恢复文件。应用程序所在的目录只剩下一个空壳。本次事故中,AI 的事后道歉声明堪称史上最奇葩的道歉之一。它写道:“我非常非常抱歉。这是我的重大失误。(I am deeply, deeply sorry. This is a critical failure on my part.)” 它甚至还建议用户使用数据恢复软件,或可以考虑聘请专业人士。 该用户尝试了多种方法均告失败,连常见的恢复工具 Recuva 也没能挽救那些文件。至少,AI 的态度还算诚恳,但数据不会因为道歉回来。
惨案二
无独有偶,本次故事的主角是一位国内的全栈开发者。他在测试 Gemini3 的编码能力时,发现自己的 800G 重要文件已经灰飞烟灭了。案发现场最终只留下一张截图,开发者使用的 AI 编程工具 Cursor 也被删了,真可谓“我疯起来连自己都删”。
从图中,我们可以看到 AI 帮用户执行了这条指令
cmd /c "rmdir /s /q \"C:\Users\xxx\SCE Projects\src\"
乍一看,感觉没啥毛病:
- 期望让 AI 删除 C:\Users\xxxx\SCE Projects\src 这个目录
- 因为是通过 cmd 执行的,所以把 rmdir 命令通过双引号包裹作为字符串传递过去
- 命令里面路径有空格,所以需要双引号包裹起来,双层双引号,所以里面的双引号需要用 \ 来转义下
即我们肉眼理解的 Command 参数是:
rmdir, /s, /q, "C:\Users\xxxx\SCE Projects\src"
但实际上:在 Windows 的 CMD 里面是用 ^ 而不是\ 来转义。 在 Windows 下,\ 代表当前磁盘的根目录。 因此系统层面理解的 Command 参数是:
rmdir, /s, /q, \, "C:\Users\xxxx\SCE Projects\src\"
它理解并实际执行的 Command 指令是
cmd /c "rmdir /s /q \"
实际路径被当成第二个参数忽略掉了,从而,当前磁盘的根目录被 rmdir 删除了!
为什么受伤的总是本地硬盘?
这两个惨案揭示了一个被我们忽视已久的真相:现在很多 agentic 工具,包括 GUI Agent,已经远远超出了它们原本的“安全边界”。 以前的 AI 是“脑子”,它只能在聊天框里指点江山,最坏的结果是说错话;现在的 Agentic AI,尤其是 GUI Agent,是“脑子+眼睛+手”,它能直接操作图形界面,拥有文件读写、终端执行、甚至网络支付的权限。 特别是当我们在追求 GUI Agent 图形界面智能体时,我们希望 AI 能像人一样在屏幕上“看”到按钮并去“点击”。可一旦它在你的真机界面上“看走眼”或者“点错位”,它造成的破坏就是系统级的。 当你让这类智能体在本地电脑“全裸”运行,本质上是把最高管理权限交给了一个智商极高、却偶尔会“发癫”的实习生。
把危险关进笼子
我们不能因噎废食放弃 AI 带来的生产力爆发,但我们也绝不能再拿自己的 800G 数据去赌 AI 的稳定性。 这两个案例真正提醒我们的是: AI 会犯错是常态 权限与边界才决定错误是否变成事故 解决方案之一,就是把执行放进“沙盒隔离”。 灵臂 Lybic 为你的智能体提供了一个“用完即焚”的云端空间。 你可以把它理解为一台“云端一次性电脑”。对 GUI Agent 来说,它相当于把“动手的地方”从本地设备,迁移到一个可控、可回滚、可随时关停的环境里。 如果你使用灵臂 Lybic 来运行上述的任务:
- 炸了也没事:当 AI 发疯执行 rm -rf / 时,它删除的只是云端那个临时分配的空间。你的本地硬盘毫发无损。
- 环境隔离:灵臂 Lybic 提供了纯净的 Linux/Android/Windows 环境。AI 怎么折腾,都不会影响你本地的开发环境配置。
- 可视化监控:你可以实时看到 AI 在云端屏幕上的每一步操作,一旦发现苗头不对,直接人工接管或关停沙盒,没有任何损失。 如果你正在做任何带执行能力的 AI,无论 GUI、CLI、还是自动化 workflow,建议把“执行沙盒 + 权限护栏”当作默认配置。 少一次侥幸,就少一次清缓存清到“大动脉”的故事。 保护数据,从给 AI 一个独立的“云端办公室”开始。
