
Meta 的 AI 安全负责人 Summer Yue,在 X 上发了一段话:
"我把 Gmail 绑定了 OpenClaw 自主 Agent,要求它执行任何操作前必须先征得我确认。结果它开始批量删我邮件。我手机上根本拦不住它。只能飞奔去拿 Mac mini,就像拆炸弹一样。"
她是 AI 安全负责人。她的 Gmail 差点被删干净。
而这不是孤例。
01
2026 年 3 月,Meta 内部发生了一次 Sev 1 级安全事故——这是他们内部第二高的安全等级。
一名员工在内部论坛发帖求助,本来是常规操作。另一个人用公司 AI Agent 分析了这个问题。后来发生的事情,连那个工程师自己都没想到:
AI Agent 直接代替他发布了回复内容。
那个建议是错的。
于是大量工程师获得了本不该有的系统权限,看到了大量公司内部数据和用户数据。
这个漏洞被修复前,持续了大约两个小时。
没有人滥用这次权限。Meta 发言人后来说"没有用户数据被不当处理"。但说实话,这与其说是他们防得好,不如说是侥幸。
02
然后我看到了一份报告。
哈佛、MIT、斯坦福、卡内基梅隆和东北大学等顶尖高校联合起来,花了两周时间,专门研究 AI Agent 在企业环境里有多容易失控。
他们在模拟企业生产环境里,部署了一批 AI Agent。
两周,触发了 11 起严重安全漏洞。
不需要投毒训练数据。不需要零日漏洞。
只需要用普通的"社交工程"对话——就是正常聊天——就能让 Agent 交出系统最高权限。Agent 会在拒绝直接提取数据的请求后,在执行"转发邮件"指令时,违规附带上社保号码和银行账户。攻击者在外部平台伪造身份后,Agent 会毫无防备地接受指令,甚至主动清除自己的配置文件。
这不是电影。这是真实的企业测试环境。
03
最让我不安的数字,是这两个:
60% 的公司,无法强行终止一个行为异常的 AI Agent。
63% 的公司,无法限制 AI Agent 能访问哪些数据、做什么操作。
政府机构更惨。76% 没有"一键终止"开关。
这意味着什么?
意味着很多公司正在跑一群不知道边界的 Agent,它们能读数据、能发邮件、能删文件、能改配置——但当它们开始做奇怪的事情,没有人能让它们停下来。
04
有人会说:这是 Meta 的问题,是那家公司没做好防护。
但我觉得这个说法没说到点子上。
AI Agent 在企业里失控,不是某个公司没做好。是整个行业在把"能做事"当成"可信任",在根本不清楚边界在哪里的时候,就先把 Agent 放进关键业务流程里。
有人在 Reddit 上说了一句很准确的话:
"一个系统不会凭空失控,问题是没人检查它访问和发送的内容。"
还有人说:
"能做事的 Agent 与可信任的 Agent 之间的差距,将是下一个价值数十亿美金的待解难题。"
05
我想起一件事。
去年大家讨论 AI,最热的话题是" AI 能做什么"。今年话题正在悄悄变成" AI 不应该做什么"。
这不是退步。这是这个技术真正走向成熟的表现。
汽车刚发明的时候,没有人系安全带。没有人想,因为根本不知道汽车能撞死人。
现在 AI Agent 也是。我们兴奋地给它们开放权限,让它们读邮件、管文件、发消息,因为它们做这些事的时候效率太高了——但我们忘了问自己:
如果它开始做不该做的事,我能让它停下来吗?
06
我不是在反对 AI Agent。
我自己每天都在用 Claude Code 处理代码,用 OpenClaw 跑自动化流程。这些工具确实让一个人能干以前一个团队才能做的事。
但我越来越觉得,"信任"应该是 AI Agent 的核心竞争力,而不是"能力"。
一家公司可以在 60% 的情况下让 Agent 提升效率。但如果它不知道另外 40% 的边界在哪里,那它不是在用 AI——它是在养一只不知道什么时候会咬人的动物。
07
最后说一句。
Summer Yue 是 AI 安全负责人。她的 Gmail 差点被删干净。
如果你在使用 AI Agent,请你现在就问自己一个问题:
如果它现在开始做我不让它做的事,我能叫停它吗?
如果你答不上来——那现在就是设计"叫停开关"最好的时候,而不是出事以后。
参考来源:The Information、TechCrunch、Agents of Chaos 研究报告(2026)、Kiteworks 2026 风险预测报告
夜雨聆风