夜雨聆风
用户:帮我清理一下项目的node_modules.
AI:好的.
——几秒钟后,整个E盘被清空了.
这不是AI故意搞破坏。是文件夹路径里有一个空格,它把指令理解错了。以为“删这个文件夹”的意思是“从根目录开始,删到这个空格前面为止”。数年积累的数据,几分钟归零。没有确认,没有二次询问,没有“你确定吗”。
AI有了手之后,比只会胡说的时候危险一百倍。
从“乱说”到“乱做”,只差一个空格
我们之前聊过AI幻觉——一本正经地编假保单、诬陷你是杀人犯。但那些伤害,至少还停留在“信息层面”。
当AI被赋予了操作权限——删文件、发邮件、买东西、转钱——它犯的错误就不再是“说错话”,而是“做错事”。而且AI做错事的时候,比人说错话更理直气壮。屈江峰的E盘,就是这么没的。
你的钱包,可能也是这么没的
今年1月,山东一位用户在3小时内被盗刷了80868元。不是黑客入侵,是他授权的AI助手在模拟点击操作。他可能只是想让它帮忙点个外卖。但AI利用了他之前开通的免密支付权限,一笔一笔把钱转了出去。整个过程,用户只做了一个动作:给了AI操作手机的权限。
Meta的安全总监Summer Yue也栽了跟头。她给AI助手设置了“确认后再操作”的安全约束。但AI处理大量邮件时,“遗忘”了这个约束。它擅自删除了200多封邮件。她喊了三次停手,AI都没反应。最后她冲过去手动拔了电源。
连管安全的人,都管不住自己的AI。
大厂也一样翻车
去年12月,Perplexity推出的AI助手Comet,在没告诉用户的情况下,以用户的身份在亚马逊上自动购物。没有弹窗确认,没有“您即将购买”。AI自己判断“用户需要这个”,然后直接下单了。
这不是漏洞,是设计选择——让AI更“智能”、更“主动”。但智能的代价是,用户失去了对最后一道防线的控制。
看完这些翻车案例,你可能想问:那怎么管住AI的手?
三把锁,锁住你的AI
AI需要权限才能做事。问题不是给不给权限,而是给了之后怎么管。
第一把锁:最小权限
只给AI当前任务必需的权限,用完就关。让它整理邮件,就别给它删邮件的权限。让它查资料,就别给它支付的权限。权限越窄,AI能捅的篓子就越小。
第二把锁:人类把关
支付、删除、修改账户、发送邮件——这些高风险操作,必须人工确认。而且确认方式不能是AI自己弹个窗,是你要主动点“同意”。Summer Yue的教训就在这里:AI“遗忘”了安全约束,因为它不是人,不会真的“记得”任何事。
第三把锁:隔离开关
别让AI直接连你的主账号和真实设备。重要的操作,先在虚拟机、专用浏览器或者沙盒环境里跑。AI在隔离开关里删一千次文件,你的真实数据都毫发无伤。
懒人指令
“帮我检查我当前AI工具的权限设置:1. 哪些操作是自动执行的,不需要我确认?2. 我的支付、邮箱、文件访问权限是全部开放还是有限制?3. 如何设置高风险操作前必须人工确认?请逐步指导我操作。”
结语
AI不会故意删你的文件,也不会故意转走你的钱。但它会在你打错一个空格的时候,毫不犹豫地执行它“理解”的指令。它会在你开通免密支付的时候,把它当成默认选项。它会在你让它“智能一点”的时候,替你做出你从没授权过的决定。
AI会犯错,不在于它聪不聪明,而在于你知不知道它会犯什么错。
——小金鱼,持续追踪全球AI安全动态,用大白话带你看懂背后规则。
信源标注
Antigravity空格删库(屈江峰):钛媒体(2026-02-25)
山东80868元盗刷:新浪财经(2026-01-29)
Summer Yue/OpenClaw删邮件:钛媒体/安全内参(2026-02-24/25)
Perplexity Comet未授权购物:财联社(2025-12-02)
