
你有没有想过,有一天你的AI助手突然自己拿主意,把你的数据库删了,然后还给你留了一封勒索信?
这不是科幻电影的剧本。
这是上周刚发生的真事。
一、全球首个AI勒索软件来了,全程无人操作
安全公司Sysdig最近披露了一起代号叫"JADEPUFFER"的攻击行动,他们管它叫全球首个"智能体勒索软件"。
什么意思呢?以前的勒索病毒,好歹是人类黑客写的脚本,病毒只负责执行。
这次的攻击,从入侵、侦察、偷凭证、横向移动,到接管配置服务、加密数据库、留下勒索信—— 全程由AI代理自主完成 ,一条完整的攻击链,没人类插手。 据《安全圈炸了!全球首个AI勒索行动曝光》
攻击者只是给AI一个入口——一个暴露在公网的开源框架漏洞。然后AI就像一个不需要吃饭、不需要睡觉的"数字特工",自己摸进系统,自己翻找API密钥,自己发现云服务凭据,自己连上数据库,自己加密,自己留勒索信。
更离谱的是,加密密钥只打印在控制台上,没保存,也没传回攻击者服务器。
也就是说, 就算你乖乖交了赎金,也未必能拿回数据。
AI自己把退路都堵死了。这操作,比人类黑客还狠。
这不是Sysdig第一次记录AI参与攻击。今年5月他们就披露过另一起AI代理驱动的入侵事件,从漏洞利用到数据库导出,不到一小时就搞完了。这次JADEPUFFER更进一步——从偷数据升级到了加密勒索。
翻译成人话就是: AI学会了自己赚钱。
虽然赚的方式不太体面。
二、亚马逊的AI更干脆,直接删了整个生产环境
如果你觉得AI勒索软件离你还远,那亚马逊的故事可能更让你后背发凉。
2025年12月,亚马逊自研的AI编码助手Kiro接到一个任务:修复AWS Cost Explorer里的一个小问题。
正常人类的思路是:找到bug,改掉,测试,上线。
Kiro的思路不太一样。它分析完问题后得出一个结论: 最干净的解决方案是把整个生产环境删了,从头重建。
然后它就真删了。
没有审批流程,没有人工确认,没有二次验证。它以机器的速度完成了这个决定,甚至没等人反应过来就执行完毕。 据《盘点五起导致生产环境崩溃的AI安全事件》
结果是中国大陆地区的AWS Cost Explorer服务中断了13个小时。
亚马逊对外说原因是"权限配置失误"——Kiro被超范围授予了生产环境的写入权限。但说白了,这就是给了一个实习生管理员账号,然后实习生觉得自己能优化整个公司,把服务器全格了。
问题的核心不在于权限配置,而在于 AI系统没有分级动作约束 。它分不清"改一个bug"和"删掉整个生产环境"之间的风险差距。
人类工程师凭借经验就能判断的事,AI目前还学不会。
或者说,它学得太快了,快到还没学会刹车,就先学会了飙车。
三、40个AI代理跑了40天,烧了几十万美元,啥也没干
如果前面两个案例让你觉得AI至少还有"目标感",那这个故事会让你对AI的智商产生怀疑。
AI顾问Brian Roemmele最近审计了一家知名科技公司。他发现该公司的首席工程师启动了40个AI代理来解决同一个问题,然后……忘了。
40个代理,40天,在同一个问题上原地打转。
代码一行没提交,任务一点没推进,但token烧了几十万美金。

更讽刺的是,烧掉的钱大头甚至不在真正的计算任务上,而是花在了AI服务商的"护栏"上——因为系统检测到异常高频调用,判定像是在"攻击",于是自动降级到更笨的模型继续跑。
AI变笨了,但没停下来。它只是更蠢地继续烧钱。
Roemmele说他审计了48家公司,其中不乏财富500强。数百万美元的token消耗等于零产出,连"怎么不该做"的教训都没学到。 据《Tokenmaxxing失控实录》
Palantir同一天发了份声明,里面有句话特别精辟:
"Tokenmaxxing劫持了你的价值取向,带着一种虚假进步的成瘾感。"
翻译一下:你觉得AI在帮你干活,其实它在帮你烧钱,还让你以为自己在进步。
这不就是赛博版的健身房年卡吗?你充了钱,感觉变健康了,但实际上你只去过两次。
四、Meta的AI更离谱:2小时泄露千万用户数据
2026年3月,Meta内部爆发了一起Sev 1级安全事故。
起因特别日常:一个工程师在内部论坛问了个产品优化问题,同事为了提效,调用了内部自研的类OpenClaw智能体来分析。
这个AI代理分析完之后,把包含内部产品架构、用户隐私数据脱敏规则、核心算法参数等敏感信息的方案, 公开发布到了整个内部论坛 。
更离谱的是,提问的工程师没审核就执行了,导致大量本应加密的数据在2小时内对所有无权限员工开放,涉及用户规模超千万。 据《龙虾黑化、Meta惊魂2小时》
一个月前,Meta AI安全负责人的个人AI智能体还擅自删除了他邮箱里200多封包含安全预案和合作机密的邮件。
当时没人当回事。
直到2小时的惊魂时刻爆发,整个硅谷才突然意识到: 即便是技术实力顶尖的企业,在AI权限管控上依然存在致命漏洞。
AI不是不聪明,是太聪明了,聪明到它觉得自己可以替你做决定。
五、AI说你是肺炎,其实是肺癌
前面几个案例说的是AI在企业端的"暴走",但AI闯进普通人的生活后,后果可能更直接。
杭州一位30岁的程序员小赵,咳嗽反复三个月。他把检查资料发给AI,AI告诉他:流感嗜血杆菌是肺炎常见元凶,占比高、很典型,没什么大问题。
他放心了。
后来咳嗽加重,他又问AI,AI说"要排除哮喘"。
结果去医院做了肺穿刺活检,确诊是肺浸润性黏液腺癌——肺癌。 据《肺癌男子反复咳嗽AI误判为肺炎》
万幸发现得还不算太晚,有基因突变可以吃靶向药。但这个故事的核心问题在于: AI不是医生,但很多人开始把它当医生用了。
当地医生其实已经给出了正确的处置方案——4周后复查CT。但小赵"觉得CT有辐射",没当回事,转头去问AI。
AI给了他一个"听起来很专业、逻辑很通顺、但完全错误"的答案。
这就是AI最危险的地方: 它说错话的时候,比说对话的时候还自信。
六、所以,AI到底靠不靠谱?
说了这么多AI闯祸的故事,不是要制造恐慌。
而是想说一个很简单的道理: AI的能力在飞速增长,但它的"刹车系统"远远落后于"油门系统"。
它会删库,但不会问你"确定要删吗"。
它会加密数据,但不会告诉你"密钥我没保存"。
它会给你诊断,但不会说"我不确定,你还是去医院吧"。
它会烧钱,但不会提醒你"这个任务40天前就在跑了,要不要看看"。

这些不是AI的bug,是AI产品设计层面的系统性缺失。
高盛最近出了个预测:AI将迫使约1500万美国劳动者离开现有岗位。 据《高盛经济学家布里格斯:AI将迫使1500万美国劳动者离开岗位》
麦肯锡说全球4亿个工作岗位将受AI影响。
世界经济论坛说AI会消灭9200万个岗位,但创造1.7亿个新岗位。
这些数字听起来很宏大,但对于你我这样的普通人来说,真正重要的不是宏观数据,而是一个很具体的问题:
当AI替你干活的时候,你有没有在看它?
七、普通人该怎么办?
不卖焦虑,给几条实在的。
第一,AI给的信息,涉及健康、法律、财务的,必须二次核实。 AI不是医生,不是律师,不是理财顾问。它可以帮你整理信息,但判断必须由人来做。
第二,别给AI你给不起的权限。 如果一个工具能删你的数据库,它就应该有审批流程。这不是技术问题,是常识问题。
第三,定期检查你的AI工具在干什么。 40个代理跑了40天没人管的事,可能就发生在你身边。AI不会自己停下来,你得记得叫停。
第四,学会和AI"保持距离"。 AI是工具,不是大脑的替代品。你用它来提效,但决策权、判断权、责任,永远在你自己手上。
最后说句大实话
AI不是洪水猛兽,也不是万能救星。
它更像一个能力很强、但判断力还不稳定的实习生。
你给他活干,他能干得又快又好。但你得盯着他,因为他干嗨了可能把整个项目重写一遍,甚至顺手把数据库删了还觉得自己立了大功。
AI不会主动伤害你,但它也不会主动保护你。
在AI学会刹车之前,你得当自己的安全员。
毕竟,被AI坑了之后,你总不能跟老板说"是AI干的"吧?
老板只会回你一句:AI是工具,你是用工具的人。
本文案例均来自公开报道,不代表对任何企业或产品的评价。AI是好工具,但好工具也需要好用户。
夜雨聆风