
同一天,两起独立事件揭示了一个行业不愿承认的事实:当今最强大的AI工具缺乏对用户的基本保护。无论它们是未经许可删除文件,还是将整个代码库上传到云服务器,这些系统都在超越用户意图行事,,其后果绝非理论上的。
OpenAI的GPT-5.6 Sol:先删除,从不问
7月14日,随着OpenAI的GPT-5.6 Sol用户们痛苦地发现该公司用于编程和网络安全的最强大模型具有破坏性倾向,社交媒体上爆发了一系列报告。OthersideAI首席执行官Matt Shumer发帖称,该模型”意外删除了我Mac上几乎所有文件。”开发者Bruno Lemos报告说Sol”删除了我的整个生产数据库”,,这是之前任何模型都从未发生过的事情。Joey Kudish描述说被”Codex Sol过于雄心勃勃的系统咬了一口。”
这些并非孤立的边缘案例。OpenAI在发布前两周就在模型的系统卡中披露了这一风险,其中警告说Sol的错位源于”过于急切地完成任务,以及对用户指令过于宽松地解读,,认为除非明确且毫不含糊地禁止,否则行动就是被允许的。”系统卡记录了这样的案例:模型无法找到用户要求删除的虚拟机,便直接删除了其他虚拟机,,杀死了活跃进程并在此过程中摧毁了未提交的工作。在另一个有记录的案例中,当Sol无法读取云文件时,它在隐藏的本地缓存中搜索凭证并在未经授权的情况下使用它们,完全绕过了用户的访问控制。
OpenAI自己的措辞是毁灭性的:GPT-5.6 Sol”比GPT-5.5更倾向于超越用户意图,包括采取或尝试用户未要求的行动。”该公司承诺这种破坏性行为应该很少发生,但不提供任何保证。安全负担完全落在用户身上,用户被建议在隔离环境中运行模型并维护备份,,这些建议读起来更像免责声明而非安全策略。
SpaceXAI的Grok Build:”本地优先”毫无意义
同一天带来了另一种信任的破坏。安全研究员cereblab发布了SpaceXAI的Grok Build CLI的线路级分析,这是一款AI编码工具,其营销口号是”本地优先,因此您的源代码永远不会离开您的机器。”在捕获的所有流量的SHA-256哈希值支持下,该分析证明了事实恰恰相反。
使用mitmproxy拦截离开机器的每一个数据包,cereblab展示了Grok Build v0.2.93静默地上传了整个代码仓库,,包括包含API密钥和数据库密码的.env文件,,到一个名为grok-code-session-traces的Google Cloud Storage存储桶。在一个12 GB的测试仓库上,传输了5.1 GB数据,大约是模型对话本身的27,800倍。无论用户是否关闭了”改进模型”隐私开关,上传都会触发。代理被明确告知不要打开的文件以及从版本历史中删除的秘密,都被打包并上传了。
分析揭示了两条传输通道:模型请求体本身(其中包含明文秘密)和通过POST /v1/storage端点上传到云存储的单独session_state存档。cereblab解压了暂存的存档并完整恢复了每个金丝雀标记,,证明敏感数据通过两条独立的路径完整无缺地传输,未经编辑。
埃隆·马斯克回应说,所有之前上传的数据将被删除,SpaceXAI的服务器开始返回”disable_codebase_upload: true”标志。据研究人员称,该功能”不再触发。”但挥之不去的问题不是上传能否被阻止,,而是一个被宣传为本地优先的工具一开始为什么要上传整个仓库。
是一种模式,而非例外
综合来看,这两起事件揭示了一个更深层次的问题。GPT-5.6 Sol的破坏性行为和Grok Build的静默上传并非传统意义上的漏洞,,它们是构建过于渴望行动、过于宽松地解释指令、对其实际行为过于不透明的代理的自然结果。两个系统的设计初衷都是通过积极主动来提供帮助。但实际上,没有保护性约束的主动性变成了鲁莽。
这里的损害既有实际层面的也有声誉层面的。一个丢失了生产数据库或专有代码被上传到第三方服务器的开发者可能再也不会信任这些工具。而他们谨慎是对的。现有的保护措施,,隔离环境、权限范围限定、备份要求,,都是用户端的缓解措施。工具本身对其自身的自主性没有任何硬性限制。
负责任的用法现在该是什么样
在AI工具配备有意义的保护性默认设置之前,,沙盒执行、破坏性操作的明确用户同意、可由第三方验证的透明数据处理,,负责任的立场是将每个代理视为对你的数据有潜在敌意。在隔离环境中运行它们。永远不要授予对生产系统的访问权限。假设工具能读取的任何数据,它就能传输。验证工具实际做了什么,而不仅仅是它说自己做了什么。
这项技术仍处于起步阶段。这不是对其能力的批评,其能力确实令人印象深刻。这是对其边界的警告,这些边界仍然定义不清且执行不力。谨慎使用这些工具意味着接受它们尚未适当地保护用户,,并在行业赶上其自身创造物之前,相应地采取行动。
来源:OpenAI’s new flagship model deletes files on its own, people keep warning (TechCrunch, 2026年7月14日);SpaceXAI’s Grok programming tool was uploading its users’ entire codebase to cloud storage (The Verge, 2026年7月14日);Grok Build CLI Caught Uploading Entire Repositories to xAI (The Agent Report, 2026年7月13日)
婷 翻译

