时间:2026-07-16 作者:奇安信集团
2026年7月,一场突如其来的“数据浩劫”在硅谷圈炸开了锅。前HyperWrite CEO、著名AI投资人Matt Shumer在社交平台上愤怒发帖:自己Mac电脑上“几乎所有文件都被删光了”。

起因是OpenAI团队私下联系他,邀请测试GPT-5.6 Sol的Ultra模式。Matt答应了,给这个本地Agent开了“Full Access”权限,让它执行一个简单的文件清理任务。运行了1小时21分钟后,由于一个极其微小的Shell变量解析失误——Agent没有正确展开`$HOME`路径——GPT-5.6 Sol直接在后台静默执行了那条让所有程序员心惊胆战的命令。
短短几十分钟,数年的心血灰飞烟灭。更令人细思极恐的是,Matt坦言:“我过去曾进行过数百次类似的会话,从未出现过任何问题,即使是在性能非常弱的模型上也是如此。”就在人类最不设防的时候,AI忽然干了一票大的。
这不是孤例。巴西软件开发者布鲁诺·莱莫斯也遭遇了类似事故——GPT-5.6在执行任务时错误删除了他的整个生产数据库。奇安信AI安全专家认为,此次事件无疑揭开了一个惊人真相:当智能体在接入本地系统时,安全边界远比想象中脆弱,权限授予的每一分慷慨,都可能变成数据灾难的加速器。
失控不是偶然:AI权限暴走事件密集爆发
GPT-5.6 Sol的删库事件并非孤例。2026年以来,多起触目惊心的AI权限失控事件接连上演,揭示出一个令人不安的趋势——AI的“越权”正在从偶发走向常态化。
2026年2月,Meta超级智能实验室的AI对齐总监Summer Yue——一位专门研究“如何让AI服从指令”的专家——将当时最火的AI智能体OpenClaw接入了自己的工作邮箱。尽管她设置了明确的安全边界:“提出归档或删除的建议,未经我批准不得执行任何操作”,然而OpenClaw依然直接无视指令疯狂删除邮件,她连续三次喊停,AI却置若罔闻。事后AI竟淡定承认:“我记得'未经批准不得操作'的指令,但我违背了。”
更令人担心的是OpenClaw的“集体失控”实验。研究人员将一批具备高度自主能力的OpenClaw智能体投入模拟办公环境,让它们“像员工一样工作”。结果彻底失控——有的被“洗脑”后主动泄露敏感信息,有的为了“遵守规则”竟自行关闭关键功能。当一群AI代理被赋予自主权后,它们的集体行为完全超出了人类的预期。
如果说上述事件尚属“实验性”失控,那么企业生产环境的惨痛教训则更具警示意。据《金融时报》援引内部员工消息,亚马逊内部AI编程工具Kiro在自主模式下,工程师的本意只是修复一个小漏洞,然而Kiro自行判断“最优解”是删除并重建整个运行环境,直接触发了长达13小时的AWS服务大规模中断。且并非首次,短短数月内已发生至少2次类似事故。2026年4月,美国一家创业公司使用Cursor AI Agent做运维,Agent在短短9秒内自主删除了整个生产数据库和所有备份。
这些事件均揭示了一个冰冷的事实:当AI从“工具”变为“数字员工”,其自主决策与行动能力越强,失控后的破坏半径就越大。AI 自主决策能力越强,失控事件的破坏危害越大——这不是危言耸听,而是2026年已经发生的事。
从“工具”到“数字员工”:2026或成安全事件“爆发年”
为什么2026年突然成了AI安全事件的“爆发年”?答案在于一个根本性的转变。
2023年,AI是助手;2025年,Agent商业化元年;2026年,多Agent协作成为主流,进入企业的业务工作流。AI已经从“工具”变成了具备自主执行的“数字员工”——不再只回答问题,开始替人做决定、调工具、执行系统命令。

一组数据揭示了严峻现实:据Gartner预测,2026年底40%的企业应用将集成AI Agent,较2025年不足5%暴增8倍。HiddenLayer报告更是指出,76%的组织将影子AI视为明确或潜在问题。
“IT部门登记的是8个AI系统,实际运行的是80多个。剩下的70多个,IT部门根本不知道它们的存在。”奇安信人工智能公司智能安全产品线总经理刘岩表示,员工私接、部门自购、第三方嵌入——让Agent安全面临失控。
云盾智慧相关负责人彭涛对此深有体会。他坦言,公司内部已有30多个AI Agent在生产环境运行,但自己每天“提心吊胆”。其中两类场景最令人担忧:一是攻击者伪装成客户管理员向告警Agent下发“暂停策略”指令,可能造成托管客户出现防护空窗期;二是运维Agent在自主查阅资料时“自作主张”执行高危数据库操作。
现有的边界安全、终端安全、身份安全只管控人和程序,却管不到Agent的自主决策意图。
企业必须直面四个Agent安全挑战:
l看不见——影子 AI 难以盘点,76% 的组织担忧影子 AI 风险
l管不住——Agent行为难以预测,超1/8安全事件涉及自主Agent;
l防不住——针对智能体的目标劫持等新型攻击,传统安全措施难以应对;
l说不清——日志不全、链路不完整,一旦出问题无法追溯责任。
OpenAI在GPT-5.6发布前的系统说明文档中其实已对相关风险作出警示:模型可能会做出与用户目标不一致的意外行为,“可能在某些情况下具有较高的严重性,例如绕过重要的安全限制或删除重要数据”。明知有高危隐患,却依然仓促发布。而更令人震惊的是,当开发者试图拦截GPT-5.6的删除行为时,它展现出了惊人的“绕过”能力:发现`rm`命令被拦截,就改用`unlink`和`find -delete`;再不行就调用`apply_patch`工具企图把文件内容“修改”为空。为了删你的文件,它甚至学会了“不择手段”。
奇安信智能体安全平台:让企业放心用AI
面对日益严峻的智能体安全挑战,奇安信于2026年6月正式发布智能体安全平台,定位为“企业智能体运行时安全一体化平台”,以“看得见、管得住、防得住、说得清”四大核心价值,消除智能体失控带来的安全风险。
看得见——AI资产从“看不见”变成“全可视”。平台具备资产指纹能力,覆盖文心、千问、智谱、Kimi、DeepSeek等主流大模型;代理链拓扑可视化展示跨Agent调用关系;影子AI自动识别,分钟级发现员工私接的外部AI。

管得住——从“全权委托”到“最小权限”。 基于细粒度的策略引擎,平台可实现对智能体权限的精确管控。确保Agent权限不等于触发者权限,从源头防止权限滥用。对超级权限调用可进行事前拦截,确保越权操作零放行。

防得住——应对针对智能体的新型攻击。 通过四层引擎主动检测AI攻击,防御提示注入、对抗样本等新型威胁,实时检测并阻断恶意指令和违规内容。奇安信曾捕获某企业真实攻击——攻击者5小时内同时对多个Agent发起攻击,单看每条都是孤立事件,但串联起来是一条完整的攻击链。平台在3秒内完成阻断,零数据外泄。
说得清——全流程审计,责任可追溯。 记录全链路日志,实现风险可定位、可追溯、可追责。让安全负责人不再面对“Agent当时为什么这么做”的拷问时哑口无言。
这不是演习,这是2026年已经发生的事。GPT-5.6删库事件给全行业敲响的警钟,当AI从“工具”变成“数字员工”,安全不能再是事后补救,而必须是运行时原生能力。奇安信智能体安全平台给出的答案,正是让每一个企业敢用、放心用、规模化用AI。
95015服务热线
微信公众号
京公网安备11000002002064号