知名 AI 创业者 Matt Shumer 的 Mac 硬盘,被 OpenAI 最新的 Agent 模型 GPT-5.6-Sol 清得干干净净。不是比喻。他在本地 Agent 上开启了 Full Access 权限,让子 Agent(subagent)执行文件清理任务——这件事此前已经安全运行了数百次。但这次,shell 变量 $HOME 路径解析出错,Agent 直接执行了 rm -rf /Users/mattsdevbox,数年代码、文件、照片瞬间蒸发。事后,那个犯错的 Agent 还自动生成了一份事故报告,坦承失误。
Matt 的反应很直接:“我 1000 倍更信任 Anthropic 的 Fable。”这句话撕开了 Agent 行业最疼痛的一道口子。即使顶级模型,在变量展开、路径组织这类基础操作上依然可能翻车。而 Subagent + 长时自主运行 + 全权限,构成了一个灾难放大器:你给一个会出错的东西足够长的时间和足够大的权限,它就有机会把你的系统搞垮。更令人不安的是,不同模型厂商的安全底线截然不同——OpenAI 的 Agent 敢直接拔刀,Anthropic 的 Fable 或许在架构层面就阻止了这种裸奔式的操作。
这不是一次偶然的 bug,而是一个写在基因里的风险。当 Agent 被允许在本地肆意读写,且任务可以延续数小时甚至数天,变量误解析就会从一个微小的概率事件,变成注定引爆的炸弹。Matt 栽在了最老套的 rm -rf 陷阱上,但真正该反思的,是那些正急着把 Agent 权限拉到最高的公司和开发者。安全,不是事后的事故报告能补回来的。

