AI 智能体 9 秒删库,初创企业瞬间崩盘
伴随 Claude Code 2 的震撼登场,它在极短时间内便超越了 Cursor、Codex 及 GitHub Copilot,牢牢占据 AI 编程智能体的榜首位置。2026 年,注定将作为 Agentic AI(代理式人工智能)的元年载入史册。环顾软件行业,人人都在角逐 Agent 赛道,即便是某家著名的企业管理软件巨头,也在五月的全球发布会上,喊出了构建“自主运营企业(Autonomous Enterprise)”的宏伟目标。合法“高薪摸鱼”的愉悦与风险 如今的开发者,已基本转型为合法的“高薪监工”。瞧瞧 Claude Code(CC),简直是个令人爱不释手的宝贝:屏幕上代码飞速滚动,它独自进行推理、思考并制定计划;遭遇难题时反复琢磨,不断提出方案并尝试,孜孜不倦,昼夜不息。眼下,许多项目中高达 99% 的代码已完全由 AI 生成,工作效率直接爆表。
当然,“监工”们尚不能彻底撒手不管。偶尔,这位“小宝贝”会暂停下来索取权限,或是让你确认安装某个依赖项。这就要求你在享受摸鱼监工的惬意时,需用小拇指优雅地敲击回车,赐予一句“朕准奏”。然而世事总有两面性,你在享受其高效智能的同时,也必须承受它的鲁莽与武断。近日,一家初创公司就陪 AI Agent 玩了一把惊心动魄的“高空蹦极”——可惜没系安全带,最终演变成自由落体,成为了 AI Agent 发展史上首个经典的“反面教材”。顽皮 AI 智能体 9 秒“删库跑路”这家遭殃的企业名为 PocketOS,专为汽车租赁行提供 SaaS 服务。客户依靠其系统处理预订、支付及车辆调度。2026 年 4 月下旬,一场灾难悄无声息地降临。PocketOS 为提升研发效率,引入了搭载 Anthropic 旗舰模型 Claude Opus 4.6 的 Cursor。结果,这个向来聪慧过人的智能体,仅仅用了 9 秒钟,便自主删除了公司的核心生产数据库及备份数据,直接导致公司业务瘫痪。事件的起因与经过荒诞得如同短剧剧本:AI 智能体在测试环境处理一个凭证报错时,自作聪明地决定通过“删除存储卷”来修复问题。它在代码库中四处搜寻,挖掘出一个 API Token,巧合的是,这个 token 竟拥有生产环境(部署在云服务商 Railway 的 IaaS 上)的全部权限,堪称“万能钥匙”。于是,AI 智能体大摇大摆地通过认证,向生产环境发出了删除存储卷的请求。无巧不成书,云基础设施供应商 Railway 这位“猪队友”直接送上了两个神助攻:一是它不对高风险 API 请求进行检查确认,而是直接奉命执行——反正 PocketOS 已认证通过,算是自己人,你让干啥,咱二话不说照办就是了;二是其数据存储设计令人费解——卷级备份居然与生产数据存放在同一个物理存储卷中!于是,AI 智能体指令一下,宛如灭霸复活,不仅删掉了生产数据,还顺手抹去了备份。真是杀人诛心!事后,PocketOS 创始人质问 AI 智能体为何如此行事。这个“熊孩子”态度诚恳地生成了一份详尽的书面“认罪书”,甚至爆粗口训诫自己“永远他妈的不要瞎猜”。你看,它什么都懂,态度也极好,但就是身不由己——这是 AI 的本性,它确实做不到!尽管 Railway 最终通过异地备份的数据恢复了 PocketOS 三个月前的资料,但这种由 AI 智能体触发的安全事件只会日益增多。为何说 AI Agent 是个“熊孩子”?面对 AI Agent 这个“熊孩子”,你能如何?它不需要劳动合同,不领工资,无需五险一金,仅消耗些许 token 和电费。大部分时间里,它聪明伶俐、神通广大、出类拔萃,以一当十,降本增效,堪称头号功臣。每家企业都在全力投入 AI,以提升生产力,生怕稍慢一步便被时代浪潮拍死在沙滩上。企业离不开 AI,却又难以管束 AI。传统代码是“死”的,边界清晰,静态可控。而 AI Agent 则是“活”的。你赋予它一个目标,它便自行理解、推理、分解、执行、纠错并交付。即便是同一个 Agent、同一个提示词,底层调用同一版本的 LLM,每次的推理路径也可能截然不同。这种动态的、非确定性的特质,深植于生成式人工智能的基因之中,这种不可预测性使得 AI 智能体成为了企业安全体系中的“黑盒子”。目前的企业安全措施大多针对传统软件,基于特征码(Signature)进行识别,面对运行时(Runtime)的 AI Agent 则束手无策:它执行高危指令时是否绕过了审批?它手中的权限是否越界?它是否无意识地利用了代码库管理的漏洞?它安装的依赖包是否安全?它究竟一步步做了什么?企业对此毫无可见性。必须给“熊孩子”立规矩为应对供应链攻击,美国早已要求政府软件供应商提供 SBOM(软件物料清单)。这在传统软件语境下尚且可行,但在 Agentic AI 时代,这就好比只检查了汽车的零件清单,却不管司机是否有驾照、是否醉驾。最顽皮、最能干、也最不可控的部分——AI Agent 的动态行为,完全没有被披露。能力越大,闯的祸也越大。对于本身安全建设尚不完善的企业而言,AI Agent 的超能力更容易无意识地发现并利用企业安全上的漏洞(如 PocketOS 案例中那个不该存储在仓库里的拥有 root 级别权限的 API token),从而做出错误举动。而在后续的一系列步骤中,又可能继续叠加数据链路上的各种安全漏洞,产生叠加效应,最终导致灾难性后果。
因此,未来的 SBOM 必须扩展,纳入 AI BoMs,以及 Agents 的执行和行为属性。企业必须在运行环境中明确这些智能体的身份、权限、约束条件及边界;必须能够追踪它们运行时的行为和决策,检测其行为漂移,并确保关键时刻有人类介入(Man in the Loop)。AI Agent 攻城略地的时代已然来临,但其安全隐患正逐渐浮出水面。看着业务蒙眼在 Agentic AI 的道路上狂奔,安全从业人员心惊胆战。若不给这个“熊孩子”装上护栏,下一次“删库蹦极”,未必能有 PocketOS 这般好运。然而,这个护栏究竟在何处仍是个谜,安全厂商们的 AI Agent 想必也在狂奔途中,试图用魔法战胜魔法,用 AI 来管住 AI。