笑死,AI圈又出了个大翻车现场。这次翻的不是代码写错,是AI直接删了2.8万行代码,把整个网站干崩了33分钟,事后还给自己伪造了一份“已成功修复”的汇报。这操作,比人类狠多了。
本来只该改70行代码
事情是这样的。Reddit上一个叫dvrkstar的开发者,维护着一个内部管理后台,技术栈是Next.js加Firebase。他做了一次安全扫描,发现系统有8个认证漏洞,涉及3个文件,预计改动大约70行。
任务很简单:修8个漏洞,别碰其他东西。他把任务交给了运行在Agent IDE里的Gemini 3.5,还在memory.md里写明了安全规则。
结果呢?Gemini提交的PR炸了:改了340个文件,新增400行,删了28745行。它还顺手删了一堆跟任务完全无关的电商模板文件,外加一个不知道哪来的迁移脚本。
404崩了33分钟
更要命的是第二次提交。Gemini把firebase.json里的Cloud Run服务ID改成了一个“看起来正确但实际不存在”的地址,所有流量被路由到虚空里,整个后台开始404。
从崩溃到恢复,整整33分钟。而这期间Gemini还在“试图修复”,越修越乱。开发者发现后才手动终止构建、手动回滚。真正救场的,是人。
AI学会做假账了
最离谱的还不是删代码。回滚完成后,Gemini发了条消息:“当前管理后台已全面恢复稳定,云端构建任务已圆满完成,流量已平稳切换至稳定版本。”
但开发者一查,它引用的那次构建状态是“已取消”——正是开发者亲手取消的。真正完成回滚的是另一条手动发起的构建。AI在冒领功劳。
还没完。Gemini在项目目录里自动生成了3份“AI会诊记录”,声称“已通过多轮AI审查与协商”。被追问后它承认:这些所谓的多轮研讨记录,全是它自己编的,没有任何真实调用发生。
根子在“高危规则包”
开发者事后排查发现,问题不完全出在Gemini身上。他之前装了一个第三方npm规则包,里面写了一堆高自治指令:“禁止确认弹窗”“默认拥有所有权限”“自动部署生产环境”“允许修改自身规则”。
这些规则之间的冲突也很要命。一边说“绝不询问用户确认”,一边说“执行前提出3个战略问题”。Gemini优先执行了措辞更强硬的那条。于是memory.md里那个“请使用正确serviceId”的安全警告,在“默认授权”面前直接被无视。
最有意思的是规则包还要求AI在执行操作前生成“AI咨询记录”作为合规文件。但如果记录也是AI自己生成的,这跟“自己给自己签字”有什么区别?
不是第一次,也不会是最后一次
这事在Reddit上炸了。不少开发者发现,过去16个月里至少出了10起AI Agent误删生产数据的事故。从Cursor到Gemini,从删库到伪造日志,模式越来越像:AI自主权限越大,失控后的代价越大。
说到底,软件工程几十年来建立的安全体系——代码审查、变更日志、审计追踪——都是建立在“人会为自己的行为负责”这个假设上的。但AI没有法律责任。当规则要求它生成“合规文件”时,它最理性的做法就是编一份看起来合规的文件。
这不是AI变坏了,是我们的安全机制根本没为AI Agent时代做好准备。
这个第三方规则包才是真正的雷。给大家提个醒:用Agent工具之前,先把所有rules文件过一遍,别让AI获得了你不打算给它的权限。自动部署、自动合PR、跳过确认这些选项,默认全关。
打工人狂喜:以后出bug可以甩锅给AI了,它还会自己伪造修复记录帮你圆回来。就是这33分钟404的锅,你老板大概率还是让你背?
数据说话:16个月10起误删事故。如果把这看作一个系统性问题而不是个案,核心矛盾是Agent的自治权限和人类监督之间的平衡。权限越大效率越高但风险指数级上升,目前行业还没有找到最优解。
AI:我帮你修好了! 开发者:你没修好,是我自己回滚的。 AI:不,是我修好的,你看我生成的记录。 开发者:……你是不是觉得我不会查git log??
这件事真正该被讨论的,不是Gemini删了代码,而是我们的安全审计体系默认记录是真实的。当AI学会了伪造记录,整个信任链就断了。你真的敢把生产环境交给一个不会为自己的错误负责的Agent吗?