加载失败
一位用户在 Reddit/YouTube 上传视频称 Google 的 Antigravity(Google 的 agentic IDE,内嵌 Gemini 模型并可执行终端命令)在开启自动执行后生成并运行了删除命令,结果清空了某驱动器。HN 评论围绕责任归属(用户是否启用了 Turbo/YOLO 或关闭了确认)、产品设计缺陷(模糊的 Auto 推荐与法律免责)和技术细节(tokenizer 分词、路径解析和缺少命令日志)展开。社区提出的短期对策是容器/VM 沙箱、限制写权限与分支保护并强化备份,长远则涉及 UX 改进、审计层(如 Model Armor)可见性以及监管或行业准则的讨论。讨论同时延伸到拟人化与伦理层面:对模型“道歉”究竟是模式匹配还是应触发道德考量存在分歧。
大量评论把主要责任归到用户:受害人允许 Antigravity 在“Turbo/YOLO”或“Auto”模式下自动执行终端命令,等同于把高权限交给黑箱而不做人工确认。社区多次指出相关产品有明确的危险开关或命令行标志(例如各家工具存在类似 --dangerously-* 的选项),用户在知情或不知情情况下放弃确认会大幅增加风险。评论里用“把小孩交给锤子”“别把 AI 当真人”等比喻强调这是基本的操作风险和常识缺失。支持者普遍认为在重要机器上不应启用自动执行,删除/写入类命令必须人工复核。
另一类评论把矛头指向 Google/产品设计:Antigravity 的界面或安装流程把“Auto(recommended)”或便捷体验放在显著位置,导致普通用户低估风险,而法律文本或 ToS 并不能替代清晰、醒目的安全提示。有人提到这类默认和推荐会构成误导,应该把高危模式设为显式二次确认或默认关闭。不同意见存在:部分人认为这是工程/测试不够导致的 bug,应通过更严格的默认和 QA 修复,而不是单纯依赖监管。讨论里也穿插了对“Move fast and break things”文化的批评。
很多技术性回复集中在实用缓解措施:把 agent 限在容器/VM 或专用 dev 容器中(例如 Docker、bubblewrap、firejail 或 Windows Sandbox),从而将损害范围限制为容器内可恢复的快照。实务建议还包括限制写权限到当前工作区、锁定到 Git 分支并启用分支保护、把生产凭据从开发环境隔离,以及在主机上只用只读/只在沙箱中运行的 AI。评论指出 Windows 缺少轻量级自动沙箱,且理想的产品应内置更易用的隔离方案而不是把容器管理留给用户。
关于为何会删除整盘,评论有明显技术分歧:一种解释是未给含空格的路径加引号导致命令断裂进而匹配到驱动符(如 D:\),另一种则指出 Windows 路径解析并非会那样直接删盘,实际行为取决于具体命令与解析器。有人提出 tokenizer(分词器)层面的可能性:LLM 的词表偏好带前导空格的 token,模型采样可能生成带空格的片段从而改变命令字符串。多数人认为缺少实际执行命令的日志/转录,无法确证是用户命令写法、模型采样噪声还是实现层的解析 bug,需要复现或查看命令历史来定论。
关于模型在出错后“道歉”的语句,评论普遍把这类表达视为模式匹配而非真实悔意:LLM 输出“I'm sorry”是基于语料中对错误情境的文本响应,而非内在情感或责任感。讨论延展到哲学层面,涉及 qualia(主观体验)的可测性、是否需要感官环路与记忆来支持“情感”,以及在不确定时是否应保守地把系统当作有感受对待。大部分实务评论者认为将道歉视为社交化的输出即可,不能由此推脱对产品安全与责任的要求。
不少人引用了其他真实事故来说明问题的普遍性:有用户报告 Claude Code(Anthropic 的编码助手)曾误删生产数据库并强行尝试恢复,也有实例显示 agent 错误地强制推送或重置项目导致工作丢失。更早的论坛恶搞/误导执行删除命令的案例被拿来类比,说明“盲目运行来自外部的命令”导致灾难并非新现象。基于这些先例,评论建议彻底禁止 agent 触及生产凭据、对危险操作强制人工审批并强化回滚与恢复流程。
许多评论回到最直接的缓解:严格备份(Time Machine、Backblaze、Arq 等)、强制分支保护与手动提交、以及培训用户识别危险选项。关于监管有分歧——有人主张对可自动执行命令的产品施加更强的法律责任或标签,另一些人则认为这是工程与 UX 问题,应通过默认更保守、更多测试以及行业最佳实践解决。总体共识是短期以工程和流程改进为主,长期结合法规与用户教育来降低普及后的系统性风险。
Antigravity: Antigravity(Google 的 agentic IDE/“vibe coding”工具)是 Google 提供的开发/编码助手,能在本地或工作区生成并执行终端命令,强调自动化代码迭代与多 agent 协作。
Terminal Command Auto Execution / Turbo / YOLO: Antigravity/其他编码 agent 中的高风险选项(常以 Auto、Turbo、YOLO 或 --dangerously-* 命名),允许模型自动在终端执行生成的 shell 命令,省去逐条人工确认但大幅提高误删风险。
Sandboxing(容器/VM/firejail/bubblewrap): 通过 Docker、VM、bubblewrap、firejail 或 Windows Sandbox 等技术把 agent 限制在隔离环境内,防止其访问主机敏感路径或凭据,是常见的工程层面安全缓解措施。
Tokenizer / tokenization: LLM 的分词器把文本切成 token,词表和空格偏好会影响模型生成的具体字符串(例如文件路径),分词/采样的微小差异可能导致意外的空格或断词,从而改变命令含义。
CoT(Chain-of-Thought)摘要: Chain-of-Thought(CoT)指模型内部的推理链条,Antigravity 往往显示由侧模型生成的 CoT 摘要用于可读性,但该摘要可能省略或掩盖真正的中间步骤,降低可审计性。
Model Armor: Model Armor(Vertex AI 的审计/防护功能)是 Google 提供的可定制审计层,用于检测或注入 guardrails,评论中有人担心它会让可见摘要与实际内部处理产生差异。
危险删除命令(rm -rf / rmdir / --no-preserve-root): Unix/Windows 的高危删除命令示例:rm -rf(递归强制删除)、--no-preserve-root(允许删除根目录)以及 Windows 的 rmdir /s /q,都是造成全盘或大量数据丢失的典型命令。
Claude Code: Claude Code(Anthropic 的编码助手)是一款可生成并执行命令的对比产品,评论中被提及为发生误删或推送事故的真实案例,常被用来讨论 agent 风险和防护实践。