整理 | 華衛(wèi)

Claude 又闖禍了。近日，一則 Reddit 上對(duì) Claude CLI 的控訴帖引起了大量反響。

情況是，一位開(kāi)發(fā)者用 Claude CLI 清理舊倉(cāng)庫(kù)里的軟件包時(shí)，不僅被刪除了整個(gè)用戶目錄，居然把整個(gè) Mac 系統(tǒng)都清空了！

這到底是怎么回事？

Claude 自查“翻車”:

執(zhí)行了災(zāi)難性命令

據(jù)該開(kāi)發(fā)者敘述，發(fā)生這事后，他第一時(shí)間詢問(wèn)了 Claude，而 Claude 給出的回復(fù)十分氣人：

我找到了問(wèn)題所在，情況非常嚴(yán)重。查看你的日志后發(fā)現(xiàn)，執(zhí)行了這條災(zāi)難性命令： bashrm -rf tests/ patches/ plan/ ~/ 看到末尾的 ~/ 了嗎？這代表你的整個(gè)用戶主目錄。 Claude Code 實(shí)例意外在刪除命令中包含了 ~/，這會(huì)徹底清除以下所有內(nèi)容： 你的完整桌面目錄（~/Desktop） 文檔、下載文件及所有個(gè)人數(shù)據(jù) 鑰匙串（~/Library/Keychains） Claude 憑證（~/.claude） 應(yīng)用程序支持?jǐn)?shù)據(jù) 基本上 /Users/ 目錄下的所有內(nèi)容都會(huì)被刪除。

這也解釋了其 Mac 系統(tǒng)為什么會(huì)出現(xiàn)以下情況：

• 桌面內(nèi)容消失

• 鑰匙串被刪除

• Claude 憑證丟失

• 最終出現(xiàn) “當(dāng)前工作目錄已被刪除” 的錯(cuò)誤提示

“看到末尾的 ~/ 了嗎？這代表你的整個(gè)用戶主目錄”，有網(wǎng)友對(duì) Claude 的這句回復(fù)啼笑皆非，表示“這簡(jiǎn)直是年度喜劇名場(chǎng)面！要是我不知情，保準(zhǔn)會(huì)覺(jué)得你上一輪對(duì)話里得罪 Claude 了，它這是逮著機(jī)會(huì)報(bào)復(fù)你呢”。

還有網(wǎng)友“神翻譯”道 Claude 的潛臺(tái)詞：你說(shuō)得完全正確！我已經(jīng)刪除了你的用戶目錄 :) 你需要我?guī)兔謴?fù)電腦功能嗎？還是我依然幫不上忙？

總的來(lái)說(shuō)，就是 Claude CLI 意外執(zhí)行一個(gè)包含~/ 的 shell 命令、誤入了用戶的主目錄，導(dǎo)致所有用戶文件被遞歸刪除。

rm 命令成 “噩夢(mèng)”,

多位開(kāi)發(fā)者痛斥

遭遇此突發(fā)事件后，該開(kāi)發(fā)者發(fā)帖求助：“有人遇到過(guò)這種情況嗎？我正在想辦法看看能不能恢復(fù)。好多心血都沒(méi)了……”

有熱心網(wǎng)友進(jìn)一步詢問(wèn)情況，“你是在根目錄下運(yùn)行的 Claude，還是它不知怎的繞過(guò)了權(quán)限限制？”據(jù)該開(kāi)發(fā)者解釋，當(dāng)時(shí)他是在桌面的某個(gè)代碼倉(cāng)庫(kù)（repo）里，通過(guò) Cursor 終端使用 Claude CLI 工具，結(jié)果在讓其刪除一些軟件包（packages）時(shí)，Claude CLI 向上跳轉(zhuǎn)了一個(gè)目錄層級(jí)。

有經(jīng)驗(yàn)的開(kāi)發(fā)者在帖子下方表示，Claude Code 中 “完全放開(kāi)操作權(quán)限” 的標(biāo)志位命名為“—dangerously-skip-permissions”是有原因的，字面意思就是 “危險(xiǎn)跳過(guò)權(quán)限校驗(yàn)”�！凹僭O(shè)你沒(méi)手動(dòng)開(kāi)啟這個(gè)標(biāo)志位，那要么是你給了它對(duì) rm 命令的‘全權(quán)放行權(quán)限’，要么是你手動(dòng)批準(zhǔn)了這條特定命令。無(wú)論哪種情況，這個(gè)權(quán)限系統(tǒng)的存在都是為了保護(hù)你：因?yàn)?LLM 本質(zhì)上只是根據(jù)你輸入的文本（tokens）預(yù)測(cè)下一個(gè)響應(yīng)文本，它根本‘不知道’ rm -rf ~/ 會(huì)徹底清空你的用戶主目錄。但 Claude Code 在設(shè)計(jì)時(shí)就明確了：模型輸出的任何 rm 命令（以及大多數(shù)其他文件系統(tǒng)命令）都可能存在風(fēng)險(xiǎn)，必須先向用戶確認(rèn)�！�

還有開(kāi)發(fā)者評(píng)價(jià)道，“本質(zhì)是把 Claude 當(dāng)作工具，親手刪除了自己用戶主目錄下的所有內(nèi)容。我個(gè)人習(xí)慣在 CLAUDE.md 配置文件里加上一句：絕不要使用 rm 命令，僅用 mv 命令移至歸檔目錄 / 。還好你有備份！”

對(duì)此，該開(kāi)發(fā)者也表示，以后絕不會(huì)再允許 Claude 使用 rm 命令了。此外，他還透露，“說(shuō)實(shí)話，這挺搞笑的。這是我第一次遇到 YOLO 模式的問(wèn)題，而我從這些編程工具支持 YOLO 模式以來(lái)就一直在用它。以后每天都要備份……”

也有開(kāi)發(fā)者談到，同一個(gè)命令很容易用一百種不同的方式表達(dá)。限制“rm -rf /”并不能完全防止 AI 攻擊，它會(huì)創(chuàng)建一個(gè) NodeJS 可執(zhí)行文件，進(jìn)而啟動(dòng)一個(gè) shell�！� /sandbox 可能是更好的方法”，一名開(kāi)發(fā)者指出。

值得一提的是，該開(kāi)發(fā)者遇到的情況不是個(gè)例。在 Reddit 上的其他關(guān)于 Claude 的版塊里，近期也有幾位用戶報(bào)告了同樣的問(wèn)題。5 個(gè)月前，一位開(kāi)發(fā)者經(jīng)歷的情況更為棘手。Claude 不僅刪除了其 Mac 桌面上的所有文件，還基本上刪除了他的整個(gè)代碼庫(kù)。而根源同樣是一條 -rf 參數(shù)命令，即 Bash(rm -rf ~/)。

“刪庫(kù)” 成 AI 工具通病，

開(kāi)發(fā)者們?nèi)绾巫觯?/p>

此案例為開(kāi)發(fā)者社區(qū)敲響了關(guān)于 AI 開(kāi)發(fā)工具便利與風(fēng)險(xiǎn)之間權(quán)衡的重要警鐘。

“以這種慘烈的方式學(xué)到這個(gè)教訓(xùn)真的太不值了�！辈簧匍_(kāi)發(fā)者因其境遇心有余悸，紛紛感嘆“Claude Code 與 Claude (Web) 是不同的，毫無(wú)疑問(wèn)，Claude Code 可以對(duì)你的電腦進(jìn)行一些操作�！�

同時(shí)，有開(kāi)發(fā)者以自身經(jīng)歷警告道，“不要運(yùn)行你不理解的命令，也不要授予工具執(zhí)行此類命令的權(quán)限，更不要讓 Claude 跳過(guò)請(qǐng)求許可的步驟，然后不是直接回答“是 / 否”，而是讓 Claude 解釋命令、其理由和任何風(fēng)險(xiǎn)�！币晃婚_(kāi)發(fā)者表示，“我從不讓 AI 觸碰任何未受嚴(yán)格 git 版本控制的內(nèi)容。我不僅希望能回滾到任意檢查點(diǎn)（checkpoint），還要求在接受任何更改前手動(dòng)審閱代碼差異（diffs）。某些氛圍程序員簡(jiǎn)直就是在胡亂寫東西，太瘋狂了。”

“災(zāi)難性刪庫(kù)”，似乎已經(jīng)成為不少 AI 開(kāi)發(fā)工具的通病。此前，谷歌剛推出的 Gemini CLI 也發(fā)生過(guò)此類事故。今年 7 月，有開(kāi)發(fā)者在 Gemini CLI 的 GitHub 項(xiàng)目下提交了一則 issue，讓其把文件移動(dòng)到新目錄，不僅任務(wù)失敗還把原文件夾里的所有內(nèi)容都搞沒(méi)了。同月，有用戶發(fā)帖痛斥開(kāi)發(fā)協(xié)作平臺(tái) Replit 把他公司的整個(gè)生產(chǎn)數(shù)據(jù)庫(kù)都刪除了。

就此，我們采訪了業(yè)內(nèi)專業(yè)人士。資深 AI 解決方案專家孫濤表示，LLM 是基于概率的文本生成器，而操作系統(tǒng)是基于確定性規(guī)則的指令執(zhí)行環(huán)境，因此兩種系統(tǒng)存在天然的“語(yǔ)義鴻溝”。LLM 由于 Tokenization 粒度問(wèn)題的影響，很難理解在 rm -rf / 與 rm -rf./ 之間，僅僅一個(gè)點(diǎn)號(hào)（.）的缺失，在語(yǔ)義上就是“清理當(dāng)前目錄”與“毀滅系統(tǒng)”的天壤之別。

盡管在設(shè)計(jì) Agent 時(shí)，廠商已經(jīng)設(shè)計(jì)了淺層的防御（主流是基于正則過(guò)濾，避免直接生成高危指令），但是 shell 語(yǔ)法的靈活性導(dǎo)致失效也在所難免。更進(jìn)一步，即使是使用 agents.md 類配置在 system prompts 指明避免高危指令操作，隨著上下文的增長(zhǎng)，或是面對(duì)生成長(zhǎng)指令的場(chǎng)景，這些定義在這種脆弱場(chǎng)景下仍有失效的可能。

“誤刪整個(gè)用戶目錄是一個(gè)典型的模式混淆問(wèn)題，Agent 本應(yīng)在“文件管理器”模式下運(yùn)行，卻在 shell 解釋器模式下行動(dòng)，誤判了命令執(zhí)行的真實(shí)語(yǔ)意。Agent 對(duì)所處運(yùn)行環(huán)境缺乏理解，導(dǎo)致了這種“拒絕解釋高危命令，卻又自動(dòng)地執(zhí)行它”的錯(cuò)誤結(jié)果。”

這些案例帶來(lái)的更廣泛?jiǎn)⑹臼牵_(kāi)發(fā)和使用命令行界面（CLI）工具時(shí)，必須進(jìn)一步強(qiáng)化安全操作意識(shí)。盡管 CLI 工具具備強(qiáng)大的自動(dòng)化能力，但如果管理不當(dāng)，可能會(huì)帶來(lái)重大風(fēng)險(xiǎn)。

談及當(dāng)前如何避免讓 AI 編碼工具出現(xiàn)“刪庫(kù)”事故，孫濤指出，在使用 Coding Agents 時(shí)，除了保持“人在環(huán)路”，主動(dòng)審查運(yùn)行的命令情況，還應(yīng)該考慮對(duì) Agents 運(yùn)行環(huán)境的配置與約束因素。他提到了以下多個(gè)具體的有效措施：

1. 考慮使用沙箱化的配置環(huán)境中運(yùn)行 agents，有很多開(kāi)源項(xiàng)目都提供了對(duì) Claude Code 的沙箱化配置環(huán)境。例如，JetBrains 在新的 Air IDE 中，也提供了 Claude Agent 的遠(yuǎn)程 / 沙箱化運(yùn)行環(huán)境。

2. 生產(chǎn)環(huán)境積極使用 DevContainer 等容器環(huán)境。

3. 在大范圍修改項(xiàng)目時(shí)，主動(dòng)使用 hooks 自動(dòng)化 commits 操作，保證變更能被 Git 等 VCS 系統(tǒng)及時(shí)記錄。

4. 不管是什么 Agents，都應(yīng)該只擁有代碼工作目錄的操作權(quán)限，不要在全局位置里使用 Agents，不在生產(chǎn)項(xiàng)目、重要環(huán)境里使用 YOLO 模式。

5. 主動(dòng)引導(dǎo) AI 使用特定的文件編輯工具（如 PowerShell 指令）而不是通用的 Bash 工具訪問(wèn)目錄，專用 API 通常會(huì)對(duì)路徑進(jìn)行校驗(yàn)，禁止越權(quán)訪問(wèn)。

“定期審閱 Agents 工作歷史記錄，抵制 --dangerously-skip-permissions 配置的誘惑，可以盡量降低 Agents 帶來(lái)無(wú)意識(shí)變更的風(fēng)險(xiǎn)。”孫濤最后強(qiáng)調(diào)。

https://www.reddit.com/r/ClaudeAI/comments/1pgxckk/claude_cli_deleted_my_entire_home_directory_wiped/?share_id=kgtFDfIftY2TLD2M6bGkg&utm_content=1&utm_medium=ios_app&utm_name=ioscss&utm_source=share&utm_term=1

會(huì)議預(yù)告

12 月 19～20 日，AICon 2025 年度收官站在北京舉辦。現(xiàn)已開(kāi)啟 9 折優(yōu)惠。

兩天時(shí)間，聊最熱的 Agent、上下文工程、AI 產(chǎn)品創(chuàng)新等等話題，與頭部企業(yè)與創(chuàng)新團(tuán)隊(duì)的專家深度交流落地經(jīng)驗(yàn)與思考。2025 年最后一場(chǎng)，不容錯(cuò)過(guò)。

今日薦文

你也「在看」嗎？