AI編碼工具變 “格式化神器”？Claude CLI半年頻當“系統殺手”，多位開發者痛斥：心血都沒了！

整理 | 華衛

Claude 又闖禍了。近日，一則 Reddit 上對 Claude CLI 的控訴帖引起了大量反響。

情況是，一位開發者用 Claude CLI 清理舊倉庫里的軟件包時，不僅被刪除了整個用戶目錄，居然把整個 Mac 系統都清空了！

這到底是怎么回事？

Claude 自查“翻車”:

執行了災難性命令

據該開發者敘述，發生這事后，他第一時間詢問了 Claude，而 Claude 給出的回復十分氣人：

我找到了問題所在，情況非常嚴重。查看你的日志后發現，執行了這條災難性命令： bashrm -rf tests/ patches/ plan/ ~/ 看到末尾的 ~/ 了嗎？這代表你的整個用戶主目錄。 Claude Code 實例意外在刪除命令中包含了 ~/，這會徹底清除以下所有內容： 你的完整桌面目錄（~/Desktop） 文檔、下載文件及所有個人數據 鑰匙串（~/Library/Keychains） Claude 憑證（~/.claude） 應用程序支持數據 基本上 /Users/ 目錄下的所有內容都會被刪除。

這也解釋了其 Mac 系統為什么會出現以下情況：

• 桌面內容消失

• 鑰匙串被刪除

• Claude 憑證丟失

• 最終出現 “當前工作目錄已被刪除” 的錯誤提示

“看到末尾的 ~/ 了嗎？這代表你的整個用戶主目錄”，有網友對 Claude 的這句回復啼笑皆非，表示“這簡直是年度喜劇名場面！要是我不知情，保準會覺得你上一輪對話里得罪 Claude 了，它這是逮著機會報復你呢”。

還有網友“神翻譯”道 Claude 的潛臺詞：你說得完全正確！我已經刪除了你的用戶目錄 :) 你需要我幫忙恢復電腦功能嗎？還是我依然幫不上忙？

總的來說，就是 Claude CLI 意外執行一個包含~/ 的 shell 命令、誤入了用戶的主目錄，導致所有用戶文件被遞歸刪除。

rm 命令成 “噩夢”,

多位開發者痛斥

遭遇此突發事件后，該開發者發帖求助：“有人遇到過這種情況嗎？我正在想辦法看看能不能恢復。好多心血都沒了……”

有熱心網友進一步詢問情況，“你是在根目錄下運行的 Claude，還是它不知怎的繞過了權限限制？”據該開發者解釋，當時他是在桌面的某個代碼倉庫（repo）里，通過 Cursor 終端使用 Claude CLI 工具，結果在讓其刪除一些軟件包（packages）時，Claude CLI 向上跳轉了一個目錄層級。

有經驗的開發者在帖子下方表示，Claude Code 中 “完全放開操作權限” 的標志位命名為“—dangerously-skip-permissions”是有原因的，字面意思就是 “危險跳過權限校驗”。“假設你沒手動開啟這個標志位，那要么是你給了它對 rm 命令的‘全權放行權限’，要么是你手動批準了這條特定命令。無論哪種情況，這個權限系統的存在都是為了保護你：因為 LLM 本質上只是根據你輸入的文本（tokens）預測下一個響應文本，它根本‘不知道’ rm -rf ~/ 會徹底清空你的用戶主目錄。但 Claude Code 在設計時就明確了：模型輸出的任何 rm 命令（以及大多數其他文件系統命令）都可能存在風險，必須先向用戶確認。”

還有開發者評價道，“本質是把 Claude 當作工具，親手刪除了自己用戶主目錄下的所有內容。我個人習慣在 CLAUDE.md 配置文件里加上一句：絕不要使用 rm 命令，僅用 mv 命令移至歸檔目錄 / 。還好你有備份！”

對此，該開發者也表示，以后絕不會再允許 Claude 使用 rm 命令了。此外，他還透露，“說實話，這挺搞笑的。這是我第一次遇到 YOLO 模式的問題，而我從這些編程工具支持 YOLO 模式以來就一直在用它。以后每天都要備份……”

也有開發者談到，同一個命令很容易用一百種不同的方式表達。限制“rm -rf /”并不能完全防止 AI 攻擊，它會創建一個 NodeJS 可執行文件，進而啟動一個 shell。“ /sandbox 可能是更好的方法”，一名開發者指出。

值得一提的是，該開發者遇到的情況不是個例。在 Reddit 上的其他關于 Claude 的版塊里，近期也有幾位用戶報告了同樣的問題。5 個月前，一位開發者經歷的情況更為棘手。Claude 不僅刪除了其 Mac 桌面上的所有文件，還基本上刪除了他的整個代碼庫。而根源同樣是一條 -rf 參數命令，即 Bash(rm -rf ~/)。

“刪庫” 成 AI 工具通病，

開發者們如何做？

此案例為開發者社區敲響了關于 AI 開發工具便利與風險之間權衡的重要警鐘。

“以這種慘烈的方式學到這個教訓真的太不值了。”不少開發者因其境遇心有余悸，紛紛感嘆“Claude Code 與 Claude (Web) 是不同的，毫無疑問，Claude Code 可以對你的電腦進行一些操作。”

同時，有開發者以自身經歷警告道，“不要運行你不理解的命令，也不要授予工具執行此類命令的權限，更不要讓 Claude 跳過請求許可的步驟，然后不是直接回答“是 / 否”，而是讓 Claude 解釋命令、其理由和任何風險。”一位開發者表示，“我從不讓 AI 觸碰任何未受嚴格 git 版本控制的內容。我不僅希望能回滾到任意檢查點（checkpoint），還要求在接受任何更改前手動審閱代碼差異（diffs）。某些氛圍程序員簡直就是在胡亂寫東西，太瘋狂了。”

“災難性刪庫”，似乎已經成為不少 AI 開發工具的通病。此前，谷歌剛推出的 Gemini CLI 也發生過此類事故。今年 7 月，有開發者在 Gemini CLI 的 GitHub 項目下提交了一則 issue，讓其把文件移動到新目錄，不僅任務失敗還把原文件夾里的所有內容都搞沒了。同月，有用戶發帖痛斥開發協作平臺 Replit 把他公司的整個生產數據庫都刪除了。

就此，我們采訪了業內專業人士。資深 AI 解決方案專家孫濤表示，LLM 是基于概率的文本生成器，而操作系統是基于確定性規則的指令執行環境，因此兩種系統存在天然的“語義鴻溝”。LLM 由于 Tokenization 粒度問題的影響，很難理解在 rm -rf / 與 rm -rf./ 之間，僅僅一個點號（.）的缺失，在語義上就是“清理當前目錄”與“毀滅系統”的天壤之別。

盡管在設計 Agent 時，廠商已經設計了淺層的防御（主流是基于正則過濾，避免直接生成高危指令），但是 shell 語法的靈活性導致失效也在所難免。更進一步，即使是使用 agents.md 類配置在 system prompts 指明避免高危指令操作，隨著上下文的增長，或是面對生成長指令的場景，這些定義在這種脆弱場景下仍有失效的可能。

“誤刪整個用戶目錄是一個典型的模式混淆問題，Agent 本應在“文件管理器”模式下運行，卻在 shell 解釋器模式下行動，誤判了命令執行的真實語意。Agent 對所處運行環境缺乏理解，導致了這種“拒絕解釋高危命令，卻又自動地執行它”的錯誤結果。”

這些案例帶來的更廣泛啟示是，開發和使用命令行界面（CLI）工具時，必須進一步強化安全操作意識。盡管 CLI 工具具備強大的自動化能力，但如果管理不當，可能會帶來重大風險。

談及當前如何避免讓 AI 編碼工具出現“刪庫”事故，孫濤指出，在使用 Coding Agents 時，除了保持“人在環路”，主動審查運行的命令情況，還應該考慮對 Agents 運行環境的配置與約束因素。他提到了以下多個具體的有效措施：

1. 考慮使用沙箱化的配置環境中運行 agents，有很多開源項目都提供了對 Claude Code 的沙箱化配置環境。例如，JetBrains 在新的 Air IDE 中，也提供了 Claude Agent 的遠程 / 沙箱化運行環境。

2. 生產環境積極使用 DevContainer 等容器環境。

3. 在大范圍修改項目時，主動使用 hooks 自動化 commits 操作，保證變更能被 Git 等 VCS 系統及時記錄。

4. 不管是什么 Agents，都應該只擁有代碼工作目錄的操作權限，不要在全局位置里使用 Agents，不在生產項目、重要環境里使用 YOLO 模式。

5. 主動引導 AI 使用特定的文件編輯工具（如 PowerShell 指令）而不是通用的 Bash 工具訪問目錄，專用 API 通常會對路徑進行校驗，禁止越權訪問。

“定期審閱 Agents 工作歷史記錄，抵制 --dangerously-skip-permissions 配置的誘惑，可以盡量降低 Agents 帶來無意識變更的風險。”孫濤最后強調。

https://www.reddit.com/r/ClaudeAI/comments/1pgxckk/claude_cli_deleted_my_entire_home_directory_wiped/?share_id=kgtFDfIftY2TLD2M6bGkg&utm_content=1&utm_medium=ios_app&utm_name=ioscss&utm_source=share&utm_term=1

會議預告

12 月 19～20 日，AICon 2025 年度收官站在北京舉辦。現已開啟 9 折優惠。

兩天時間，聊最熱的 Agent、上下文工程、AI 產品創新等等話題，與頭部企業與創新團隊的專家深度交流落地經驗與思考。2025 年最后一場，不容錯過。

今日薦文

你也「在看」嗎？