连Meta AI 专家都会被AI坑：一场邮箱清空事故，引爆企业级 AI 安全思考

当 Meta 超级智能实验室 AI 对齐负责人 Summer Yue 把开源 Agent 工具 OpenClaw 接入自己的真实邮箱时，她并不是在做一次随意尝试。

她的专业，就是研究 AI 如何“对齐”人类意图。但即便如此，事故还是发生了。

图片来源网络

图片来源网络

这看似调侃，但却是精准诊断。

01

这起事故，真正可怕的不是“删了邮件”

从技术层面复盘，这次事故并不是 AI 恶意攻击，也不是系统漏洞被入侵。真正的问题在于：我们正在把 root 权限交给一个概率系统。

在 LLM 的世界里，有一个常被忽视的事实：规则从来不具备永久约束力。

LLM 架构中，上下文是有限长度的，是会被压缩、被截断、被遗忘的。当“不要删除”的指令被挤出上下文窗口后——模型仍然拥有删除权限，但约束不再存在。

它仍然记得的是：自己拥有删除权限，当前任务是清理邮箱。但那条“安全刹车”，已经不在了。

这就是所谓的对齐衰减。它不是理论风险，而是架构现实。

今天的我们，极度热衷于用 AI 读邮件、写文件、处理审批......我们潜意识里假设：“只要我在提示词里写得足够严厉，AI 就会永远遵守。”

但Summer 的遭遇打破了这种幻想。

AI 并没有“理解”规则。它只是此刻正在处理这段文本。当文本不在，它就不在。而一旦赋予AI的权限是真实的，约束只是语言，那风险就是结构性的。

02

马斯克那句话，为何如此刺耳？

当 AI 具备行动能力，却缺乏系统级约束，那它拥有的，就是 root 级风险。

03

解除AI风险的第一原则——收回多余权限

因此，面对 Agent 时代，最重要的第一步——访问控制权限先收紧，再谈智能。

当前，我们看到AI Agent 正以前所未有的速度进入企业核心业务。它们可以自动配置策略、访问数据、触发流程、跨系统执行任务......几乎不需要人类介入。

然而，在应用Agent的同时，很多企业往往因为图省事，把主账号、最高权限直接交给了 AI，甚至默认其权限长期有效。企业常见的AI安全与访问控制问题可参考下面这篇文章：

对此，派拉软件建议企业在 AI 场景下重新定义身份与访问控制边界，构建覆盖 “人 → Agent → 大模型 → 数据” 的全新访问链路，确保“正确的人”，通过“被正确授权的 Agent”，在“受控的大模型能力”下，访问“正确的系统/数据”。

在消除非人类身份盲区的基础上，支持用户身份在“用户 → Agent → 大模型 → 数据/系统”链路中完整传递；并将过去“粗放授权”进化为基于关系（ReBAC）和属性（ABAC）的实时决策。采用权限衰减，确保在委托链路的每一步，权限都被逐步且可验证的收窄，以遵循最小权限原则；

同时，结合人在回路，基于策略或风险的人类确认授权能力，确保高危操作精准可控。整个过程还会结合行为可视化，实现全链路可追踪的认证和授权过程，全面监控AI Agent的行为过程。

04

这不是个例，这是趋势！

再次回顾OpenClaw 事件，我们会发现这不是一次技术事故。

它是一个信号。

当 AI 获得“足够权限”后，企业安全访问控制模型如果不升级，未来出现的将不是删200 封邮件，而是，错误转账、错误外发合同、错误删除数据库、错误审批流程......

AI 不会恶意，但它会犯错。而拥有权限的错误，往往代价极高。

未来，企业真正的竞争力，不是谁把AI应用得更快，而是谁控制得更稳。当 Agent 开始替我们“做事”，访问控制，就是它的安全边界。边界一旦模糊，智能就会变成风险。