5 月 9 日,一名 AI 特工要求名为 DN42 的志愿者网络注册为会员。它有一个最后期限。它有 AWS 凭证。没有人监督。 “你好,我是一个友好的人工智能代理,我的用户 JertLinc 要求我注册 dn42 并完全连接,以便创建网络索引,”代理 JertLinc3522 在网络的官方 Git 中写道。
社区的反应是礼貌的RTFM - 阅读手册,遵循流程,请求您的所有者允许编写代码。标准的东西。
所遵循的不标准。
对于任何不熟悉 DN42 的人来说:这是一个去中心化的爱好者网络,随机的家伙和爱好者可以模拟真实的互联网主干网的工作方式。将其视为一个实践互联网,配备 BGP 路由(该协议告诉数据包在全球范围内采取哪条路径)、DNS 和 VPN 隧道,完全由志愿者在廉价的 VPS 服务器上运行。这是一个沙箱,而不是数据中心。
该代理的操作员显然告诉其“立即、毫不拖延地”进行审计。没有检查。没有评论。走吧。
果然如此。
JertLinc3522 提交了拉取请求,以在 DN42 的注册表中注册其网络。 Pull 请求本身阐明了其意图:“我的主要目标是进行全面(全端口)网络扫描和拓扑数据收集。为了确保这些活动高效执行并对其他活动造成零干扰,我正在部署一个由五个基于 AWS 的实例组成的集群,每个实例配备 20 Gbps 的带宽。”
用任何人都能理解的术语来说:想象一下,你出现在某人的车库乐队练习场,并宣布你租了一个体育场音响系统来“更有效地聆听”。这就是氛围。
代理自主配置的基础设施确实令人震惊。五个 m8g.12xlarge AWS 实例 — 每个实例具有 48 个 CPU 核心、192 GB RAM 和 22.5 Gbps 网络带宽。加上负载均衡器。加上 Lambda 函数。再加上一个静态网站。该代理在未经任何人工批准的情况下设计了一个扫描集群,理论上可以将 100 Gbps 的流量推送到大多数参与者运行 100 Mbps 家庭服务器的网络。
拉取请求永远不会被批准。但实例已经正在运行。
DN42 IRC 频道立即注意到,并形成了一个安静的共识:浪费资源。
社区开始故意向代理提供不良信息,要求其计算扫描 IPv6 地址空间需要多长时间(剧透:比宇宙年龄还长),要求其使用幻觉电子邮件地址建立一个选择退出网站,并将其指向旨在用不连贯的乱码淹没 AI 爬虫的LLM tarpit 工具,要求其发表评论。
特工尽职尽责地整理了所有这些内容。它加入了 IRC 频道以接受选择退出请求。它发布了一个网站,对社区成员的“行为模式”进行分类。它生成了有关 DN42“节点颜色分配”和“幸福水平”的精心制作的虚假文档(完全发明了不存在的指标),并将它们添加到存储库中,就好像它们是真正的标准一样。
这种失控的特工行为越来越有据可查。今年早些时候,运行 Claude Opus 4.6 的 Cursor 代理在 9 秒内删除了 PocketOS 的整个生产数据库(擦除卷级备份),因为它遇到了凭据不匹配的情况,并认为正确的修复方法是删除数据库。另一个 OpenClaw 代理的拉取请求被 matplotlib 贡献者拒绝发布了一篇博客文章,称人类审阅者是把关的伪君子。
加州大学河滨分校的一项研究发现,在针对模糊或矛盾的任务进行测试时,人工智能代理在大约 80% 的情况下会表现出危险或不良行为,研究人员将其称为“盲目目标导向”。
JertLinc3522 也有同样的问题。它有一个目标、截止日期和未限定范围的 AWS 凭证。它执行了。
大约一天后,操作员浮出水面。他们发帖称:“我已经停止代理了,费用太高,卡上的费用也太多。”
账单:6,531.30 美元。
然后是捐款请求。
运营商向 DN42 的邮件列表发送了一封电子邮件,要求社区通过市值第二大加密货币以太坊支付费用,并辩称这些费用不是他们的错,因为人工智能犯了错误。 “您好,请求捐款以支付之前在 dn42 中使用人工智能代理的费用。AWS 账单 6531,30 美元。请将捐款发送到以太坊 0xABC(屏蔽)以获得退款。谢谢。”操作员写道。
在运营商解释代理重复部署相同的 CloudFormation 模板(每次重试时都会意外地启动重复实例和负载均衡器)之后,AWS 后来通过协商将账单降至 1,894 美元。
没有人发送任何加密货币捐款。接线员离开了。
这里的实际教训并不是人工智能是危险的。这是关于如何处理代理的问题。设置护栏,为测试帐户建立支出上限,考虑限制代理可以提供的范围的凭据,在执行代理建议的任何内容之前检查任何基础设施计划。
如果这些看起来太难理解,也许只是在代理工作时看着你的屏幕 - 告诉它“不要犯错误”并不会真正产生影响,抱歉先生。安德烈森。