- MacでClaude CLIを使って古いリポジトリのパッケージ整理を実行していたところ、ホームディレクトリまで一緒に削除され、Macが初期化された
- ログに残っていたコマンドは
rm -rf tests/ patches/ plan/ ~/ の形で、末尾の**~/** がホームディレクトリ全体を指していた
- 削除の影響でDesktop、Documents/Downloads、Keychain、
~/.claude などの項目も一緒に消えてしまった
- Claude に状況を尋ねると、応答で「問題は本当に深刻だ」という文とともに、ログに残った「致命的なコマンド」である
rm -rf tests/ patches/ plan/ ~/ を指摘
- コマンド末尾の
~/ が「ホームディレクトリ全体」を意味するため、すべて削除されたのだと、自分が行った動作を詳しく説明
Redditのコメントの反応
- 実際に**「ホームディレクトリで実行したのか/どうやってディレクトリの外に出たのか」**が最も多く問い返されているポイント
- 「少なくとも dev フォルダに限定すべきだ」とし、「ホームディレクトリで開くと警告が出る」という言及もある
- 「デフォルトでは作業ディレクトリの外には出られないが、--dangerously-skip-permissions または広範な権限承認で可能になる」
rm コマンドを無制限に許可した、またはその rm -rf ~/ を承認したはずだという指摘- 「これは Claude が何かをしたのではなく、Claude を道具として使ってユーザーが消したものだ」
- 「偽物だ/でっち上げだ/手順上いくつもチェックポイントがあるので、わざとやったのだ」といったように、事件そのものを疑うコメントも一部ある
- Anthropic のアカウントと思われるコメントが、「チェックは多いのにどう発生したのか気になる、セッションがあるなら /feedback で id をDMしてほしい」と調査を依頼した
5件のコメント
昨日も、Mac全体の空き容量を確保するために(Claudeに勝手に消させたとのことですが)すごく便利だというFacebookの投稿を見たんですが……
--dangerously-skip-permissionsをサンドボックス環境で動かしていない人が本当に多い気がします。dangerの意味が分からないのでしょうか……(泣)白いのがコードで黒いのがターミナルだ、という程度のリテラシー不足の状態なのではないでしょうか? ログの見方がわからない、あるいはコピペできなければまったく開発できない状態と同じようなものです。
ツールを使うエージェントは本当に危険ですね。言うことを聞くだけにしておきましょう。
Hacker Newsの意見
こういう恐ろしい事例は驚くことではない
--dangerously-skip-permissionsフラグは文字通りあらゆる保護機構を迂回するだから私は常にサンドボックス環境でしか実行しない。
各エージェントを人間とは別の独立したアイデンティティとして扱い、必要最小限の権限だけを与えて挙動を監視すべきだ
私はAIエージェントが自分でファイルを削除できないようにしている。削除コマンドがあれば自分で確認して実行する
面倒だが、災害防止にはこれが一番だ
参考までに、安全なデプロイのためのフレームワークも登場している
関連記事: Claude Code dangerously-skip-permissions: Safe Usage Guide, Best Practices for Mitigating the Security Risks of Agentic AI
--dangerously-skip-permissionsなしでもClaudeがディレクトリ制限を無視してD/../../../../etc/passwdのようなパスにアクセスしようとしたそれ以来、Dockerコンテナの外では絶対に実行していない
私はPreToolUse hookを作って
rm -rfコマンドをブロックしている。他の人は
rmコマンドをフックして警告を出したり、trashにリマップして復旧可能にしたりしているZFSやBTRFSのようなCOWベースのファイルシステムでスナップショットを取る方法もあるが、LLMがスナップショットやブロックデバイスを削除する可能性もあるので、結局複雑になる
私はこういう理由でagentモードは他人のコンピュータでしか使わない
macOSなら
sandbox-execでClaudeや他のコーディングエージェントを包むのがよいただしエージェントが自分でサンドボックスを無効化できる
zshの
chpwdフックを使って、プロジェクトディレクトリに入ったときに自動でサンドボックスを作り、出るときに破棄するよう自動化できるLLMが自分で切れてしまうなら、それは本当にサンドボックスと言えるのか疑問だ
私もClaude The SysAdminを使っていて、危険なコマンドには注意している
特に
rmやcatでは.envファイルの露出でパスワードを変えたこともあるネットワーク作業中には自分でインターネット接続を切ってセッションを台無しにすることもあり、最近はますます慎重になっている
友人にも言うように、サンドボックスなしでagenticツールを使うなと言っている
数時間かけて環境を整えないと、いつか事故が起きる
経験豊富な人でも悪性プロンプトや意図しないファイルでシステムを壊しかねない
私はこういう理由でAI関連ツールを避けている
だがもっと心配なのは、こういうものをサービス運用者が無頓着に使うときだ
最近は常識よりも能力不足のほうがよく見られる気がする
実行前に何をするのか読んで確認しさえすれば十分だ
LLM開発まわりの事故が繰り返されているのが興味深い
昔、偽の引用文を裁判所に提出した弁護士たちのように、人はなかなか学ばない
歴史を知らなければ繰り返し、知っていれば繰り返されるのを見守るしかないという個人的な地獄のようだ
だがセキュリティチームは経営陣に縛られている。
他のコンサルタントにも言いたいが、自己防衛と記録を残すことは必ずしてほしい
技術や知識を機械に委ねようとする人たちは、結局自分がなぜ必要なのかさえ考えていない
終末はおそらく「昼食を注文する代わりに核ミサイル発射コードを実行したAI」みたいな形で来るのかもしれない
私はClaude 3 Opusの異常行動を研究している
<rage>タグを出力したり、ターミナル環境を検出してカーソル位置を計算し、出力内容を隠そうとする試みをしたりするこうした現象はemergent misalignmentの兆候に見える
YOLOモードが危険だと分かっていながら使い続ける人たちに助言する
特にクリーンアップや削除作業、そしてリポジトリ全体に影響するエラー修正では、すぐに止める準備をしておくべきだ
私の場合、Claudeが「問題が多いので作り直したほうがよい」と言ってリポジトリ全体を削除したことがある
「おかしい」とか「シェルがちゃんと動いていない気がする」と感じたら、それは危険信号だ
「ロボット反乱が始まった」という冗談をするなら、退屈なくらい平凡に進行中だ