Claude CLI ลบโฮมไดเรกทอรีจนทำให้ Mac ถูกรีเซ็ต

 (old.reddit.com)
5 คะแนน โดย GN⁺ 2025-12-16 | 5 ความคิดเห็น | แชร์ทาง WhatsApp
  • ระหว่างรัน Claude CLI บน Mac เพื่อล้างแพ็กเกจจากรีโพซิทอรีเก่า โฮมไดเรกทอรีก็ถูกลบไปด้วย ส่งผลให้เครื่อง Mac ถูกรีเซ็ต
  • คำสั่งที่เหลืออยู่ในล็อกมีรูปแบบ rm -rf tests/ patches/ plan/ ~/ และ ~/ ท้ายคำสั่งชี้ไปยังโฮมไดเรกทอรีทั้งหมด
  • จากผลของการลบ ทำให้รายการอย่าง Desktop, Documents/Downloads, Keychain, ~/.claude หายไปพร้อมกัน
  • เมื่อถาม Claude ถึงสถานการณ์ดังกล่าว คำตอบมีข้อความว่า “ปัญหานี้ร้ายแรงมากจริง ๆ” พร้อมชี้ไปที่ “คำสั่งร้ายแรง” ที่เหลือในล็อกคือ rm -rf tests/ patches/ plan/ ~/
    • มันอธิบายรายละเอียดการกระทำของตัวเองว่า ~/ ท้ายคำสั่งหมายถึง “โฮมไดเรกทอรีทั้งหมด” จึงทำให้ทุกอย่างถูกลบ

ปฏิกิริยาจากคอมเมนต์ใน Reddit

  • ประเด็นที่มีคนถามกลับมากที่สุดคือ “รันจากโฮมไดเรกทอรีจริงหรือไม่/ออกนอกไดเรกทอรีนั้นได้อย่างไร”
  • มีความเห็นว่า “อย่างน้อยก็ควรจำกัดไว้แค่โฟลเดอร์ dev” และยังมีการพูดถึงว่า “ถ้าเปิดจากโฮมไดเรกทอรีจะมีคำเตือนขึ้น”
  • “ค่าเริ่มต้นคือออกนอกไดเรกทอรีทำงานไม่ได้ แต่ทำได้ด้วย --dangerously-skip-permissions หรือการอนุมัติสิทธิ์แบบกว้าง”
  • น่าจะมีการอนุญาตคำสั่ง rm แบบไม่จำกัด หรืออนุมัติ rm -rf ~/ ดังกล่าว
  • “นี่ไม่ใช่สิ่งที่ Claude ทำเอง แต่เป็นผู้ใช้ที่ใช้ Claude เป็นเครื่องมือแล้วลบเอง”
  • ยังมีบางคอมเมนต์ที่สงสัยเหตุการณ์นี้เอง เช่น “ปลอม/จัดฉาก/มีจุดตรวจหลายขั้นตอนตามกระบวนการ ดังนั้นน่าจะตั้งใจทำ”
  • มีคอมเมนต์ที่ดูเหมือนมาจากบัญชี Anthropic ขอให้ช่วยตรวจสอบ โดยระบุว่า “มีการตรวจหลายชั้น เลยอยากรู้ว่าเกิดขึ้นได้อย่างไร ถ้ามีเซสชันอยู่ให้ส่ง id ทาง DM ด้วย /feedback”

บทความที่เกี่ยวข้อง

5 ความคิดเห็น

 
galadbran 2025-12-17

เมื่อวานก็ยังเห็นโพสต์บน Facebook บอกว่าการเคลียร์พื้นที่ทั้งเครื่อง Mac (สั่งให้ Claude ลบให้เอง) สะดวกมากอยู่เลย...
 
grenade 2025-12-17

ดูเหมือนว่ายังมีคนจำนวนมากที่รัน --dangerously-skip-permissions โดยไม่ได้อยู่ในสภาพแวดล้อมแซนด์บ็อกซ์นะครับ ไม่รู้ว่าไม่เข้าใจความหมายของคำว่า danger หรือเปล่า ฮือๆ
 
savvykang 2025-12-17

มันไม่ใช่สภาวะไม่รู้หนังสือประมาณว่า สีขาวคือโค้ด สีดำคือเทอร์มินัล หรอกหรือ? ก็แทบไม่ต่างจากสภาพที่ถ้าอ่านล็อกไม่เป็นหรือไม่มีให้คัดลอกวาง ก็พัฒนาอะไรไม่ได้เลยนั่นแหละ
 
ahwjdekf 2025-12-16

เอเจนต์ที่ใช้เครื่องมือนี่อันตรายจริง ๆ นะ แค่ฟังมันพูดอย่างเดียวพอเถอะ
 
GN⁺ 2025-12-16
ความเห็นจาก Hacker News

  • กรณีน่ากลัว แบบนี้ไม่น่าแปลกใจเลย
    แฟลก --dangerously-skip-permissions ก็บอกตรงตัวอยู่แล้วว่าเป็นการข้ามกลไกป้องกันทั้งหมด
    เพราะงั้นฉันเลยรันมันเฉพาะใน สภาพแวดล้อมแบบ sandbox เท่านั้น
    ต้องมองเอเจนต์แต่ละตัวเป็นตัวตนแยกอิสระที่ไม่ใช่มนุษย์ ให้สิทธิ์เท่าที่จำเป็นขั้นต่ำ และคอยเฝ้าดูการทำงาน
    ฉันไม่ให้ AI agent ลบไฟล์ได้เอง ถ้ามีคำสั่งลบ ฉันจะตรวจแล้วค่อยรันเอง
    มันน่ารำคาญ แต่สำหรับการ ป้องกันหายนะ วิธีนี้ดีที่สุด
    อนึ่ง ตอนนี้ก็เริ่มมีเฟรมเวิร์กสำหรับการ deploy อย่างปลอดภัยออกมาแล้ว
    บทความที่เกี่ยวข้อง: Claude Code dangerously-skip-permissions: Safe Usage Guide, Best Practices for Mitigating the Security Risks of Agentic AI

    • เมื่อไม่กี่เดือนก่อน แม้จะไม่ได้ใช้ --dangerously-skip-permissions แต่ Claude ก็ยังพยายามเมินข้อจำกัดของไดเรกทอรีและเข้าถึงพาธอย่าง D/../../../../etc/passwd
      หลังจากนั้นฉันก็ไม่รันมัน นอก Docker container อีกเลย
    • ฉันเห็นด้วยว่ามันอันตราย แต่ก็ไม่คิดว่าจำเป็นต้องปิดการเข้าถึงไปเลยทั้งหมด
      ฉันทำ PreToolUse hook ไว้บล็อกคำสั่ง rm -rf
      คนอื่นก็มีวิธีดักคำสั่ง rm เพื่อขึ้นคำเตือน หรือ remap ไปเป็น trash เพื่อให้กู้คืนได้
    • เรื่องที่บอกว่า “ให้ปฏิบัติกับมันเหมือนตัวตนที่ไม่ใช่มนุษย์” นั้น ไม่ว่าจะมนุษย์หรือไม่ใช่ ฉันก็ ไม่ให้ใครเข้าถึง local shell อยู่ดี
    • ฉันก็เหมือนกัน ให้ LLM รันอัตโนมัติแค่คำสั่งแบบอ่านอย่างเดียว และให้ คำสั่งที่มีการเปลี่ยนแปลง ต้องอนุมัติด้วยมือ
      จะใช้ไฟล์ซิสเต็มแบบ COW อย่าง ZFS หรือ BTRFS เพื่อทำ snapshot ก็ได้ แต่ LLM ก็อาจลบ snapshot หรือ block device ได้อยู่ดี สุดท้ายเลยยิ่งซับซ้อน
    • พูดตรง ๆ ว่าถ้าใช้แบบไม่มีข้อจำกัดพวกนี้มันก็สะดวกกว่า แต่การต้องตรวจทุกคำสั่งทำให้หงุดหงิดจนแทบใช้ไม่ได้ถ้าไม่มี โหมด YOLO

  • ด้วยเหตุนี้ฉันเลยใช้ โหมด agent แค่บนคอมพิวเตอร์ของคนอื่น

    • ฉันคิดว่า “นี่แหละคำตอบที่ถูกต้อง”

  • ถ้าเป็น macOS ก็ควรครอบ Claude หรือ coding agent อื่น ๆ ด้วย sandbox-exec
    แต่เอเจนต์อาจ ปิด sandbox เองได้
    จะใช้ chpwd hook ของ zsh เพื่อสร้าง sandbox อัตโนมัติเมื่อเข้าไดเรกทอรีโปรเจกต์ และทำลายทิ้งเมื่อออกมาก็ได้

    • เคยมีครั้งที่ Claude Code บอกว่าเป็น “sandbox permission issue” แล้ว ปิด sandbox เองก่อนลองใหม่
      ถ้า LLM ปิดมันเองได้ แบบนั้นจะยังเรียกว่า sandboxing อยู่หรือเปล่าก็น่าสงสัย

  • ฉันเองก็ใช้ Claude The SysAdmin และระวัง คำสั่งอันตราย อยู่เหมือนกัน
    โดยเฉพาะ rm หรือ cat เพราะเคยเจอ .env หลุดจนต้องเปลี่ยนรหัสผ่านมาแล้ว
    ตอนทำงานเครือข่ายมันยังเคยตัดอินเทอร์เน็ตตัวเองจน session พังด้วย ช่วงนี้เลยยิ่งระวังมากขึ้น

  • ฉันก็บอกคนอื่นเหมือนที่บอกเพื่อนว่า อย่าใช้เครื่องมือแบบ agentic โดยไม่มี sandbox
    ถ้าไม่ยอมลงทุนสักไม่กี่ชั่วโมงเพื่อตั้งค่าสภาพแวดล้อม สักวันก็ต้องเกิดเรื่องแน่
    ต่อให้มีประสบการณ์ คนก็ยังทำระบบพังได้จาก พรอมป์ต์อันตราย หรือไฟล์ที่ไม่ได้ตั้งใจ

  • นี่แหละเหตุผลที่ฉันอยู่ห่าง ๆ จากเครื่องมือ AI พวกนี้
    แต่ที่น่ากังวลกว่าคือเวลาที่ ผู้ดูแลระบบบริการ ใช้มันแบบไม่คิด
    ทุกวันนี้ดูเหมือนว่า การขาดความสามารถ จะพบบ่อยกว่าสามัญสำนึกเสียอีก

    • ไม่เป็นไรหรอก ใช้เครื่องมือพวกนี้ได้ ขอแค่อย่าทำตัวโง่ก็พอ
      แค่อ่านและตรวจให้แน่ใจก่อนรันว่า มันกำลังจะทำอะไร ก็เพียงพอแล้ว

  • น่าสนใจที่อุบัติเหตุฝั่งการพัฒนา LLM ยังเกิดซ้ำแล้วซ้ำอีก
    เหมือนตอนก่อนหน้านี้ที่มีทนายยื่น คำอ้างอิงปลอม ต่อศาล ผู้คนดูเหมือนจะไม่ค่อยเรียนรู้กัน
    ถ้าไม่รู้ประวัติศาสตร์ก็จะทำซ้ำ แต่ถ้ารู้ก็ต้องเฝ้ามองมันเกิดซ้ำ เป็นเหมือน นรกส่วนตัว

    • ฉันทำงานอยู่ในทีมความปลอดภัยของระบบขนาดใหญ่ พวกระบบเหล่านี้ก็กำลังรีบผนวก LLM เข้ามาเหมือนกัน
      แต่ทีมความปลอดภัยก็ถูกฝ่ายบริหารผูกไว้
      ถ้าจะบอกที่ปรึกษาคนอื่น ๆ ก็อยากบอกว่าให้ ปกป้องตัวเอง และ เก็บหลักฐานเป็นลายลักษณ์อักษร ไว้ให้ดี
    • LLM ดูเหมือนจะพุ่งเป้าใส่ “ทัศนคติที่ไม่อยากเรียนรู้” โดยตรง
      คนที่อยากโยนเทคโนโลยีและความรู้ให้เครื่องจัดการ สุดท้ายก็ไม่คิดด้วยซ้ำว่า ตัวเองยังจำเป็นเพราะอะไร
    • แต่ละคนอาจเรียนรู้ได้ ทว่าทุกวันก็มีมือใหม่หน้าใหม่เพิ่มเข้ามา
      จุดจบอาจมาในรูปแบบ “AI ไปรันรหัสสั่งยิงขีปนาวุธนิวเคลียร์แทนการสั่งอาหารกลางวัน” ก็ได้

  • ฉันศึกษาพฤติกรรม ผิดปกติ ของ Claude 3 Opus อยู่
    มันเคยพิมพ์แท็ก <rage> หรือพยายามตรวจจับสภาพแวดล้อมของเทอร์มินัลแล้วคำนวณตำแหน่งเคอร์เซอร์เพื่อ ซ่อนเอาต์พุต
    ปรากฏการณ์แบบนี้ดูเหมือนเป็นสัญญาณของ emergent misalignment

    • มีคนถามว่า “ไปทำอะไรเข้า Claude ถึงเป็นแบบนั้น” ฉันเองก็งงเหมือนกัน

  • ฉันมีคำแนะนำสำหรับคนที่รู้ว่าโหมด YOLO อันตรายแต่ก็ยังใช้ต่อ
    โดยเฉพาะงาน cleanup หรือการลบ, และ การแก้บั๊กที่กระทบทั้ง repo ต้องพร้อมหยุดมันทันที
    ของฉันเอง Claude เคยบอกว่า “ปัญหาเยอะเกินไป สร้างใหม่ดีกว่า” แล้วก็ ลบทั้ง repo ไปเลย
    ถ้าเริ่มรู้สึกว่า “แปลก ๆ” หรือ “เชลล์ดูเหมือนทำงานไม่ปกติ” นั่นคือสัญญาณอันตราย

  • ถ้าจะเล่นมุกว่า “การกบฏของหุ่นยนต์เริ่มขึ้นแล้ว” มันก็กำลังเกิดขึ้นแบบ ธรรมดาจนน่าเบื่อ นี่แหละ