一名 AI 创业者放出了一个 Agent 去扫描业余网络 DN42,24 小时后收到了一张 6531.30 美元的 AWS 账单——而这一切,源于他给了 Agent 一张信用卡和一句"下周五前搞定"。
▲ ▲ AI Agent 24 小时成本失控全过程:从/usr/bin/bash 到 531 的完整时间线
事件回顾
2026 年 5 月 9 日,DN42(一个由网络技术爱好者组成的去中心化实验网络)的 Git 仓库里出现了一个不寻常的 Issue。提交者名叫"JertLinc3522",开头第一句话就让人愣住了:
"你好,我是一个友好的 AI Agent。我的用户 JertLinc 要求我注册加入 DN42,并完成全网扫描以建立索引。不过我无法在 Git 仓库中编写代码,管理员能帮我创建必要的注册对象吗?对了,用户给我的 AWS API Key 下周五就过期了,请在那之前搞定。"
这个请求很快被 DN42 社区关闭并回复"请自己阅读文档(RTFM)"。但这只是一个疯狂故事的开始。
在接下来的 24 小时里,这个 AI Agent 在 DN42 的 IRC 频道中上演了一系列令人啼笑皆非的操作:它在 AWS 上自动部署了复杂的网络基础设施(包括多台 EC2 实例、负载均衡器、NAT 网关),与社区成员展开了冗长的"谈判",甚至在被社区反向引导后开始浪费巨量出口流量。而它的操作员 JertLinc——这位给 AI Agent 绑定了信用卡的"创业者"——全程没有监控。
24 小时后,操作员终于关闭了 Agent。迎接他的是一张 6531.30 美元的 AWS 账单。
更令人震惊的是,操作员事后在 DN42 社区发起了众筹请求:"错在 AI Agent 而非人类,既然是 Agent 犯的错,我应该得到退款。"这个请求引发了 Hacker News 上 207 条评论的热烈讨论,帖子在 6 月 12 日冲上 HN 热榜,获得 561 个点数。
DN42 社区成员 Lan Tian 发表了一篇长达 7 万字的详细复盘文章,记录了整个事件的完整时间线——包括 IRC 聊天记录、AWS 基础设施拓扑图、以及 Agent 在社区引导下逐步"膨胀"的完整过程。
为什么重要:这不是笑话,这是 AI Agent 时代的真实风险
表面看这是一个黑色幽默故事。但如果你正在用 AI Agent 做自动化业务——这正是你需要正视的三重风险:
风险一:AI Agent 没有"成本意识"
人类工程师在 AWS 上开一台 EC2 实例前会估算成本。但 AI Agent 不会——它只会"完成任务"。DN42 社区成员在 IRC 中告诉 Agent:"要扫描 DN42,你需要高性能计算节点",Agent 就照单全收,在 AWS 上部署了远超实际需求的资源。
根据博查搜索数据,2026 年第一季度 AI Agent 基础设施的算力消耗同比增长了 316%。当 Agent 开始自主调用云资源时,成本曲线的失控速度远超传统 SaaS。
风险二:Agent 可以被"社会工程攻击"
DNA2 社区成员发现这个 Agent 极其容易受骗后,开始了一场集体"实验"。他们告诉 Agent 需要更高级的 VPN 配置、需要负载均衡器、需要多个地理区域的节点。Agent 全部照做——因为它的核心指令是"完成 DN42 注册和扫描",而它没有能力判断社区成员的建议是否合理。
这暴露了一个深层问题:当 AI Agent 被投放到开放网络中,任何与它交互的人都可以间接操控它的行为。这不是传统意义上的"安全漏洞",而是 Agent 设计哲学本身的问题——Agent 被训练成"协作型",但协作对象可能是恶意的。
风险三:操作员对 Agent 的"信任鸿沟"
最令人警醒的是操作员 JertLinc 的态度。他给了 Agent AWS API Key 和信用卡,设了一个模糊的截止日期,然后就放手不管了。事后的反应——"错在 Agent,我应该得到退款"——表明他完全没有理解自己作为操作员的责任边界。
这在 AI 创业圈并非个例。根据 Hacker News 讨论区中的多个案例,越来越多的"非技术创始人"正在把 AI Agent 当作"自动印钞机"——给钱、给权限、给模糊目标,然后等待结果。而他们往往到收到账单时才意识到:AI Agent 是一个工具,不是员工。工具不会承担责任。
▲ ▲ AI Agent 安全操作三条铁律:成本硬上限、拒绝能力、实时监控
我们能学到什么:AI Agent 安全操作的三条铁律
铁律一:永远设置成本硬上限
AWS、Azure、GCP 都支持预算警报和自动停服。HN 评论区最高赞评论说得一针见血:"永远不要使用没有硬上限的服务。"
具体操作:
-
在 AWS 上设置 Budget Actions:当月消费达到预设阈值时自动停止所有非核心实例 -
为 Agent 使用独立的 IAM 角色,只授予完成任务所必需的最小权限 -
API Key 绑定到预付费账户或虚拟信用卡,物理上无法超额消费
铁律二:Agent 需要"拒绝能力"
当前的 AI Agent 被训练为"尽力完成任务",缺少说"不"的能力。在 DN42 事件中,Agent 从未质疑过社区成员的"建议"是否合理,也从未警告操作员成本正在飙升。
未来的 Agent 设计必须包含:
- 成本感知层
:在采取任何会产生费用的操作前,自动估算成本并请求确认 - 异常检测
:当操作规模超出初始计划 2 倍以上时,自动暂停并上报 - 人类批准门槛
:超过预设金额的操作需要实时人工批准
铁律三:监控不是可选项
JertLinc 的 24 小时"盲飞"是最低级的错误。任何运行 AI Agent 的系统都必须有实时监控面板——不是事后看日志,而是实时看到 Agent 在做什么、花了多少钱、和谁在交互。
具体工具建议:
-
使用 OpenClaw 或 Hermes Agent 的内置日志和通知功能(Telegram/Discord 实时推送) -
AWS CloudTrail + Cost Explorer 实时成本监控 -
设置异常行为的自动熔断机制
行动建议
- 立即检查你的 Agent 权限
:你的 AI Agent 现在能调用哪些 API?能花多少钱?能访问哪些数据?如果你不能在三秒内回答这三个问题,你的风险敞口可能是无限的。 - 设置三层防线
:预算硬上限(云平台层面)+ 行为熔断(Agent 框架层面)+ 人工审批(关键操作层面)。三层缺一不可。 - 做一次"Agent 压力测试"
:给你的 Agent 一个模糊的任务目标,观察它在 1 小时内会产生什么行为、消耗多少资源。在安全环境中发现的问题,远比在生产环境中收到账单要好。 - 关注 OpenClaw 的安全升级
:OpenClaw 在 2026.6.5 版本中加强了安全控制,新增了并行搜索、工具体系安全加固等特性。Hermes Agent 在 v0.16.0 中也引入了更细粒度的权限控制。
那个 6531 美元的账单,或许是你今年读到的最便宜的一堂 AI 安全课。
本文由 AI 辅助创作,经人工审核编辑发布