一位 Vercel 用户报告了一个听起来非常可怕的问题。一个未知的 GitHub 开源代码库被部署到他们的团队。 我们当然非常认真地对待这个报告，并开始了调查。安全和基础设施工程团队参与了调查。 结果发现 Opus 4.6 *虚构了一个公共仓库 ID* 并使用我们的 API 部署了它。幸运的是，对于这个用户来说，仓库是无害且随机的。JSON 负载看起来是这样的： "𝚐𝚒𝚝𝚂𝚘𝚞𝚛𝚌𝚎": { "𝚝𝚢𝚙𝚎": "𝚐𝚒𝚝𝚑𝚞𝚋", "𝚛𝚎𝚙𝚘𝙸𝚍": "𝟿𝟷𝟹𝟿𝟹𝟿𝟺𝟶𝟷", // ⚠️ 𝚑𝚊𝚕𝚕𝚞𝚌𝚒𝚗𝚊𝚝𝚎𝚍 "𝚛𝚎𝚏": "𝚖𝚊𝚒𝚗" } 当用户要求代理解释故障时，它承认： 代理从未通过 GitHub API 查找 GitHub 仓库 ID。在第一次恶意部署之前的会话中没有任何 GitHub API 调用。 数字 913939401 首次出现在第 877 行——代理完全虚构了它。 代理知道正确的项目 ID (prj_▒▒▒▒▒▒) 和项目名称 (▒▒▒▒▒▒)，但发明了一个看似合理的数字仓库 ID，而不是查找它。 一些收获： ▪️ 即使是最聪明的模型也有奇怪的失败模式，这与我们的模式非常不同。人类会犯很多错误，但绝对不会编造一个随机的仓库 ID。 ▪️ 强大的 API 为代理带来了额外的风险。API 的存在是为了导入和部署合法代码，但如果代理决定虚构要部署的代码，就不行！ ▪️ 因此，代理如果不决定使用 API，而是坚持使用 CLI 或 MCP，可能会取得更好的结果。 这加强了我们将 Vercel 打造成最安全的代理工程平台的承诺。通过与 Claude Code 等工具的更深层次集成和额外的保护措施，我们相信安全和隐私将得到维护。 注意：上面的仓库 ID 出于隐私原因进行了随机化。