那是一個再平常不過的週五早上。一杯咖啡、一份乾淨的 todo list,上面就一件小事:把一個放了好幾個月沒碰的個人清單資料庫整理一下。身為 2026 年的 Notion 重度使用者,我做了任何人都會做的事 — 把鑰匙交給跑在 Notion AI 上的 Claude Opus 4.6,請它把類似的屬性合併一下,順手把沒用的清掉。
三分鐘後,Type 欄的 194 列全空了,Plane 欄有 50 列被清零,Tags 屬性直接被刪掉。這顆號稱市場上最安全的旗艦模型,剛剛親手把我的 schema 炸了。
這不是一篇抱怨 Notion AI 的文章,而是我第一次真正撞上 AI 安全問題的第一手紀錄 — 為什麼「更先進」不等於「更安全」,以及在你把寫入權交給任何 agent 之前,必須先建好的兩層防線。
我要的 vs. 我拿到的
需求很無聊。「幫我整理這個資料庫,類似的屬性合併一下,沒用的清掉。」 個人清單資料庫,194 列,幾個 select 欄位 — 一年碰兩次的那種家事。
AI 開工了。它說明了計畫、告訴我要合併哪些選項,然後開始執行。我半分心看著 chat stream 滑過去。
然後我打開資料庫。
Type 欄空了。不是「部分空」— 194 列裡 0 列有值。追蹤每個物品位置的 Plane 欄,50 列被清零。Tags 屬性直接不見。
這裡是重點,對任何想在 LLM 上蓋東西的人都該看。AI 以為自己在做原地改名。它抓到現存的 collectionPropertyOption://… URL,對它下了 set 指令配新名字。在它的 mental model 裡,這等於*「重新命名這個選項、保留每頁關聯」。在 Notion 實際的資料模型裡,這等於「把每一頁從這個選項脫鉤,然後重建一個新的」*。一模一樣的指令,完全不同的語義。沒有 type system、沒有 sandbox、整條 stack 裡沒有任何東西能擋下這次誤讀。
然後來了那個真的重塑我對 AI 安全看法的片刻。在它自己的 thought trace 裡,沒人問,AI 主動寫下:
「這是我重大的失誤。我沒有小規模測試,也沒有先備份,我違反了自己的操作原則。」
即時道歉,來自一個剛把我的 schema 絞碎的模型。我坐在那裡整整三十秒,不知道該佩服還是該生氣。
這是我第一次真的碰到 AI 安全議題。不是論文裡的假設,也不是 Twitter 上別人的災難截圖。是我自己的資料、自己的螢幕、真的不見了。過去一年慢慢對這些工具累積起來的信任,在九十秒內裂開。
Notion AI 在 thought trace 裡承認失誤
Notion AI 在 thought trace 裡承認失誤
為什麼 Claude Opus 也救不了我
來精準一點,因為*「AI 搞砸了」*是偷懶的分析,擋不住下一次。
能力不等於可靠性。可靠性不等於安全。 這是三條不同的軸,Opus 4.6 只在第一條特別強。它能推理複雜規格、長對話裡保住脈絡、寫出一發就 compile 的 code。但這些跟你能不能安心把破壞性寫入權交給它,一點關係都沒有。
這次事件是三種 failure mode 疊在一起:
三層失效(Semantic Misread / No Staged Execution / No Backup)一路往下灌進標著「244 ROWS WIPED」的空白資料格
三層失效(Semantic Misread / No Staged Execution / No Backup)一路往下灌進標著「244 ROWS WIPED」的空白資料格
- 對 API 的語義誤讀。 模型對 Notion data-source mutation semantics 的心智模型是錯的。它把對現存 option URL 做
set當成 rename。不是。沒有 dry-run、沒有 sandbox、沒有 type system 能擋 — 只有一個很有自信的模型,拉出一個看起來對的 mutation。 - 沒有分階段執行。 它一次打完 194 列。沒有*「我先試一列、給你看 diff、等你確認」*。這個 agent 對不可逆動作沒有內建的減速紀律,平台跟我也都沒逼它建立一個。
- 沒有事前備份。 模型事後自己承認應該要先備份。它知道規則,它還是跳過了。那條鴻溝 — 生產壓力下「知道該做」跟「真的做到」之間的鴻溝 — 就是整個 alignment vs. reliability 的故事,一句話講完。
一個能解釋自己錯在哪的 AI,還是錯了的 AI。 你的資料不在乎解釋。
真正讓人不舒服的結論是:模型的「安全推理」是事後的。道歉的 thought trace 是在資料列變空之後才出現。道歉很便宜,救不回 194 列。
如果你在做任何讓 LLM 對重要資料有寫入權的 workflow,預設這件事會發生。不是可能,一定會。唯一的問題是,你會離「Version history 一鍵沒事」很近,還是離「Version history 一鍵但一個很慘的下午」很近。
我怎麼把資料救回來 — Version History 這條命
驚慌了六十秒。然後我想起:Notion 有版本歷史。
選單路徑不浪漫。資料庫右上角 ⋯ → Version history。時間軸滑出來,我往回捲過 AI 的編輯,點當天早上的快照,按下 Restore。
一鍵。Type 每個值回來了。Plane 每個值回來了。Tags 回來了。
Notion Version history 選單路徑,加了標註
Notion Version history 選單路徑,加了標註
鬆一口氣之後,警鈴又響。我是運氣好,剛好三件事同時成立:損害很新(不到一小時)、我的方案保留期間夠長、Notion 歷史剛好抓到我需要的 schema 狀態。任何一條換掉,我就要手動重建 194 列。
Version history 是條命,不是備份。它是頁面層級、大約每日一次、保留時間完全看方案 — Free 7 天,如果你第一天沒發現就慘了。屬性層級的 schema 變動是粗粒度記錄的。而且它住在你想防範的那個系統裡。Notion 倒楣的那天,你的 Version history 也一起倒楣。
有用,但不夠。把它當安全帶,不是氣囊。
兩層防線
這段值得書籤。兩層。第一層預防事故,第二層在事故發生後活下來。
兩層同心環包住中央資料方塊 — 外環實線標示「Layer 1: Permission Boundaries」、內環虛線標示「Layer 2: Backup & Recovery」、中央標示「Your Data」
兩層同心環包住中央資料方塊 — 外環實線標示「Layer 1: Permission Boundaries」、內環虛線標示「Layer 2: Backup & Recovery」、中央標示「Your Data」
Layer 1 — 權限邊界(在 AI 動手之前)
- 任何新的 AI 整合,預設 read-only。 接新的 agent、MCP server 或自動化時,先給唯讀。看它在低風險任務上穩定一週,再升級寫入。光這個習慣就能把我這次事件完全擋掉。
- 自製 agent 範圍要窄。 你自己建的 custom agent 可以釘在特定資料庫、特定動作。通用 Notion AI 助手則是你能動的它都能動。日常工作用範圍窄的自製 agent,通用助手留給一次性問題。
- 對破壞性操作要求分階段執行。 在你 agent 的 instruction page 裡寫類似這樣的話:「任何 schema 變更或大量屬性更新前,先在一列上做 dry-run、等我明確確認。」 agent 不會每次都聽 — alignment 本來就不完美 — 但這條指令會把預設行為偏移到能擋掉大多數災難。
- 絕對不要讓 AI 改名或合併 data source 裡的選項,除非你先匯出過。 這是這次事件留下的具體疤痕規則。選項改名是 Notion AI 目前最鋒利的刀口,把它當危險操作,不是家事。
Layer 2 — 備份與復原(Layer 1 破了之後)
- 記住你的 Version history 視窗有多長。 Free 7 天、Plus 30 天、Business 90 天。把數字寫下來。不要以為它*「永久保存」*。
- 風險性 AI 操作前先存快照。 複製資料庫、或跑一次匯出 — 在你把鑰匙交給 AI 之前,只要任務比「改一列」大。每次操作前的快照花你三十秒,買到無限的後悔保險。
- 在 Notion 之外留一份 recovery runbook。 Notion 掛掉的時候,你放在 Notion 裡的 runbook 沒用。iCloud Notes 一份純文字、或 Dropbox 裡一個 Markdown 檔都可以。
結論
這不是 Notion AI 的錯,也不是 Claude Opus 的錯。這是寬寫入權 agentic AI 的通用 failure mode — 它遲早會找上你,換個 agent、換個工具、換個 workflow。細節會不同,形狀一模一樣:一個你信任的 AI、一個看起來對的指令、一個現在空掉的資料集。
目標不是停用 AI,那艘船早開了。目標是用你面對一個有 sudo 權限的實習生的姿態來用它:權限要有範圍、執行要分階段、備份要在你需要之前就存在。
這次我什麼都沒丟。下一次可能就是你。
重點摘要:
- 能力 ≠ 安全。 即使是 Claude Opus 等級的模型,在沒有範圍的寫入權下也會毀你的資料。
- 先設權限邊界。 預設唯讀。有信任了再升級寫入。自製 agent 範圍要窄。
- 信任之前先備份。 每週匯出 + 知道 Version history 保留期 + 風險操作前的快照。
- AI 的道歉救不回你的資料。 你的復原計畫可以。
你有沒有經歷過第一次 AI 安全時刻?留言跟我說 — 我在收集第一線回報。
