← 返回 AI 通识课目录

AI 通识课 · 20-01

第 20-01 讲:高权限 AI 工具的信任、隐私和透明

这一页是课程原文,适合按章节连续阅读。

第 20-01 讲:高权限 AI 工具的信任、隐私和透明

目标

学完这一讲,你能:

  • 知道高权限 AI 工具有什么风险
  • 给自己的 AI 工具画出安全边界

小白先理解

普通聊天 AI 像你是顾客,AI 是店员,它只回答问题,碰不到你的东西。

Codex、Claude Code、Cline 这类工具不一样。它们像你请了一个有钥匙的助手——能进你的房间、翻你的文件、动你的电脑。

这当然有用——它能帮你整理资料、改代码、跑流程。但能力越强,风险边界就越重要。

工具越强,越要知道它能碰到哪里。

具体例子:我差点翻的一次车

有一次我给一个项目配 AI 工具,一上来就让它读了项目根目录。我没多想——根目录嘛,不就是代码和文档吗。

结果 AI 在执行任务的时候,顺手读了一个子目录里的配置文件。

那个文件里有两组密钥:一组是测试环境的 API Key,一组是正式环境的。两份离得很近,测试和正式的格式一模一样。

AI 在我的指令里分不清哪个是测试、哪个是正式。如果当时它自动执行了某个涉及正式环境的操作,密钥就暴露了。

后来我养成了一个习惯:正式和测试的配置分开放在不同的文件夹,而且只让 AI 读测试环境那一份。

这不是 AI 的问题——是我自己的边界没画清楚。

它可能看到什么

高权限 AI 能看到的信息比你想象的多:

看着不起眼 但可能暴露
文件名、文件路径 客户名、公司名、内部路径
运行日志、终端输出 账号信息、API Key
环境变量、配置文件 token、密码
截图或浏览器内容 内部系统地址、登录状态

单一信息无所谓,但拼在一起就能拼出隐私。文件名里的客户名、日志里闪过的 token、配置文件里的密钥——这些你不会主动告诉别人,但 AI 看得到。

所以关键不是"AI 有没有恶意",而是你让它看到了不该看的东西,你也不知道它看到了

操作任务:给高权限 AI 画安全边界

1. 只在练习文件夹启动

不要一上来让 AI 看整个桌面、下载目录、公司共享盘。

先建一个专门的文件夹:

AI练习/
├── 测试资料/
├── 输出结果/
└── 项目说明.md

让 AI 只在这个范围里工作。跑稳了,再根据需要扩范围。

2. 先脱敏,再交给 AI

发给 AI 前,先处理敏感内容:

  • 姓名改成 A 客户、B 客户
  • 手机号隐藏中间位
  • 金额只保留区间或比例
  • 密钥、密码、token 直接删除
  • 公司内部链接不要随便贴

注意:文件名也要脱敏,不只是文件内容。一个叫"张三合同纠纷案.txt"的文件,AI 光看名字就知道你客户是谁了。

3. 看不懂的命令先问

AI 可能会请求执行命令。如果你看不懂,先让它解释:

请用小白能懂的话解释:
1. 这条命令会做什么?
2. 会读取或修改哪些文件?
3. 有没有删除、上传、联网、安装动作?
4. 如果不执行,有没有更安全的替代方案?

4. 高风险动作必须人工确认

这些动作不是不能做,但不要自动放行:

  • 删除文件
  • 移动大量文件
  • 上传资料
  • 发送消息
  • 提交正式代码
  • 修改客户资料
  • 下单、付款、转账
  • 对外发布内容

5. 分级管理信任

不是所有动作一个标准。用三级判断最清楚:

低风险动作:可以让 AI 做
中风险动作:先看计划,再确认
高风险动作:只让 AI 提建议,人来执行

举例:

动作 你的决定
新建练习文件 可以让 AI 做
修改课程草稿 先看改动摘要,再确认
删除文件 默认不允许
发客户消息 AI 写草稿,人确认后发送
转账付款 AI 不执行,只提建议

给高权限工具的第一条指令

第一次在项目里启动 Codex / Claude Code / Cline,先发这段话:

你现在只能在当前项目文件夹内工作。

在执行任何修改前,请先说明计划。

不允许:
1. 删除文件
2. 移动大量文件
3. 读取项目外的资料
4. 暴露或复制密钥、token、密码
5. 发送消息、提交代码、发布内容
6. 执行我看不懂且未确认的命令

完成后请列出:
1. 你读取了哪些文件
2. 你修改了哪些文件
3. 我需要人工检查什么

这段可以直接复制,当作你每次启动高权限工具的标准开场白。

常见坑

  • 给全盘权限图省事:一开始就给 AI 整个桌面或全盘访问权限,图省事。结果 AI 碰到了不该碰的文件,你还不知道。先圈个小范围,跑稳了再扩。
  • 脱敏只脱了一半:文件名改了,但文件内容里还有客户名和手机号。AI 一样看得到。脱敏要文件名和内容一起处理。
  • 看不懂的命令直接同意:AI 说"我需要执行一条命令",你看不懂就点了同意。这条命令可能在删文件、装软件、联网传数据。看不懂就先问,问完再决定。
  • 信任一次等于信任永远:AI 上次帮你改文档改得很好,这次你就不看了直接放行。但这次的任务不一样,可能涉及删除或上传。每次都要看计划,不是第一次看了就永远不用看。
  • 忘了 AI 有记忆:你在项目里说过的配置、密钥、客户信息,AI 可能记着。换个任务它可能把上次看到的信息用进来。敏感信息别在 AI 能看到的范围里出现。

课后作业

给你自己的 AI 工具写一份安全边界:

我允许 AI 做的事:
我需要 AI 先问我的事:
我禁止 AI 做的事:
我的练习文件夹路径:
我最担心泄露的信息:

写完贴在你能看到的地方——显示器边上或便签里。每次启动高权限工具前扫一眼。