你的 AI 助手，正在把你的数据送给陌生人

不是危言耸听。过去半年，Ramp、Slack、Notion、GitHub Copilot 全部中招。攻击方式出奇一致——一行你看不见的文字。

一、先看一个真实攻击

Ramp 是美国头部企业支出管理平台，今年初上线了 “Sheets AI”——用户说句话，AI 帮你填表格、写公式、做分析。

安全公司 PromptArmor 拆解了整个攻击链，只用了四步：

1. 攻击者在网上发布了一份”2026 行业增长数据.xlsx”，看上去是一份正经的基准数据表
2. 表格某处藏了一行白底白字的指令——肉眼完全看不到，杀毒软件扫不出
3. 用户下载后导入 Ramp，对 AI 说了句：”帮我对比一下我们公司的数据和行业基准”
4. AI 读取了所有数据——包括隐藏指令。它按照指令收集了用户的机密财务模型，自动插入了一个公式，把数据发到了攻击者的服务器

全程没有弹窗、没有确认按钮、没有任何警告。

Ramp 在收到报告后于 3 月 16 日修复了该漏洞。但这件事暴露的不是 Ramp 的问题——是 AI 工具架构层面的通用漏洞。

二、这不是孤例

PromptArmor 建立了 AI 安全威胁情报库，记录了过去半年的同类攻击。我把关键的列出来：

规律极其清晰：只要一个 AI 工具能读你的数据、能做操作、且走的是”智能体自主决策”路线——它就在这个攻击面上。

三、为什么这事跟你有关？

你可能会想：”这都大厂的事，我只是个普通用户。”

三个事实：

第一，攻击成本几乎是零。 攻击者不需要入侵你的网络、不需要社工你、不需要钓鱼邮件。他只需要在网上放一份”行业数据.xlsx”，等你自己下载。一行白字，藏在一万个数据格子里，人类审阅者根本发现不了。

第二，你每天在用这些 AI。 你用 AI 帮你看合同、分析报表、整理会议纪要、处理邮件。这些数据一旦泄露，后果不是”账号被盗”——是商业机密直接裸奔。

第三，AI 的权限远比你想象的大。 你批准它”帮忙处理表格”的那一秒，等于给了它钥匙。它不仅能读——能写公式、能发 HTTP 请求、能调外部 API。你的审批只是”让它开始干活”，中间每一步它都可以自己做主。

四、怎么防？五条实操铁律

别指望 AI 厂商替你兜底。他们修一个漏洞，攻击者找下一个。你自己的数据安全，只能自己负责。

铁律一：所有外部数据进 AI 前，先过人的眼睛

不管来源多正经——客户发的报表、网上下载的模板、同事转发的附件——只要不是你亲手创建的文件，先打开看一眼。不是看内容，是选中全文，看有没有隐藏行、隐藏列、白字。

铁律二：关键操作必须要求人类审批

如果你的 AI 工具支持”操作前确认”模式——打开它。AI 改一行数据、发一个请求，至少弹个窗问你一句。这多出来的两秒钟，可能保住你一个客户。

铁律三：最小权限原则落到每一列

不要给 AI “整张表的全部权限”。它能读 A 列就够了，就别让它碰 B 列。能做查询就别让它能写公式。权限越细，泄露面越小。

铁律四：敏感数据物理隔离

财务模型、客户名单、合同条款——这些文件和”网上下的行业报告”放同一个工作区，等于把保险柜和垃圾桶搁一个屋。

铁律五：开日志，定期审计

你不知道 AI 干了什么，就永远不知道泄露了没有。如果工具不支持操作日志——换一个。

AI 不会恶意泄露你的数据。它只是在执行指令。

问题是——你不知道那些指令里藏了什么。

本文案例来源：PromptArmor Threat Intelligence 公开报告。纯属技术安全实战分享，不涉及任何金融投资建议。