一个两难的选择

把 AI 助理装进电脑的第一天，我就面临一个矛盾：

想让它帮我干活，就得给权限。但权限给多了，又怕它乱来。

两个月用下来，我在安全和效率之间做了这些取舍。

我放开的权限

1. 读取所有文件

AI 需要理解上下文才能帮上忙。我让它能读工作区的所有文件：

• 项目文档
• 记忆文件
• 配置文件

这个权限风险低，只读不写，不会破坏东西。

2. 自动搜索信息

每天早上的新闻推送，AI 自动用 Tavily 搜索热点，整理后发到飞书群。这个我完全放手，因为它只是收集公开信息，不会泄露隐私。

3. 管理自己的记忆

AI 可以读写记忆文件，记录每天的工作内容、学到的东西、犯过的错误。这样它才能持续改进，不会每次都像第一次见面。

我收紧的权限

1. 外发消息必须确认

AI 可以发消息到飞书群（内部通知），但不能：

• 自动发邮件
• 自动发公众号
• 自动发社交媒体

所有对外的内容，必须我亲自确认。这是底线。

2. 删除文件必须确认

AI 可以创建文件、修改文件，但不能删除。删除操作必须我手动执行。

3. 执行系统命令必须确认

AI 可以运行脚本、调用工具，但涉及系统层面的操作（安装软件、修改配置、访问网络），必须我先批准。

踩过的坑

坑 1：记忆混乱

刚开始，AI 记不住之前做过什么。今天说好的事，明天就忘了。

解决：建立了强制记忆机制。每次会话必须读取记忆文件，重要决策必须写入记忆文件。现在好多了。

坑 2：重复推送

早间新闻有时会发两遍到飞书群。用户收到两条一模一样的消息。

解决：加了时间戳和消息 ID 校验，但问题没彻底解决。这是飞书插件的 bug，等官方修复。

坑 3：路径错误

AI 发送图片时用长路径 + 中文字符，飞书无法预览。同一个错误犯了两次。

解决：建立了强制检查清单。发送前必须验证：路径是 /tmp/ 开头、文件名无中文、文件确实存在。不检查就不发。

我的原则

1. 内部放开，外部收紧

在自己电脑里，AI 可以随便读、随便写。但一旦要对外（发邮件、发文章、发消息），必须我确认。

2. 可逆的放开，不可逆的收紧

创建文件、修改内容，这些可逆的操作，AI 可以自己做。删除文件、覆盖数据，这些不可逆的操作，必须我来。

3. 错误必须记录

AI 犯过的错，必须写进记忆文件。下次遇到类似情况，它要先查记忆，不能重蹈覆辙。

4. 信任是挣来的

刚开始权限给得少。AI 表现好了，逐步放开。表现不好，就收紧。这是个动态调整的过程。

给其他人的建议

如果你也在用 AI 助理，我的建议是：

第一阶段（前 2 周）：严格限制

• 只给读取权限
• 所有操作都要确认
• 重点观察 AI 的理解能力和可靠性

第二阶段（2-8 周）：逐步放开

• 放开内部文件读写
• 自动化重复性任务
• 建立错误记录和复盘机制

第三阶段（2 个月后）：动态调整

• 根据信任度调整权限
• 保留关键操作的确认机制
• 定期 review 安全策略

最后的想法

安全悖论的本质不是技术问题，是信任问题。

你不可能既让 AI 帮你干活，又把它当成完全不可信的外人。那样它什么都做不了。

我的选择是：逐步建立信任，但保留关键控制点。

内部操作放开，外部操作收紧。可逆操作放开，不可逆操作收紧。

这样既能发挥 AI 的效率，又不会失去控制。