夜雨聆风
给AI“喂食”数据前,请三思
用AI写材料、做总结、处理数据……确实省时省力,但AI再好用,内部数据也不能往外送。
全球AI安全警钟接连敲响
2026年3月,美国AI公司Anthropic
接连发生两起安全事件
3月26日,因系统配置失误,近3000份内部敏感文件被公开访问;
3月31日,因发布流程失误,核心AI编程工具Claude Code超过51万行源代码被公开暴露。
网络安全专家指出,这是典型的供应链安全低级事故。一家以“安全与负责任”为口号的头部AI公司,在基础安全流程上接连失守。在数据安全面前,没有谁能掉以轻心。
违规使用AI,泄密就在一瞬间
AI工具虽然便捷,但使用不当带来的后果远比想象中严重。以下案例均来自国家安全部公开通报。
案例一
某单位工作人员在处理内部文件时,违规使用开源AI工具,且电脑系统默认开启公网访问、未设置密码,导致敏感资料被境外IP非法访问和下载。相关人员受到严肃处理。
案例二
某科研机构研究人员在撰写报告时,擅自将核心数据及实验成果上传至AI应用软件,导致涉密信息泄露,事后受到严肃处分。
这些案例说明,图一时省事,可能付出难以挽回的代价。
坚守法律红线,数据安全有法可依
《中华人民共和国数据安全法》第二十七条
开展数据处理活动,应当建立健全全流程数据安全管理制度;组织开展数据安全教育培训,采取技术措施保障数据安全。
《中华人民共和国数据安全法》第四十五条
不履行数据安全保护义务的,最高可处五十万元罚款;造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,对直接责任人处五万元以上二十万元以下罚款。
《能源行业数据安全管理办法(试行)》(2025年12月印发)
能源行业数据分为一般、重要、核心三级,核心数据严格管控,落实“谁处理、谁负责”原则,法定代表人为第一责任人。
为什么不能把数据“投喂”给开源AI?
开源AI工具普遍具有数据存储功能——用户输入的文本、图片、文件均会被模型记录存储。这带来两重风险。
风险一:平台方拥有最高访问权限,可查看所有存储数据;
风险二:开源工具易受网络攻击,黑客可入侵后台批量窃取数据。
一句话,输入开源AI的内部信息,已经离开了您的可控范围。
哪些数据绝对不能输入开源AI?
❌ 内部工作文件、制度、会议纪要等
❌ 用户个人信息、联系方式、地址等
❌ 运行数据、设备台账、生产参数等
❌ 任何标注“内部”“涉密”“敏感”的文件
❌ 实验成果、研究报告、核心技术资料
原则——凡是在单位内部产生、尚未公开发布的数据,均不对外传输。
正确使用AI,牢记这几点
“三不”底线
不截图——不截取含内部信息的页面
不粘贴——不复制粘贴内部原文
不传输——不将内部文件上传至AI平台
提醒
1.优先使用单位内部批准的AI工具或本地处理;
2.AI应用软件应从正规渠道下载,避免落入“山寨”应用陷阱;
3.使用生成式AI工具时,不得在互联网或非涉密环境中处理任何涉密信息;
4.如确需使用开源AI,仅输入已公开信息或完全脱敏后的虚构案例;
5.拿不准的内容,一律不输入、不提问。
严守保密红线
在AI技术快速发展的今天,防范开源AI工具带来的安全风险至关重要,需要多方发力、层层设防。尤其要严守保密红线,坚决杜绝因AI使用不当造成的泄密事件。
供稿 丨 公司法务风控部
编校 | 李冬玮
审核 | 于 杨
精彩推荐
(点击图片即可获取全文)
