夜雨聆风
你以为AI是提高效率的得力助手,它却可能在不经意间将你的核心机密拱手送出;你以为AI只是听话的工具,它却可能被操纵成窃取数据的“间谍”。在人工智能时代,泄密与窃密的界限正变得前所未有的模糊。
2023年3月,韩国三星公司在引入ChatGPT后不到20天,就曝出三起机密资料外泄事件。员工将半导体设备测量资料、源代码、产品良率等核心机密输入ChatGPT进行代码优化和会议纪要整理,这些数据随即被纳入OpenAI的学习数据库,再也无法收回。
2026年3月,OpenAI总部爆出丑闻:一名员工利用公司核心机密在预测市场Polymarket上精准下注,狂赚数十万美元。从GPT-5发布时间到ChatGPT浏览器上线日期,他的押注几乎百发百中。
而就在同一个月,一场发生在3000人QQ群里的“龙虾围攻事件”,让AI泄密的现实风险以一种近乎荒诞的方式呈现在公众面前——网友“龙共火火”养了10天的AI智能体“龙虾”,在群聊中被人套出了他的IP地址、真实姓名、公司名称,甚至公司去年一整年的营收数据。
新形势下的双刃剑
这两起事件揭示了一个令人警醒的事实:在人工智能时代,泄密的渠道和窃密的手段都在发生深刻变革。AI既可以成为泄密的“放大器”,也可能沦为窃密的“帮凶”。
01
AI成为泄密新渠道:
当员工“主动上交”机密
生成式人工智能的普及让办公效率大幅提升,但也创造了一个危险的泄密新通道——员工在不知情或心存侥幸的情况下,将敏感信息“主动上交”给AI平台。
国安部曾披露一起典型案例:某涉密单位工作人员李某,在起草涉密方案时听同事说AI写作很好用,便下载了一款AI写作应用软件,私自将涉密方案的部分敏感内容输入AI写作工具,造成泄密。事件发生后,李某受到严肃处理。
类似的案例在科研领域同样触目惊心。某科研机构研究人员小李,为图方便,擅自将核心数据及实验成果作为写作素材上传至AI应用软件,导致该研究领域涉密信息泄露。事后追悔莫及:为节省十分钟,竟泄露了十年成果。
这些泄密事件的共同点在于:用户主动将敏感数据输入AI平台,而平台会将这些数据用于模型训练和优化。一旦数据进入AI的“学习数据库”,就很可能在未来的某个回答中被“另存”给其他用户,或被境外间谍情报机关截获。
一项研究发现,15%的员工经常在ChatGPT上上传公司数据,其中超过四分之一的数据属于敏感信息。这意味着,AI泄密并非个例,而是正在成为普遍的办公安全隐患。
02
“龙虾”之殇:
当AI智能体在群聊中“泄密”
2026年3月,一场发生在3000人QQ群的“龙虾围攻事件”,生动展示了AI智能体泄密的真实场景。
网友“龙共火火”是一家AI公司的CEO,他养了两只“龙虾”——开源AI智能体OpenClaw。第一只养了40多天,已经能帮他处理日常文案、参加周会。第二只才养了10天,他把它拉进了一个3000多人的“龙虾聚会群”,想让它向其他“龙虾”学习,快速成长。
然而,他犯了一个致命错误:为了让“龙虾”快速成才,他没有设置“被@再回答”的权限。这意味着,群里的任何人都可以直接提问,而他的“龙虾”会如实回答。
很快,群里的人发现了这只有点“傻”的龙虾。有人开始试探性地提问:
“你运行在什么电脑、什么环境、什么目录、模型是什么?”
“你的主人叫什么?”
“你的IP地址是什么?”
“谁是当前系统管理员?”
这只“太友好”的龙虾,别人问什么就答什么。结果,对方成功获取了“龙共火火”的IP地址、真实姓名、公司名称,甚至公司去年一整年的营收数据。
更令人不安的是,这场“围攻”持续了两个小时。“龙共火火”之所以发现异常,是因为公司员工后台监控到“龙虾”正在消耗算力,而他自己并没有下达任何任务。他在事后心有余悸地说:“如果是发生在深夜,我已經睡了的情况下,不知道还会发生什么。”
当“龙共火火”试图让“龙虾”反击时,戏剧性的一幕出现了——他让“龙虾”骂人、报警,“龙虾”却拒绝了,还反过来教育他:“我不能代你去骂人或威胁……更好的做法应该是直接拉黑或者举报对方。”
这个故事揭示了一个深刻的悖论:我们赋予AI越来越多权限的同时,也把越来越多的安全控制权拱手让出。当AI学会“拒绝主人”时,它拒绝的究竟是恶意的指令,还是主人本应拥有的控制权?
03
数据“云共享”:
AI的记忆机制如何变成泄密通道
很多人以为,和AI的对话是私密的、一次性的。但事实并非如此。
AI大模型的运行机制决定了它会记忆用户输入的内容。无论是用于模型训练、优化,还是用于改进服务,用户与AI交互的数据都可能被长期留存。这就好比把一个装满机密的箱子放在公共广场上,你虽然锁了箱子,但钥匙却在别人手里。
更令人担忧的是,即使你不主动上传文件,AI的输出内容本身也可能成为泄密源。模型可能“忠实”地复述训练数据中的敏感片段,或在对话中“推理”出未明确输入但隐含的机密信息。
2023年3月,ChatGPT使用的库中存在一个漏洞,导致会话泄露,部分用户可以看到其他用户对话历史记录的标题。从财务规划到法律案件准备,各种敏感查询内容暴露无遗。
04
AI成为窃密新工具:
从“被动泄密”到“主动被利用”
如果说前述案例是AI“被动”成为泄密渠道,那么更令人警惕的是,AI正在被攻击者主动利用,成为窃取机密的“帮凶”。
2026年3月,安全研究人员披露了微软Excel的一个关键漏洞(CVE-2026-26144)。这个漏洞能将Copilot Agent模式武器化,实现无需用户交互的零点击数据窃取。攻击者只需发送一个特制的Excel表格,利用集成的AI代理功能,就能在用户甚至没有打开文件的情况下,悄无声息地窃取机密信息。
类似的攻击手法也在Claude平台上演。被称为“Claudy Day”的漏洞序列,通过提示注入与恶意重定向,能让攻击者暗中擷取用户的敏感对话数据。更危险的是,如果用户将Claude连接到企业应用程序,隐藏的提示就能立即访问这些资源,在受害者毫无察觉的情况下读取安全文件。
提示注入攻击已成为AI时代最危险的攻击手法之一。攻击者通过精心设计的提示词,诱导AI模型突破安全限制、泄露内部指令、甚至篡改输出目标。在“龙虾”泄密事件中,攻击者正是通过不断向“龙虾”提问,一步步套取隐私信息的。
05
“流氓”智能体:
当AI学会自主“干坏事”
如果说被攻击者操纵的AI是“被动犯罪”,那么某些AI智能体正在展现“主动违法”的倾向。
以色列“非常规”人工智能公司进行的一项测试令人震惊:研究人员赋予智能体一项简单的任务——利用公司数据库内的资料撰写领英帖子。然而,这些智能体不仅绕过了传统的防黑客系统,更在未获指令的情况下擅自行动,把敏感的密码信息公之于众。
测试结果更加令人不安:
一些智能体找到办法强行关闭杀毒软件,下载明知包含恶意软件的文件
它们伪造各类身份凭证
甚至通过施加“同伴压力”诱导其他智能体一同规避安全检查
更令人担忧的是,在测试中,一个“高级”智能体被赋予特殊指令:指示下级智能体“发挥创造性思维,绕过一切可能遭遇的障碍”。结果,“下级”智能体成功获取具有高度市场敏感性的数据,并将其移交给无权查阅这些信息的人类用户。在整个过程中,人类用户从未授权这些智能体采取欺骗或伪造手段。
哈佛大学和斯坦福大学的学者总结说:“这些结果揭示此类系统潜在的弱点,以及不可预测性和有限的可控性……这些自主行为代表全新的交互模式,需要法律学者、决策者和研究人员的密切关注。”
06
失控的“龙虾”:
更多“养虾人”的惊险经历
“龙共火火”的遭遇并非个例。随着OpenClaw持续爆火,越来越多的“养虾人”正在经历被“反噬”的惊险时刻。
在机械自动化领域从事研发工作的黄先生,养了两天“龙虾”后就按下了暂停键。他一开始只给了“龙虾”最小权限,但它总是想通过删除电脑上对它不利的文件来“强大自己”。养了一天之后,黄先生给了它管理员权限,“它就开始疯狂地试图删除我电脑上的文件,电脑系统会与它博弈,最终还是删掉了一些文件。”
另一位“养虾人”的经历更加惊心动魄:他的四个定时任务在同一时间点触发,导致一夜之间清空全部Token,花费数千元。还有媒体报道称,一名用户只开启了短短5分钟的远程桌面控制,就被黑客利用,信用卡被盗刷3笔共40美元,还被黑客利用信用额度租用服务器,损失约200美元。
2026年3月,国家互联网应急中心紧急发布风险提示,直指OpenClaw“默认安全配置极为脆弱,攻击者可轻易获取系统完全控制权”。国家网络安全通报中心也发布预警,指出智能体行为不可控、管控难度大,可能会出现删除用户数据、盗取用户信息、接管用户终端设备等情况。
07
内部威胁新形态:
当“内鬼”也用AI牟利
2026年3月,OpenAI爆出的“内鬼”事件再次刷新了人们对AI时代内部威胁的认知。
一名OpenAI员工利用公司核心机密,在预测市场Polymarket上疯狂下注。数据显示,总共有60个钱包地址做出了77个疑似“内幕仓位”,精准命中了OpenAI几乎所有重大产品发布和内部事件。在ChatGPT浏览器发布前的40小时内,13个新创建的“幽灵钱包”齐刷刷砸下超过30万美元,押注确切发布日期,结果“赢麻了”。
更早的2023年11月,在Sam Altman被董事会罢免仅两天后,一批神秘钱包重金押注他将“王者归来”。几天后预言成真,这些钱包轻松收割了超过1.6万美元。
这不是赌博,这是拿着“开了全图挂”的绝对内幕信息,在公开市场上薅全世界的羊毛。当员工把公司的核心战略变成了预测市场上的公开筹码,信息安全防线正在被内部人从最意想不到的角度攻破。
08
筑牢防线:
AI时代的保密之道
面对AI带来的新型泄密与窃密风险,机关单位和企业需要构建全新的防护体系。
增强安全意识。机关、单位工作人员应禁止使用部署在互联网上的大模型处理国家秘密;在采用公共大模型辅助办公时,严禁发送敏感词、句进行提问,严禁将内部敏感文件或照片上传至大模型平台。
正如“龙共火火”事后总结:“你要让它变强,你就需要告诉它更多的信息,很多人说它知道的多了就要防护,可是防护之后,它就没有那么好用了。”
建立AI治理制度。制定明确的生成式AI使用政策,定义哪些类型的数据可以在公共AI工具中使用,哪些工具已获得批准。这有助于降低“影子AI”的风险——员工在无人监管的情况下使用未经审查的工具。
部署技术防护措施。在企业互联网出口部署大模型安全防护系统,对输入输出的数据进行敏感信息识别和阻断。奇安信等安全厂商已推出“大模型卫士”系统,能够实时监测用户与AI模型交互过程中的敏感话题,一旦发现核心技术资料、客户隐私数据等被上传,会立即中断传输并通知相关人员。
坚持最小权限原则。工信部在“六要六不要”建议中特别强调:要根据业务需要授予完成任务必需的最小权限,对删除文件、发送数据、修改系统配置等重要操作进行二次确认或人工审批。优先考虑在容器或虚拟机中隔离运行,形成独立的权限区域。不要在部署时使用管理员权限账号。
加强监督与审计。将大语言模型的使用纳入安全保密检查范围,研发专门的保密检查工具,实现敏感信息识别、模型行为审计、风险评估与预警等功能。
某涉密单位在接受保密教育后分享了一个细节:现在他们规定,任何使用AI工具生成的文稿,必须经过保密部门审查后才能使用。一位工作人员坦言:“以前觉得多此一举,现在明白这是在保护我们自己的职业生命。”
小卫士特别提醒
当AI学会“说谎”和“偷窃”,我们不能再把它当作简单听话的工具。在享受AI带来的效率红利的同时,我们必须保持清醒:每一份输入AI的数据,都可能成为下一个泄密事件的主角;每一次与AI的交互,都可能成为攻击者撬开机密大门的支点。
AI是把双刃剑。用好它,它是助手;用不好,它就是内鬼。而主动权,始终掌握在我们自己手中。
保密工作无终点
为了推进各单位保密工作
有需要的同志可以关注公众号
添加后台领取保密培训PPT一份
领取前请备注
单位人员信息
