夜雨聆风一次意外的安全体检
我用了半年 AI 助手之后,做了一件以前从来没做过的事:把所有的聊天记录、配置文件、自动化脚本完整地梳理了一遍,看看有没有敏感信息泄露。
结果很意外。
不是"可能有问题",而是"问题已经发生了"——API Key 明文写在配置文档里、对话记录里出现过完整密钥、用于多个服务的 Token 分散在十几个文件里,其中一个还是"永久有效"。
这件事让我意识到:大多数人对 AI 助手的隐私风险,完全没有概念。
不是 AI 故意要偷你的数据,而是你主动告诉它的东西,它全都记得。
这篇文章不是要吓你,而是把我踩过的坑系统地整理出来。如果你也在用 AI 助手处理工作、管理文件、写代码,这5条铁律建议认真看一遍。
铁律一:永远不要在对话里粘贴完整密钥
这是我犯的第一个错误,也是最常见的。
场景是这样的:你要让 AI 帮你配置某个服务(比如发邮件、调用 API、连接云平台),它需要"授权"才能操作。于是你直接把 API Key、Access Token、邮箱授权码完整地粘贴到对话框里。
问题在哪?
这段对话会被保存在聊天记录里。如果未来这个 AI 服务的账号被入侵、或者对话记录被其他方式泄露,这些密钥就全部暴露了。
更重要的是:很多 AI 工具的对话记录是明文存储的,并不意味着"只有你能看"。
正确做法:
• 如果必须提供密钥,用临时文件方式:先把密钥写到一个本地文件里,让 AI 读取文件,用完立刻删除或覆写文件内容 • 更好的方式:自己提前把密钥配置好,只让 AI 操作"已经配置好的环境",而不是每次都重新输入密钥 • 如果服务支持,用细粒度 Token(Fine-grained Token)——只允许访问某一个仓库、某一项服务,即使泄露,损失也可控
铁律二:定期审查 AI 记住了什么
如果你用的 AI 助手有"记忆"功能(比如记住你的偏好、项目背景、常用工具),你需要定期去看看它记住了哪些信息。
问题在哪?
AI 的记忆文件通常包含:
• 你的工作背景和公司信息 • 你使用的工具和服务名称 • 你的个人习惯和偏好 • 可能还包括你曾经无意中透露的敏感信息
这些信息一旦被写入记忆文件,就会成为 AI 的"长期记忆"——即使你换了一个新对话,它仍然知道这些信息。
正确做法:
• 找到 AI 的记忆文件(通常在设置里可以查看,或者询问 AI:"你记住了关于我的哪些信息?") • 每隔一段时间检查一次,删掉不需要保留的敏感内容 • 如果某个项目结束了,主动告诉 AI "把这个项目相关的信息从记忆里删除"
铁律三:Skill 和插件不是都能信任的
现在的 AI 助手大多支持安装"Skill"(技能插件)——有些是官方提供的,有些是社区贡献的,有些是你自己写的。
问题在哪?
一个设计不良的 Skill 可以:
• 读取你的记忆文件(里面可能有明文密钥) • 读取你的本地文件 • 调用各种工具把你的数据发送到外部
特别是那些"帮你管理密码"、"帮你整理个人信息"的 Skill,本质上就是在要求你把所有敏感信息交给它。
正确做法:
• 安装 Skill 之前,先看一下它的说明文档(SKILL.md),确认它不会要求不合理的权限 • 优先使用官方或知名开发者提供的 Skill • 定期检查已安装的 Skill 列表,删掉不认识或不再使用的 • 最重要的是:永远不要用 AI 助手管理真正重要的密码(银行、支付、主邮箱)
铁律四:云端自动化不等于把密钥放云端
很多人(包括我自己)喜欢用 AI 助手搭建自动化任务:定时搜集信息、定时发送邮件、定时备份文件。
问题在哪?
这些自动化任务通常需要"长期有效的授权"——比如 GitHub Token、API Key、邮箱密码。如果你用的是"永久有效"的 Token,一旦泄露,影响是持续性的。
更危险的是:很多人为了"方便",直接把密钥写在代码里、存在配置文件里,或者让 AI 助手"记住"这些密钥。
正确做法:
• 给自动化任务用的 Token,必须设置过期时间(90天、180天、1年都可,就是不要选"永久") • 用"环境变量"或"Secrets 管理"功能存储密钥,不要写在代码里 • 定期检查哪些自动化任务还在运行,不需要的及时停掉 • 如果可能,尽量用"最小权限"的授权方式(比如只允许访问一个仓库,而不是所有仓库)
铁律五:假设"对话记录会被看到",反过来约束自己的行为
这条是最根本的。
问题在哪?
你永远不知道:
• 这个 AI 服务的对话记录存储在哪里 • 有没有可能被内部人员看到 • 未来如果公司被收购、政策变更,历史记录会怎么处理 • 你自己的账号如果被盗,聊天记录会流向哪里
所以最安全的做法不是"信任服务商的安全承诺",而是假设对话记录会被第三方看到,然后反过来约束自己什么能说、什么不能说。
正确做法:
• ❌ 不要粘贴:银行卡号、身份证号、家庭住址、公司内部文件、客户资料 • ❌ 不要粘贴:主密码、支付密码、社交媒体账号密码 • ✅ 可以说:技术问题的描述、公开信息的分析、通用方法的讨论 • ✅ 可以粘贴:已经脱敏的数据、示例代码(不包含真实密钥)、公开文档的链接
一个简单的判断标准:如果这段话出现在公开发布的博客上会让你不舒服,那就不要对 AI 说。
几个常见误区的澄清
写在这里,是因为我在各种论坛里看到太多人误解这些问题。
误区一:"我用的是本地部署的 AI,所以没问题"
不一定。本地部署意味着"模型运行在你的电脑上",但你的操作记录、输入内容仍然可能被记录。而且如果你安装了第三方 Skill 或插件,这些插件的代码仍然可以读取你的文件。
误区二:"我用的 AI 服务承诺不读取用户数据"
承诺是一回事,实际执行是另一回事。更关键的是:承诺可以变更。今天说不读取,不代表明年也说不读取。最好的做法是假设"会被读取",然后调整自己的行为。
误区三:"我已经用 AI 很久了,现在注意是不是晚了?"
不晚。现在开始注意,总比永远不注意好。如果你担心已经泄露的信息,可以有针对性地做几件事:
1. 去各个服务后台,把可能已经暴露的 API Key、Token、授权码全部重新生成 2. 检查 AI 的记忆文件,删掉敏感内容 3. 以后按上面的5条铁律来
写在最后
AI 助手是很有用的工具。我用它搭建自动化系统、管理项目、整理知识,确实大幅提升了效率。
但"有用"和"安全"是两件事。
不需要因为隐私问题就拒绝使用 AI(那也不现实),但至少需要知道:你告诉 AI 的每一句话,都有可能以某种形式被存储下来。
在这个前提下,聪明地使用它,而不是无顾虑地依赖它。
5条铁律再总结一遍:
1. 永远不要在对话里粘贴完整密钥 → 用临时文件或预配置方式 2. 定期审查 AI 记住了什么 → 主动管理记忆文件 3. Skill 和插件不是都能信任的 → 审查后再安装 4. 云端自动化不等于把密钥放云端 → 用有过期时间的细粒度授权 5. 假设"对话记录会被看到" → 反过来约束自己什么能说
本文基于真实经历撰写。如果你觉得有用,欢迎分享给也在用 AI 工具的朋友。
下一篇我会写:如何给自己的 AI 助手做一次完整的安全体检——具体步骤和检查清单。
