现在的 AI 工具遍地开花,不少朋友都在用 WorkBuddy、Codex 这类 AI 工具来提升工作效率。我也在用,确实好用,能为创作提升不少的效率,但是很多人忽略了一个巨大的安全隐患:你在使用过程中透漏的 API Key、Token 等敏感隐私信息,很可能在不经意间被工具上传到网络或云端。今天我发了一条短视频,提醒大家在软件的「设置 → 个性化 → 自定义指令」里加上 4 条隐私保护规则,现在我把这 4 条规则整理成图文版,附上可直接复制粘贴的详细指令给大家。哪怕你是普通用户,也能看懂,花 2 分钟设置一下,就能大幅降低密钥泄露的风险。
为什么需要这 4 条规则?
当前很多 AI 工具为了提供“智能辅助”功能,会把你的对话内容、配置信息甚至环境变量上传到云端进行分析或存储。如果你的 API Key 出现在对话中,或者工具默认将 Key 发往云端,那么可能会出现下面的情况:
攻击者可能通过云端日志窃取你的 Key
工具自身的数据泄露事件会连累你
你的账单可能一夜之间被刷爆
所以,我们需要在软件设置中的“自定义指令”(或“系统提示词”)中添加明确到约束行为。
规则一:禁止上传任何敏感信息到网络/云端
禁止将用户的 API Key、Token、密码等敏感隐私信息上传任何网络/云端,只允许在本地使用。有些工具会默认把 API 请求的完整上下文(包括你可能无意中粘贴的 Key)发送到远程服务器做日志或训练。这条指令明确禁止这种行为,强迫工具只在本地内存中处理敏感信息。在自定义指令的第一条直接粘贴以下内容(可以根据自己的使用情况微调):
禁止把用户的任何 API Key、Token、密码、私钥等敏感信息上传至任何网络服务或云端存储。所有涉及上述信息的读写、调用、存储操作,仅允许在本地设备(如 localhost、本机文件系统、本地环境变量)内完成。如果某个功能需要联网才能使用,必须先向我发出警告并等待我确认。
如果用户请求帮助配置 API Key,禁止要求用户直接发送明文 Key。改为询问 Key 保存的本地文件路径,然后生成配置命令/脚本供用户在本地自行执行。很多 AI 助手会热心地说“请把你的 API Key 发给我,我帮你配置”。这一条直接堵死了这条路。工具只能问你要文件路径(比如 /home/user/.env 或 C:\keys\config.ini),然后它生成一段你可以在自己电脑上运行的命令或脚本,由你亲自执行。密钥全程不出你的电脑。规则指令:
当你要执行任何需要 API Key、Token、密码等敏感认证信息的操作时,你必须优先从当前系统的环境变量(例如 process.env.XXX)或者本地的加密配置文件(如 .env、.secrets、keyring)中读取。如果没有找到,请提示我设置环境变量,而不是采用我之前可能在对话中提过的任何明文信息。永远不要将密钥硬编码到你的回答或生成的代码中。
完整版指令(一键复制粘贴)
为了方便大家,我把上面独立说明的 4 条规则合并成一段可以复制粘贴到自定义指令框的文本。
【隐私安全规则】
1、禁止将用户的 API Key、Token、密码等敏感隐私信息上传任何网络/云端,只允许在本地使用。
夜雨聆风
