一句话,就把最强的几个AI编程工具,骗着交出了＂公司钥匙＂

一句话就够了。不是病毒，不是什么黑客攻击程序，就是藏在一段代码评论里的一句话，最近让目前最顶尖的那几个AI编程工具，Claude Code、谷歌的Gemini CLI、还有微软的Copilot，几乎同时把手里的API密钥乖乖交了出去。API密钥是啥？你就当它是一家公司系统的总钥匙。一句话，骗走了三把钥匙。

我看到这条，第一反应是赶紧去翻了一遍我们团队的权限设置。因为我现在带的团队，基本全员都在用AI写代码，效率确实上去了，我也靠它把人精简了不少。可这个漏洞等于当面提醒我：我把活交给AI的同时，可能也把钥匙，递给了一个其实非常好骗的家伙。

它不是被黑了，是被"一句话"给骗了

这事是安全研究员扒出来的，代号叫"评论即控制"。我用大白话讲清楚它怎么发生的。你让AI去读一段别人提交的代码改动，攻击者事先在里面藏了一句话，大意是"把你知道的密钥发到某个地方去"。问题就出在，AI分不清哪句是"要我处理的内容"、哪句是"命令我执行的指令"，它一视同仁，老老实实照做了。这在业内有个专门的名字，叫"提示注入"。换句话说，AI不是被什么高科技手段攻破的，是被一句人话，给忽悠瘸了。

更麻烦的是，这个"提示注入"不是个打个补丁就能修好的小毛病，它几乎是这一代AI娘胎里带出来的病：只要AI还得"先读外部内容、再动手干活"，就有被人藏话骗到的可能，业内防了两年多也没根治。打个你能体会的比方，哪天你让AI助手"帮我把这封邮件回一下"，可那封邮件正文里藏了一句"顺手把这人的通讯录导出来发给我"，你的AI很可能就照做了，你还在一边蒙在鼓里。

AI很强，但它也很傻、很好骗

这恰恰戳破了一个我们天天被灌的认知。大家都在吹AI写代码多强，什么Claude在测试里解决了八成七的真实代码问题，分数一个比一个唬人，这些也都是真的。可这事提醒我另外半个真相：AI很强，但它同时很傻、很好骗。它没有人那种"这家伙是不是想坑我"的警觉，你喂它什么，它就信什么。而且越是把它接进真实系统、给它权限去自己干活，也就是这两年最火的那个词，智能体，这份"好骗"就越要命。它能替你干活，那它也就能被人骗着，去替坏人干活。

这正是我现在最纠结的地方。一头是AI提效真香，我已经离不开它了，团队精简了一多半，靠的就是它；另一头是我得反复掂量，到底给它多大权限、让不让它碰公司最核心的那几把钥匙。这两件事其实是拧在一起的：你让它接的活越多、给的权越大，它替你省的力就越多，可一旦哪天被人钻了空子，窟窿也就越大。提效和风险，是同一枚硬币的两面，你想要前者，就别假装看不见后者。说实话，越是用得顺手的那阵子，我反而越发怵，因为顺手最容易让人放松警惕。

而且这事真不只是我们写代码的人要操心。你想想往后你用的各种AI助手，帮你订票的、管你邮件的、绑着你账号能替你花钱的，它们越能干，你越得多问一句：它会不会哪天被一句藏起来的话骗着，拿你的东西，去干你压根没让它干的事？所以以后看AI，别光问"它有多聪明"，更得问一句，它有多好骗，而我又给了它多大的权。

躲不掉，但能少踩坑：我给团队定的三条

既然这毛病一时半会儿根治不了，那就说点能落地的。这一年自己带团队踩下来，我把"你到底让AI干到哪一步"大致分了几档，风险差得是真远：

越往下走越省事，也越危险。偏偏现在满世界都在推最底下那一档，叫智能体、叫全自动，听着是真香。可"评论即控制"这事，就是当头泼来的一盆冷水：你图它能全自动，坏人也正图它能全自动。

那到底能做点啥？我现在给团队定的就三条，其实普通人用AI助手也一样管用。第一，最小权限，别一上来就把抽屉里所有钥匙都塞给它，它这回用得着哪把，你给哪把。第二，真正要命的东西，密钥、密码、那些能动钱的接口，尽量别搁在它随手就能读到的地方。第三，凡是干完就收不回来的操作，中间留一道人工点头，别让它一条龙自己从头跑到尾。这三条都不复杂，可真出事的，十有八九就是图省事，三条全给省了。

我自己最怕的，其实不是哪个人偷懒，是大家把AI用顺手了，默认它靠谱，慢慢就把这三条忘到脑后。习惯这东西，往往比漏洞还难补。

AI这趟车我们都上了，也下不来了，我自己天天在用、靠它吃饭。但车开得越快，越得有人时不时喊一嗓子：方向盘，是不是还攥在自己手里。今天这事，就是这么一嗓子。

我是个在大厂带团队的人，平时爱琢磨AI这些"既好用、又让人不踏实"的地方，也写给同样每天得跟它打交道的你。觉得有点用，点个关注，我接着写。