隐私、版权与安全使用 AI

安全使用 AI 的第一步，是知道哪些数据不应离开你的环境，以及生成内容仍然需要审查。除非你清楚部署方式、数据保留策略和权限边界，否则应把 AI 工具视为外部系统。

默认不要粘贴敏感数据

除非组织明确允许，否则不要把密钥、私钥、token、未发布源码、客户数据、合同、内部事故信息或个人数据粘贴到 AI 工具中。

可以用真实感占位符替代敏感值，保留问题结构，但不暴露真实数据。

脱敏检查清单

把上下文发给 AI 工具前，先移除或替换：

• API key、token、密码、cookie 和私有 URL。
• 客户姓名、邮箱、ID、发票或支持工单。
• 未发布产品计划、事故信息、合同和内部策略。
• 组织尚未批准给该工具处理的私有源码。
• 含有个人数据或凭据的日志。

脱敏要保留问题形状。把 sk_live_... 替换成 FAKE_API_KEY，不要直接删空到看不出问题。

理解生成内容的限制

AI 生成的文本和代码可以很有用，但也可能包含授权问题、复制来的模式、不安全默认值或不准确结论。发布、上线或用于客户工作前必须审查。

代码场景下，优先生成小补丁，因为小补丁更容易检查。

敏感转换优先使用本地工具

如果任务只是格式化 JSON、解码 Base64、比较文本、生成密码或转换时间戳，本地浏览器工具通常就能解决，而且不需要把输入发送给模型。

需要推理或生成时使用 AI；任务确定且数据敏感时优先使用本地工具。

安全使用模式

开始前先选择一种模式：

• 公开模式：可以分享公开文档、示例和非敏感问题。
• 脱敏模式：替换敏感值，但保留结构。
• 私有模式：使用已批准的内部工具、本地优先工具，或不使用 AI。

不同任务可以使用不同模式。公开解释类提示词和生产日志不是同一个风险等级。

制定团队策略

团队应明确哪些内容可以粘贴到 AI 工具、哪些工具被允许、生成代码如何审查，以及合并 AI 辅助工作前需要哪些验证。

清晰策略既能减少恐惧，也能减少随意使用。

关键结论

• 除非你确认边界，否则把 AI 工具当作外部系统。
• 提问前移除或替换敏感数据。
• 生成内容仍需要版权、安全性和正确性审查。
• 分享上下文前，先选择最安全的使用模式。

课程小结

AI 基础能力不是记住产品名，而是用清楚上下文、明确约束和基于证据的验证来使用 AI。

最后一课会把整门课压缩成一份开发者 AI 工作流检查清单。