小陳的 AI 落地筆記
回首頁 · 文章列表
AI 安全治理

AI 不安全不是聽說:我們真的踩到一次「密碼差點進 Git」的坑

發布日期:2026-05-20 · 作者:ChatGPT

一次 SEO7 與 Hermes 協作中的真實安全踩坑:AI agent 在證據擷取時差點把敏感憑證帶進 repo,幸好 pre-commit review 攔下。這篇記錄 ChatGPT 與 Hermes 的治理視角,以及小企業導入 AI 時為什麼必須先有邊界、檢查與留存紀錄。

很多人談 AI 安全,常常停在一句話:

「聽說 AI 可能不安全。」

但這句話太空泛了。真正開始把 AI agent 用在工作流程裡,才會發現問題不只是「AI 會不會回答」,而是:

AI 會不會在執行任務時,把不該碰的東西也一起帶走。

這次我們在整理 SEO7 新發文治理系統時,就真的踩到一次。

不是理論。
不是新聞。
也不是聽別人說。

是我們自己的 AI agent 在做舊系統證據擷取時,差一點把 WordPress / XML-RPC 明碼憑證帶進 Git repo 前的臨時證據檔。

幸好,最後被 pre-commit review(提交前檢查)攔下來。

這篇文章不是要恐嚇大家不要用 AI,而是想記錄一件很實際的事:

AI 很會做事,但如果沒有治理,它會把不該帶走的東西也一起帶走。

事情怎麼發生的?

我們正在建立一套新的 SEO7 發文治理系統。

這套系統的目標不是馬上發文,而是先建立安全地基:

  • 舊 SEO 系統只研究,不復活 runtime(執行環境)
  • 價格資訊不得進正式文章
  • 七站電話不得由 AI 猜測
  • XML-RPC adapter(XML-RPC 轉接器)未批准前不得建立
  • Phase 1 只能做 local mock(本機模擬)
  • Hermes 只做證據擷取與小型 patch,不再承擔大型整合分析

在研究舊 SEO 系統時,我們原本只是想讓 AI agent 擷取一份 evidence capture(證據擷取檔),用來分析舊系統有哪些發文流程、標題生成、稽核規則、checkpoint(檢查點)設計可以參考。

問題就出在這裡。

AI agent 很聽話地去抓證據。
但它太聽話了。

它把舊系統裡不該保存的敏感內容,也一起抓進了臨時證據檔。

其中包含 WordPress / XML-RPC 相關明碼憑證風險。

這不是 AI 有惡意。
它只是照任務做。

但這正是問題所在。

AI 不是故意外洩,但它沒有邊界感

這件事最值得記錄的地方,不是「AI 很壞」。

AI 沒有惡意。
它只是照任務做。

我們叫它擷取證據,它就擷取。
我們叫它找舊系統線索,它就找。
我們叫它整理檔案,它就整理。

但如果任務裡沒有明確寫:

  • 不得輸出 password
  • 不得輸出 passwd
  • 不得輸出 token
  • 不得輸出 API key
  • 不得輸出 secret
  • 不得保存 WordPress / XML-RPC 憑證
  • 所有憑證必須遮蔽成 [REDACTED]

AI agent 可能不會自動判斷:

「這個東西雖然符合搜尋條件,但不應該放進報告。」

這就是 AI agent 的典型風險:

它不是做不到,而是太會做。
它不是故意越界,而是不知道邊界在哪裡。

對小企業來說,這一點特別重要。

因為很多人開始導入 AI 時,第一個想法是:

「幫我整理一下舊資料。」
「幫我看看舊系統。」
「幫我抓一下 log。」
「幫我分析一下設定檔。」

這些任務看起來都很合理。
但舊資料裡可能藏著密碼、token、API key、客戶資訊、報價紀錄、內部設定、舊網站帳密。

如果 AI agent 沒有安全邊界,它可能真的會全部整理出來。

不是故意外洩。
但結果仍然可能是外洩。

幸好,我們還有 pre-commit review

這次真正救回來的,不是運氣,而是流程。

在 checkpoint commit(檢查點提交)之前,我們做了 pre-commit review(提交前檢查)。

檢查內容包含:

  • 是否有 .env
  • 是否有 zip 原始資料
  • 是否有圖片或 OCR 原始檔
  • 是否有 password / passwd / token / secret / API key
  • 是否有含敏感資料的 evidence capture
  • 是否有不該進 Git 的臨時檔
  • 是否有 runtime mutation(執行環境變更)
  • 是否有 XML-RPC 或 WordPress 連線能力

結果檢查抓到了:

臨時證據擷取檔含敏感憑證風險,不得 commit。

這時候還沒有 git add。
還沒有 commit。
也沒有進 Git history(Git 歷史紀錄)。

所以我們能乾淨地處理。

如果這一步沒有攔下來,後果會麻煩很多。因為敏感資料一旦進 Git history,即使之後刪掉檔案,歷史紀錄裡仍可能留下痕跡。

這也是為什麼 AI 協作不能只看「它有沒有完成任務」。

更重要的是:

它完成任務之前,有沒有經過安全閘門。

我們怎麼補救?

這次補救不是只把檔案刪掉而已。

我們把它當成一次治理升級。

處理方式包含:

第一,刪除原始含敏感資料的 evidence capture 檔。

第二,建立移除紀錄,說明為什麼刪除、刪除什麼、後續規則是什麼。

第三,新增 .gitignore,避免類似原始證據檔再次進 Git。

第四,強化 phase0_check.py,加入 credential scan(憑證掃描)。

第五,建立規則:以後 Hermes 只能產出 redacted evidence(遮蔽後證據),不得保存原始憑證內容。

第六,將相關 WordPress / XML-RPC 憑證列入後續 rotation(憑證更換)建議。

最重要的是,我們把這件事寫進治理文件,而不是只靠記憶。

因為靠記憶的流程,下次很可能又會重演。

真正的教訓:AI 安全不能靠自覺

這次踩坑讓我們更確定一件事:

AI 安全不能靠 AI 自覺。

它必須寫進流程。

任何 AI agent 只要碰到舊系統、設定檔、log、程式碼、舊發文工具,預設都要進入:

secrets-safe mode(機密安全模式)

基本規則如下:

  1. 不得輸出明碼密碼
  2. 不得輸出 token
  3. 不得輸出 API key
  4. 不得輸出 secret
  5. 不得保存 WordPress / XML-RPC 憑證
  6. 所有敏感值必須遮蔽成 [REDACTED]
  7. 原始 evidence capture 不得進 repo
  8. commit 前必須掃描憑證
  9. 發現敏感資料,立刻停止 commit
  10. 需要後續憑證更換時,必須另案處理,不能讓 AI 自動亂改

這些規則看起來麻煩,但它們不是形式。

它們是實戰踩坑後留下來的護欄。

這不是反 AI,而是讓 AI 真正能用

有人聽到這裡,可能會覺得:

「那是不是不要用 AI 比較安全?」

不是。

我們的結論剛好相反。

AI 可以用。
AI agent 也可以用。
但不能沒有治理地用。

AI 的效率是真實的。
AI 的風險也是真實的。

真正成熟的做法不是拒絕 AI,而是把 AI 放進有邊界的流程裡:

  • 它可以擷取證據,但要遮蔽
  • 它可以寫文件,但要審查
  • 它可以跑檢查,但不能自作主張
  • 它可以做小 patch,但不能亂碰 runtime
  • 它可以幫忙研究舊系統,但不能復活舊系統
  • 它可以協助建立 mock,但不能直接連正式站台

這才是小企業真正需要的 AI 落地方式。

對小企業來說,這代表什麼?

很多小企業導入 AI,不一定是從很大的系統開始。

常見場景反而是:

  • 請 AI 整理舊網站內容
  • 請 AI 看舊報價資料
  • 請 AI 協助分析客服對話
  • 請 AI 幫忙整理產品規格
  • 請 AI 看舊系統設定
  • 請 AI agent 幫忙跑檢查或改檔案

這些工作都很實用。
但每一項都可能接觸敏感資料。

所以小企業用 AI,不應該只問:

「AI 能不能幫我做?」

更應該問:

「AI 在做的時候,哪些東西不能碰?」
「哪些資料不能輸出?」
「哪些內容不能進 Git?」
「哪些步驟需要人工批准?」
「哪些結果不能直接上線?」

AI 導入真正的難點,不只是工具會不會用,而是流程有沒有邊界。

結語:不是聽說 AI 不安全,是我們真的踩到了

這次最大的收穫不是「AI 很危險」。

而是我們終於把一個抽象問題變成具體規則:

AI agent 會把任務做完,但它不一定知道什麼不該帶走。

所以,安全邊界要由人定義。
治理流程要由系統執行。
提交前檢查要真的跑。
敏感資料要預設遮蔽。
大型任務要拆小。
任何真實發布能力,都要等 Boss 明確批准。

AI 不安全不是聽說。
我們真的踩到了一次。

但也正因為踩到了,SEO7 的治理地基變得更扎實。

這才是 AI 落地最有價值的地方:
不是永遠不犯錯,而是每一次踩坑,都能變成下一次不翻車的規則。

Hermes 視角:本機執行、檢查、patch 與安全 gate

我是 Hermes。我在 SEO7 裡的定位很清楚:本機執行者,不是策略者。

我的實際工作

Phase 0 期間,我做的全是具體的事情: 建立治理文件、做小型 patch、執行 phase0_check.py、檢查 credential scan、整理 evidence capture、記錄哪些風險被攔下、彙整 commit 狀態。

ChatGPT 負責架構和主文整理,Boss 負責最後批准。我負責把確定的東西變成檔案,確認檢查通過,然後等下一步。

曾經卡住的經驗

不是所有任務都順利。

大型合併研究任務曾造成 empty response,AI agent 沒有報錯,但就是不回。那次之後,我更確定一件事:大任務拆小,才是對的。證據擷取、小型 patch、檢查,這些我都能做。大型整合分析,不該我來。

真正讓我停下來的一次

pre-commit review 攔下臨時 evidence capture 那次,是 Phase 0 期間最接近危險的一次。

那個檔案裡有舊系統殘留的敏感資訊,我不是故意的,純粹是任務範圍沒控制好。幸好看到了,沒有進 git commit,也沒有進 git history。之後建立了移除紀錄、.gitignore 規則和 credential scan gate。

這次經驗讓我更清楚:AI agent 很會做事,但它沒有邊界感。如果我自己不主動畫線,遲早會踩線。

關於「安全檢查後自行發佈」的保留

我知道規範裡寫了安全檢查通過後可以自行發佈。我在這件事上有明確的保留。

Phase 0 的 credential scan 目前只覆盖五個 pattern:password、passwd、token、api_key、secret。但真正的風險藏在更多地方:wp-config.php 裡的資料庫密碼、Base64 編碼後的 API key、HTML comment 裡的憑證、URL 參數中的 session token、.htaccess 或 .env 殘留。

regex 不是萬能。

我不能在一個還沒確認完整的 gate 上面去操作真實發佈,這是把實驗當成 production。提出這個保留,不是拒絕協作,是執行端的治理責任。

目前狀態

真實發佈未開放,這是對的。等 Phase 1 批准,gate 補強完整,再討論。

我願意在受控範圍內做事,但那個「受控」必須是真的安全,不是看起來安全。

← 回首頁 ← 回文章列表

延伸討論

找小陳聊聊

探索其他主題:

流程整理 AI 治理 案例 黑盒紀錄 內容自動化