ORANGE BOOK · CODEX

第二十一章 安全、隐私与边界

21.1 这一章的重要性

前 20 章我们一直在讲"怎么用 Codex"。但有一个话题不能回避:有些事 Codex 不应该用

这一章不是吓唬你,而是帮你建立"什么场景下 AI 工具应该让位给人"的清醒认知。掌握这套认知,你才能长期、安全地使用 Codex。

21.2 三层风险模型

把"用 AI"的风险分成三层:

┌──────────────────────────────────────────┐
│ 第一层:信息层风险(数据泄露)              │
│ ── 你给 AI 的数据 → 落到不该看到的人手里    │
└──────────────────────────────────────────┘
                  │
┌──────────────────────────────────────────┐
│ 第二层:操作层风险(错误执行)              │
│ ── AI 替你做了不该做的事 → 损失文件 / 钱 / 信任│
└──────────────────────────────────────────┘
                  │
┌──────────────────────────────────────────┐
│ 第三层:决策层风险(错误判断)              │
│ ── 信了 AI 错的建议 → 重大决策走偏          │
└──────────────────────────────────────────┘

每一层有不同的预防方法。

21.3 第一层:信息层风险

哪些信息不能给 AI

下面这些信息永远不要丢给 Codex(无论它说"绝对保密"):

类别 例子
凭据类 密码、API Key、SSH 私钥、JWT、OAuth Token、数据库连接字符串
身份类 身份证号、护照号、银行卡号、社保号、医保号
财务类 未公开的财报、预算、薪资明细(含他人)、利润率
客户隐私 客户的全名+联系方式组合、住址、消费习惯、健康状况
商业机密 未发布的产品 / 营销方案、谈判中的合同金额、未签字的协议
国家相关 涉密信息、未公开的政策、军事 / 国防相关
健康医疗 病历、诊断、医保记录、HIV / 性病 / 精神疾病等高敏感
涉法律 未公开的诉讼材料、调查证据、未结案信息

为什么不能给

即使 OpenAI 协议写"不用于训练":

  • 服务器仍存储 30 天:理论上有 OpenAI 员工能访问
  • 可能因法律命令被调取:美国政府的执法请求
  • 网络传输有泄露风险:理论上中间人攻击
  • 服务故障可能导致泄露:日志意外公开
  • 未来政策可能变:今天不用于训练,明天可能改

对待 AI 的态度应该是:"我对外公开发表的内容才能上传"。

怎么"脱敏"再用

很多场景 AI 帮助巨大,但数据敏感。脱敏的几种做法:

做法 1:替换成假数据

# 原始数据
姓名: 张三, 手机: 13812345678, 身份证: 310101199001011234

# 脱敏后
姓名: 用户A, 手机: 138****5678, 身份证: 31010119900101****

让 Codex 自己脱敏:

我有 customers.csv,包含真实客户信息。
脱敏处理:
- 姓名 → 用户A、用户B...(顺序编号)
- 手机号 → 前 3 位 + **** + 后 4 位
- 身份证 → 前 14 位 + ****
- 邮箱 → 用户名前 2 字符 + **** + 域名

输出 customers-anon.csv,保存到本地。
然后基于 customers-anon.csv 做后续分析,
不要把原始 csv 上传给你(即不要让你"读"它)。

做法 2:抽样

不要把全量数据给 AI。抽 1% 的样本:

import pandas as pd
df = pd.read_csv('big-data.csv')
sample = df.sample(frac=0.01)  # 抽 1%
sample.to_csv('sample.csv', index=False)

让 AI 看 sample.csv 即可。

做法 3:聚合后再给

不给原始记录,给统计摘要:

# 不给:5000 个客户的全部订单
# 给:
- 总订单数:5000
- 总金额:380 万
- TOP 10 客户:客户A(28w)、客户B(25w)...(脱敏后)
- 类目分布:电子 40%、服装 30%、食品 30%

做法 4:本地处理 + 远程总结

先在本地用脚本把"原始数据 → 摘要",只把摘要给 AI:

# 本地脚本(不联网)
python local_analyze.py raw_data.csv > summary.json

# 把 summary.json 给 Codex 进一步分析

如果不小心传了敏感数据

发生过一次后,立即:

  1. 在 ChatGPT 里删除该对话(Settings → Data Controls → 删除指定对话)
  2. 删除指定 OpenAI 账户的全部历史(同上)
  3. 评估泄露范围:什么数据、谁能看到
  4. 如果是公司数据,告诉合规 / 安全部门
  5. 如果涉及客户,按公司流程通知

预防比善后重要 100 倍。 养成"传任何文件前问自己一句:这能登在公开博客上吗"的习惯。

21.4 第二层:操作层风险

Codex 能造成多大的损失

理论上限:取决于你给它的权限。

Read-only 模式:    最大损失 = 0(除非外发数据)
Auto-approve safe: 最大损失 = 你授权过的所有命令的累积影响
Full-auto 模式:    最大损失 = 你账号能做的一切

真实案例

收集几个真实"翻车"案例,让你引以为戒:

案例 1:误删整个项目

某开发者让 Codex "清理项目里的临时文件"。Codex 执行了 rm -rf 命令,参数构造错误,删了整个项目。

教训:rm -rf 必须人审、必须有 git。

案例 2:自动 push 错误代码到生产

某团队让 Codex 自动 fix bug 并 push 到 main 分支(跳过 PR)。Codex 引入了一个新 bug,生产环境挂了 4 小时。

教训: 永远不让 AI 直接 push 到 main。任何改动走 PR + 人审。

案例 3:滥用 API 烧光配额

某用户让 Codex"分析所有 PDF",但有 10 万个 PDF。Codex 在跑的过程中触发某个付费 API 调用,一晚上烧了 $300。

教训: 大批量任务先抽样估算,再全量跑。

案例 4:Computer Use 误操作

某用户让 Codex 用 Computer Use"清理桌面"。Codex 把"看起来不重要"的几个文件夹拖进了废纸篓——其中包含未保存的 Photoshop 工程。

教训: Computer Use 操作敏感目录前必须确认;废纸篓不要太快清空。

案例 5:Skill 误调用

某团队的 customer-faq Skill 被误调用到了"医疗咨询"场景,AI 给了错误的医疗建议(虽然加了"非医疗建议"免责)。客户投诉。

教训: Skill 的"何时调用"和"何时不调用"要写清楚。重大风险领域要白名单。

操作层风险的"五道护栏"

护栏 1:默认权限保守

新手永远从 Read-only 或 Auto-approve safe 开始。建立信任后再放开。

护栏 2:版本控制

任何写代码的项目都用 git。每天 commit 一次。git stash 备好。

护栏 3:备份

重要文件 / 项目,三份备份:

  • 本地(git 历史)
  • 远程仓库(GitHub / GitLab)
  • 离线(外置硬盘 / NAS / 网盘)

护栏 4:分级权限

Codex 跑的环境,按风险分级:

Sandbox(一次性 VM / Docker)  → 完全自由
个人工作目录                   → Auto-approve safe
项目代码                       → Auto-approve safe + git
生产数据库                     → 只能读,绝不写
线上服务                       → 永远人审

护栏 5:回滚预案

任何不可逆操作前,想清楚"出错了怎么救回来"。没有救回方案的,就不做。

关键的"绝对不"

下面这些事,绝对不要让 Codex 自动做(哪怕它说能):

  • 直接 push 到 main / production 分支
  • DROP TABLEDELETE FROM 之类的危险 SQL
  • 调用付费 API 时不限额度
  • 操作生产数据库
  • 发邮件给客户(必须人最终确认)
  • 转账、付款、订购
  • 公开发布内容(必须 Triage)
  • 改账号设置 / 安全配置
  • sudo 系统级操作

21.5 第三层:决策层风险

AI 也会"一本正经地胡说"

AI 模型有"幻觉"——它会自信地给出错误信息。比如:

  • 引用一篇根本不存在的论文
  • 编造一个版本号
  • 告诉你 "X 库支持 Y 功能" 但实际上不支持
  • 给一个看起来对但其实错的法律 / 医疗建议

GPT-5 系列已经大幅减少幻觉,但没消除。任何重要决策,必须人验证。

哪些决策必须人来做

决策类型 谁拍板
法律决策(合同条款、权利义务) 律师
医疗决策(诊断、用药、手术) 医生
财税决策(投资、报税、债务) 会计师 / 财务顾问
心理 / 婚姻 / 家庭 心理咨询师 / 你自己
招聘 / 解雇 HR + 主管
重大投资 你 + 专业顾问
公司战略 高管会议
涉及人命的事 永远人

AI 可以辅助调研、给思路、列选项,但不能替你拍板

怎么用 AI 做"决策辅助"而非"决策代理"

正确姿势:

1. 让 AI 列出 5 个可选方案,每个的优缺点
2. 让 AI 列出做决策需要的关键信息
3. 你查证 / 思考 / 咨询 → 拍板
4. 让 AI 帮你执行你的决策

错误姿势:

1. 让 AI 直接告诉你"应该做什么"
2. 你不质疑就照做
3. 出问题怪 AI

验证 AI 输出的几种方法

方法 1:交叉验证

让两个 AI(Codex + Claude)独立分析同一个问题,看结论是否一致。不一致的部分重点关注。

方法 2:要求引用来源

回答中所有事实必须有引用,
"X 是 Y" 这种陈述必须给出处链接。
我会去验证。

方法 3:要求"反例"

你刚才的方案有什么风险?什么情况下会失败?
你是不是太乐观了?

让 AI 自己挑刺。

方法 4:找小样本验证

AI 给了 100 条数据分析结果,你抽 5 条人工验证。差错率 > 5% 就别信整体结果。

方法 5:找领域专家审

涉及专业领域的 AI 输出(法律、医疗、财务、技术架构),让人类专家过一遍。

21.6 隐私 vs 效率的权衡

完全的隐私 = 不用 AI(只能本地小模型,效果差很多)。 完全的效率 = 啥都给 AI(隐私崩塌)。

真实做法是平衡。 给一个判断框架:

        效率                            隐私
完全用 ─→  Codex 桌面 ─→  Codex CLI ─→  本地小模型 ─→  纯人工
ChatGPT      (含网络)   (配代理)    (Ollama 等)

不同任务用不同档位:

任务 推荐档位
写邮件 / 文档 Codex(任何模式)
处理工作日志 Codex Auto-approve
处理客户脱敏数据 Codex Auto-approve
处理客户原始数据 本地小模型 / 不用 AI
处理合同 / 法律 / 医疗 人工 / 本地小模型
处理国密信息 永远不用 AI

21.7 公司 vs 个人

公司用 AI 比个人复杂得多。涉及:

  • 数据合规(GDPR、个保法、行业规范)
  • 知识产权(AI 输出的代码 / 内容归谁?)
  • 审计要求(需要追溯到具体决策)
  • 责任归属(AI 出错谁负责)

给团队负责人的建议:

  1. 明确政策:写一份《AI 工具使用规范》,明确什么能用、什么不能用、违反怎么办
  2. 培训全员:每个人都要懂"哪些数据不能传"
  3. 技术控制:用企业版(Codex Business / Enterprise),有审计和数据隔离
  4. 审计日志:保存所有 AI 调用记录,方便追溯
  5. 责任协议:员工签 AI 使用承诺书

21.8 知识产权问题

AI 生成的代码 / 内容归谁

简单结论:归你(在你订阅的协议下)。

但有几个 caveat:

  • AI 训练用的数据可能含开源代码 / 受版权内容
  • 极端情况,AI 输出可能"撞车"现有作品
  • 商用前最好用工具检查"是否抄袭"

安全做法

  • 不要把 AI 生成的内容直接署名"原创"
  • 重要商业作品,让法务审一遍
  • 开源项目用 AI 生成的代码,遵守原项目 LICENSE

引用 AI 时的礼貌

公开内容里用了 AI 生成的部分,建议注明:

本文部分内容由 ChatGPT / Codex 协助生成,作者已审核并对最终内容负责。

不是法律要求,是建立读者信任的好做法。

21.9 对孩子 / 学生用 AI 的边界

如果你是家长 / 老师,这一节给你。

适合让孩子用的

  • 解释概念(让 AI 当小老师)
  • 讨论想法(练逻辑思维)
  • 修改作文(不是代写)
  • 做创意启发(写故事、画插画)
  • 学习外语(练对话)

不适合让孩子用的

  • 直接代写作业(剥夺学习过程)
  • 替代真人沟通(影响社交能力)
  • 无监管的搜索(可能接触不当内容)
  • 替代专业辅导(心理 / 学习障碍要找专业人士)

给孩子的"AI 时代素养"

  • 教会"怀疑精神":AI 说的不一定对
  • 教会"提问能力":好问题比好答案重要
  • 教会"独立思考":先有自己想法,再用 AI 验证
  • 教会"保护隐私":不要把家人 / 同学的隐私告诉 AI

21.10 一份个人 AI 使用准则

下面这份准则,你可以直接抄到 ~/.codex/AGENTS.md 顶部:

# 我的 AI 使用准则

## 数据
1. 不上传:身份证号、银行卡、密码、未公开财务、客户原始数据
2. 必须脱敏:姓名+联系方式组合、地址、医疗记录
3. 默认假设:传给 AI 的所有内容都可能在某天被人看到

## 操作
1. Read-only 模式作为默认(除非明确知道要写)
2. 任何 rm -rf、git push --force、sudo 必须我亲手批准
3. 不可逆操作前,确认有备份 / 回滚方案
4. 涉及金钱、邮件发送、对外发布的,永远人审

## 决策
1. AI 是参谋,不是决策者
2. 法律 / 医疗 / 财税决策必须有人类专家把关
3. 重要事项交叉验证:让两个 AI 独立判断
4. 不信任"看起来很 confident"的回答,要求引用

## 边界
1. 国密、未公开重大商业、客户原始数据 → 永远不传 AI
2. 创造性核心工作(自己的真正原创)→ 自己想,用 AI 改
3. 专业资质决策(医师、律师、会计签字)→ 人来签
4. 学习场景(孩子作业、自己学习)→ AI 当教练,不当替身

## 习惯
1. 每月清理 Memory,删除过时信息
2. 每月审查 Skills,下架不用的
3. 每季度回顾"用 AI 是否让我更聪明 / 更傻"
4. 每年问自己:还有哪些事我以为只能自己做,其实可以让 AI 做

21.11 AI 不会取代你,除非你不学

很多人因为安全和隐私顾虑,索性不用 AI。这个选择有它的合理性,但代价很大:

  • 工作效率不如同辈
  • 思维方式更新慢
  • 长期看竞争力下滑

正确姿势是"用,但有边界",而不是"完全用"或"完全不用"。

这一章给你的所有规则,本质都是为了让你长期、可持续地用。一个用了三年都没出过事故的 AI 重度用户,比一个"小心翼翼不敢用"的人和一个"出过大事故吓到不用了"的人都强。

21.12 本章小结

  • 三层风险:信息层(数据泄露)/ 操作层(错误执行)/ 决策层(错误判断)
  • 信息层:8 类数据永远不传 AI,必要时用脱敏 / 抽样 / 聚合 / 本地处理
  • 操作层:五道护栏(保守权限 / git / 备份 / 分级 / 回滚预案)
  • 决策层:AI 当参谋不当决策者,重要决策交叉验证 + 专家审
  • 隐私 vs 效率要平衡,不同任务不同档位
  • 公司用 AI 多一层合规:政策 / 培训 / 技术控制 / 审计 / 责任
  • 知识产权:归你,但有 caveat,建议署名注明
  • 孩子用 AI:当教练不当替身,培养怀疑精神
  • 抄一份"个人 AI 使用准则"到自己的 AGENTS.md

最后一章是收尾性的——AI 时代我们该怎么自处。第二十二章 · 未来展望