一、账号密码与数据安全(最致命)
- 严禁向大模型发送任何明文密码、密钥、Token、数据库连接串。 包括:服务器密码、MySQL 密码、Redis 密码、AK/SK、VPN 账号。
- 内网敏感日志、业务日志,必须先脱敏再丢给 AI。 隐藏:真实 IP、手机号、账号、订单号、密钥片段。
- 不要把完整配置文件(nginx.conf、docker-compose、.env)直接发给 AI。 只发需要修改的片段,手动删敏感字段。
- Web 版 AI 绝对不能碰内网、生产数据库、核心服务器。 只能做公网任务、文案、报表、非敏感脚本生成。
- 桌面版 / 本地运行:密码只在本地内存出现,不要写进脚本历史、不要保存会话。
二、权限控制(最小权限原则,重中之重)
- AI 执行脚本,一律用普通用户,禁止 root / 管理员。
- 给 AI 的服务器权限:只给必要权限(如查看日志、重启非核心服务),禁止 chmod 777、禁止改系统配置。
- 数据库:只给只读权限,严禁 AI 直接写 / 删数据。
- 云资源:给 AI 的子账号只能看监控、告警,不能删实例、改安全组。
- 任何自动化操作(重启、扩容、删文件)都要:权限最小 + 可回滚 + 有审计。
三、脚本 / 命令安全(AI 生成代码最容易踩坑)
- AI 生成的 Shell/Python 脚本,必须「人工逐行审核」后再执行。 重点看:
rm -rf、curl | bash、chmod、dd、mkfs、drop database。 - 绝对禁止直接执行 AI 给的「一键脚本」,尤其是含
curl | bash、wget | sh的。 - 先在测试机 / 沙箱跑一遍,确认无破坏性再上生产。
- AI 脚本里如果出现「挖矿、下载不明脚本、替换系统文件」,直接拉黑该会话。
- 所有 AI 生成的命令,禁止带
--force、-f、-y自动确认,必须人工确认。
四、执行环境与隔离(防止 AI 失控)
- 内网运维只用「本地桌面版 + SSH 密钥」,不要用 Web 版。
- 给 AI 单独的执行账号 / 环境,和生产账号隔离。
- 定时任务、自动化流程,全部放在「独立服务器 / 容器」执行,不要在核心业务机跑。
- 云端执行只能做:报表、公网监控、文档、非敏感数据处理。
- 任何 AI 自动化任务,都要配置:失败告警、超时终止、执行日志留存 90 天。
五、业务风险与稳定性(别让 AI 搞挂生产)
- 高风险操作(重启核心服务、改配置、删数据、扩容 / 缩容)必须「人工确认」,禁止全自动。
- 任何变更都要:先灰度、再观察、再全量;必须有回滚脚本。
- AI 做监控 / 自愈时,要设置「执行次数上限」(比如 1 小时内最多重启 2 次),防止死循环。
- 禁止 AI 自动处理 P0/P1 级故障,只能辅助分析,决策必须人来做。
- AI 给出的故障结论,只能当参考,不能直接信(大模型会编造不存在的日志 / 错误)。
六、模型本身风险(大模型的通病)
- 大模型会「幻觉」:编造命令、编造日志、编造错误信息。 必须交叉验证,不能直接照做。
- 提示词注入风险:如果日志里有恶意构造的提示词,可能诱导 AI 执行危险命令。 日志要先过滤 / 脱敏再给 AI。
- 模型更新后行为会变:以前安全的脚本,下次生成可能带坑。 每次都要重新审核。
- 不要把长期机密(如核心架构、漏洞细节)反复发给 AI,减少泄露面。
七、流程、审计、合规(出事能追溯)
- 所有 AI 运维操作,必须留全链路日志:提问内容、生成脚本、执行时间、执行人、结果。
- 禁止匿名操作:谁用 AI 做了什么,必须实名可追溯。
- 定期复盘:每周看 AI 执行记录,检查有没有越权、危险操作。
- 合规:涉及用户数据、支付数据,必须符合数据安全法,AI 不能处理未脱敏的个人敏感信息。
八、极简总结(日常照这 10 条做就够)
- 密码不上云、不上 Web AI。
- 脚本必审、必沙箱测试。
- 权限最小化,禁止 root。
- 内网只用桌面版 + SSH 密钥。
- 高风险操作人工确认,不自动。
- 日志先脱敏,再给 AI。
- 自动化要有次数限制、超时终止。
- AI 结论只参考,不盲从。
- 全链路留日志,可追溯。
- 先测试、再灰度、再生产,必带回滚。