一、账号密码与数据安全最致命严禁向大模型发送任何明文密码、密钥、Token、数据库连接串。包括服务器密码、MySQL 密码、Redis 密码、AK/SK、VPN 账号。内网敏感日志、业务日志必须先脱敏再丢给 AI。隐藏真实 IP、手机号、账号、订单号、密钥片段。不要把完整配置文件nginx.conf、docker-compose、.env直接发给 AI。只发需要修改的片段手动删敏感字段。Web 版 AI 绝对不能碰内网、生产数据库、核心服务器。只能做公网任务、文案、报表、非敏感脚本生成。桌面版 / 本地运行密码只在本地内存出现不要写进脚本历史、不要保存会话。二、权限控制最小权限原则重中之重AI 执行脚本一律用普通用户禁止 root / 管理员。给 AI 的服务器权限只给必要权限如查看日志、重启非核心服务禁止 chmod 777、禁止改系统配置。数据库只给只读权限严禁 AI 直接写 / 删数据。云资源给 AI 的子账号只能看监控、告警不能删实例、改安全组。任何自动化操作重启、扩容、删文件都要权限最小 可回滚 有审计。三、脚本 / 命令安全AI 生成代码最容易踩坑AI 生成的 Shell/Python 脚本必须「人工逐行审核」后再执行。重点看rm -rf、curl | bash、chmod、dd、mkfs、drop database。绝对禁止直接执行 AI 给的「一键脚本」尤其是含curl | bash、wget | sh的。先在测试机 / 沙箱跑一遍确认无破坏性再上生产。AI 脚本里如果出现「挖矿、下载不明脚本、替换系统文件」直接拉黑该会话。所有 AI 生成的命令禁止带--force、-f、-y自动确认必须人工确认。四、执行环境与隔离防止 AI 失控内网运维只用「本地桌面版 SSH 密钥」不要用 Web 版。给 AI 单独的执行账号 / 环境和生产账号隔离。定时任务、自动化流程全部放在「独立服务器 / 容器」执行不要在核心业务机跑。云端执行只能做报表、公网监控、文档、非敏感数据处理。任何 AI 自动化任务都要配置失败告警、超时终止、执行日志留存 90 天。五、业务风险与稳定性别让 AI 搞挂生产高风险操作重启核心服务、改配置、删数据、扩容 / 缩容必须「人工确认」禁止全自动。任何变更都要先灰度、再观察、再全量必须有回滚脚本。AI 做监控 / 自愈时要设置「执行次数上限」比如 1 小时内最多重启 2 次防止死循环。禁止 AI 自动处理 P0/P1 级故障只能辅助分析决策必须人来做。AI 给出的故障结论只能当参考不能直接信大模型会编造不存在的日志 / 错误。六、模型本身风险大模型的通病大模型会「幻觉」编造命令、编造日志、编造错误信息。必须交叉验证不能直接照做。提示词注入风险如果日志里有恶意构造的提示词可能诱导 AI 执行危险命令。日志要先过滤 / 脱敏再给 AI。模型更新后行为会变以前安全的脚本下次生成可能带坑。每次都要重新审核。不要把长期机密如核心架构、漏洞细节反复发给 AI减少泄露面。七、流程、审计、合规出事能追溯所有 AI 运维操作必须留全链路日志提问内容、生成脚本、执行时间、执行人、结果。禁止匿名操作谁用 AI 做了什么必须实名可追溯。定期复盘每周看 AI 执行记录检查有没有越权、危险操作。合规涉及用户数据、支付数据必须符合数据安全法AI 不能处理未脱敏的个人敏感信息。八、极简总结日常照这 10 条做就够密码不上云、不上 Web AI。脚本必审、必沙箱测试。权限最小化禁止 root。内网只用桌面版 SSH 密钥。高风险操作人工确认不自动。日志先脱敏再给 AI。自动化要有次数限制、超时终止。AI 结论只参考不盲从。全链路留日志可追溯。先测试、再灰度、再生产必带回滚。