我前陣子讓我自己寫的求職機器人 ClawdBot 自動投履歷,過幾天回頭一看,「已應徵」名單裡有幾個職缺我完全沒印象——但確實是用我的信箱寄出去的。到現在我還沒搞清楚那是怎麼發生的。
這篇本來想寫一個很正常的「AI 安全清單」,列十條什麼「不要把密碼丟給 AI」「公司資料要小心」之類的東西。但寫到一半我自己發現這些已經太基礎,網路上隨便搜都有。
所以換個角度。我講一個真實踩坑,再從這個坑往外延伸到三個層次的問題。
一個我到現在還沒搞懂的事
背景先講一下:我自己用 Claude Code(Claude 給工程師用的版本,可以直接幫我做事,不只是聊天)寫了一個求職輔助機器人,內部代號叫 ClawdBot。它幫我做的事大概是:抓 104 上符合條件的職缺、整理欄位、用我預設好的範本寫求職信、必要時直接幫我送出。
我當然有做基本的資安檢查。常見的 web 自動化風險(注入、跳轉到奇怪頁面、抓到釣魚連結點下去)我都有防。權限也限制了——它只能在特定的網站上跑,碰不到我電腦的其他東西。
跑了幾週,我去看「已應徵」清單,發現有幾個職缺我完全沒印象。標題不熟、公司不熟、職務內容看了也想不起來自己有看過。但「應徵時間」「使用的履歷」「附的求職信」全都是我的。
我重新跑 log 看,能找到操作軌跡,但找不到「為什麼是這幾個」。是 ClawdBot 判斷錯誤把不該投的也投了?是我某段 prompt 寫得太寬鬆讓它過度發揮?還是它跟著哪個推薦連結點到我沒設定要看的職缺?
我不知道。到今天還是不知道。
這件事讓我學到一件事:AI 自動化失控的時候,最可怕的不是它做錯,是你不知道它做了什麼。
三個層次的 AI 安全
我把 AI 安全問題拆成三層,從最常被講到最少被講:
第一層:別把不該講的東西打進去
這個最基礎,但還是要提一下,因為意外的多人沒在意。
公司的客戶名單、合約內容、原始碼、密碼、個人身分證、信用卡——這些東西不要直接貼到 AI 對話框。理由很簡單:你不知道對方拿去做什麼。即使他們官網寫了「不會用你的資料訓練」,你也不知道是真的還是行銷話術。
這層的解法很簡單:用付費版(通常會說明資料不會被拿去訓練)、敏感資料先把人名公司名換掉再丟、真的怕的話用本地模型(在自己電腦上跑的 AI)。
第二層:你輸入的東西去哪了
這個比第一層細一點。
就算 AI 公司聲稱「不訓練你的資料」,資料也還是會被儲存——拿來做服務監控、拿來做產品改進、拿來在出問題的時候 debug。這些用途技術上都不算「訓練」,但你的資料就是被人看了。
所以第二層的問題不是「會不會被拿去訓練」,是「你的資料在對方伺服器上待多久、被誰看到、會不會外洩」。
ChatGPT 出過 bug 讓別的使用者看到你的對話標題,這件事不是假設,是真的發生過。Samsung 工程師把原始碼貼到 ChatGPT 然後被洩漏的事件也是真的。
這層的解法是:把 AI 當成一個「不太熟的同事」對待。你不會把所有事情都跟一個剛認識的同事講,跟 AI 講話也是一樣。
第三層:AI 開始幫你做事的時候
這層才是現在最值得擔心、也最少人在講的。
當 AI 從「回答你問題」變成「直接幫你動手做事」——寄信、訂行程、付款、買票、執行 shell 指令、修改你的文件——遊戲規則完全不一樣了。
之前你看到一個爛答案,最壞情況就是你沒用它。現在你給 AI 動手權限,AI 做錯,後果直接發生在現實世界。寄錯信、訂錯機票、付錯款、刪錯檔,全都是不可逆的。
我那個 ClawdBot 的故事就是這層的問題。前兩層我都顧到了,但是「自動化的副作用」這件事沒人寫過教科書。連我這種會寫工具的工程師都搞不清楚到底哪裡漏了,更不用說一般人用商業現成的 AI agent。
自動化要慢慢加,不要一次給太大權限
針對第三層,我自己踩坑後總結了幾個原則。寫得有點散,因為這個領域真的還很新,沒人有完美的答案。
用付費版。這個跨層級都適用。付費版多半會明確告訴你資料怎麼處理。
權限要明確劃。如果你給 AI 的指令是「幫我處理 email」,那是「處理」到什麼程度?只能讀?可以回?可以代替我寄新信?可以刪?這幾個權限的差異天差地遠,但很多 AI 工具預設給你最寬的,你要主動關。
所有自動操作要有 log。這個太重要了。我那個 ClawdBot 還有 log 我才能事後追,沒 log 的話我連「到底發生了什麼」都不知道。如果你用的 AI 工具沒有清楚的操作紀錄,遇到問題你就完全瞎了。
重要操作要有人類確認步驟。寄信、付錢、買東西、刪資料這些不可逆的事,再麻煩也要設一個「按確認才執行」的關卡。我現在已經把 ClawdBot 改成不能自動送出履歷,必須我看過按確認。慢一點,但不會再有「我今天是不是又被機器人代我幹了什麼蠢事」的焦慮。
從小範圍開始。要 AI 幫你做事,不要一上來就把整個工作流交出去。先給一個小任務,看它做得怎樣,再慢慢加範圍。我那個 ClawdBot 一開始太樂觀,把抓職缺、寫信、送出全包了,現在回頭看就是放太大。
結尾
那個我搞不懂寄到哪裡的求職信件,到現在還是個謎。我大概不會去找答案了,因為要還原當時的環境太麻煩,而且就算找到原因也沒有什麼好賠的——只是浪費那幾家公司 HR 的時間,跟我自己一點點面子。
但這件事提醒我,AI 自動化在 2026 年這個時間點,還沒到真的能放手讓它跑的程度。技術成熟度有限,工具的設計也都還在摸索。早期玩家的玩法就是:給它一點點權限,看它能不能做好,做好再給多一點。
不要相信任何「全自動 AI 助理,從此什麼都不用管」的行銷話術。那種東西現在不存在,硬要用就會出事。