

你以為跟 AI 講話,就像跟手機 Siri 講話一樣——你的話進到「AI 的腦袋裡」,回完就消失?
這是 2026 年最普遍、也最危險的誤解。實情是:你按下 Enter 那一秒鐘,你的整段對話會被打包成 HTTPS 請求、送到供應商機房、寫進至少一份日誌、可能進入訓練資料、被內部安全團隊抽查、甚至在供應商被駭的時候一起外洩出去。LLM 本身連記憶體都沒有,所有「記得你」的錯覺,是聊天介面每次幫你重傳整段歷史造成的。
這篇文章不教你「不要貼金鑰」這種廢話——你應該已經聽過一百次了。這篇要拆給你看,從你按下 Enter 到模型回覆中間,你的字串實際會經過 6 個地方,每一個地方都有可能讓你的 API key、客戶名單、合約條款留下痕跡。等你看完這 6 站,就會自己知道為什麼 OpenAI、Anthropic 在條款裡藏了那麼多細節。
「對話只在 AI 記憶體裡」這個誤解是怎麼來的
會這樣想,是因為 ChatGPT、Claude、Gemini 的對話介面長得太像 LINE 跟 Messenger 了。你打字、按送出、它回你,連歷史訊息都還在那邊滾——直覺上會覺得這些字應該就存在「那個 AI 的腦袋」裡。
但 LLM(大型語言模型)根本不是這樣運作的。Atlan 的技術解說很直接:「LLM hold no memory of prior interactions, store no session data between calls」——LLM 在每次呼叫之間什麼都不記得,沒有 session、沒有狀態、沒有持續的內部記憶體。每一次你按送出,模型都是從零開始讀完整段對話。
那為什麼它「記得」我們前幾句講了什麼?答案是:聊天介面每次都把整段歷史重新塞回去當輸入。你按第三次送出時,伺服器送進模型的會是「第一句 + 第一個回覆 + 第二句 + 第二個回覆 + 第三句」整包重新跑一次。這也是為什麼長對話會越來越慢、越來越貴——每次呼叫都在處理累積的全部文字。
這個事實有兩個含意,而且兩個都跟資安直接相關:
(1)你說的每一句話,都必須被「保存」在某個地方才有辦法下一次重傳。負責保存的角色是聊天介面背後的伺服器,模型自己沒這個能力。
(2)這個保存地點不在你的電腦——你關掉瀏覽器、它還在;你刪除對話、它可能還在;你以為的「私密對話」,本質上是一份伺服器端的純文字記錄。
ℹ️一句話結論
AI 對話不像 LINE 訊息——對方手機沒收到就沒事。AI 對話像是把字條送進一間有監視器的辦公室,請坐在桌前的人讀完再回你一張字條。字條原文、回應、進出時間,都在辦公室紀錄裡。
從按 Enter 到模型回覆,對話實際經過的 6 個地方
這是整篇文章的核心。每一站都有人可以接觸到你的字串,也都有失守的可能。
第一站,你的瀏覽器到供應商邊緣節點
這段走的是 HTTPS,理論上有 TLS 加密。但你裝的瀏覽器擴充功能、桌面截圖工具、企業 MDM 監控軟體都能在加密之前抓到你輸入的字。2024 年國外資安公司曝光過數千支瀏覽器擴充功能會記錄使用者輸入,AI 對話框是高風險目標。第 1 站還沒到供應商,就有可能被攔截。
第二站,邊緣節點到 API 閘道
供應商前面通常擋一層 Cloudflare 或自家 CDN,做 DDoS 防護跟地域限流。這層會看到你的 IP、UA、Authorization header(如果你是用 API),但理論上只看 metadata、不解開 body。問題是這層的日誌通常會留 30 天以上,當你的 IP 被標記為 abuse 來源時,整段請求 metadata 可能被調出來追蹤。
第三站,API 閘道驗證與請求日誌
這是最關鍵的一站,也是最容易被忽略的一站。無論免費版、付費版、企業版,所有供應商都會在這層寫請求日誌——包含你的完整 prompt 跟模型回覆。理由有三個:debug 追蹤、abuse detection(防止有人拿 AI 做壞事)、合規審查。
這份日誌的保存時間長短,才是各家供應商最大的差異點。OpenAI 官方文件寫得很清楚:標準 ChatGPT 對話「即使你手動刪除,也會保留 30 天」;Temporary Chat 模式同樣 30 天才會清掉。Anthropic 則在 2025 年 9 月把 API 的日誌保留時間從 30 天縮短到 7 天,這是業界少見的逆向操作——多數供應商往延長走,Anthropic 往縮短走。
⚠️court order 的鬼故事:你以為 30 天,可能變成永久
OpenAI 在 2025 年 5 月被法院下令,為了著作權訴訟必須無限期保留所有 ChatGPT 對話日誌。直到 2025 年 9 月 26 日法院解除這項命令,OpenAI 才能恢復 30 天政策。也就是說 2025 年 4 月到 9 月之間你跟 ChatGPT 講的每一句話,現在還躺在 OpenAI 的伺服器裡——而且未來如果再有類似訴訟,這個 30 天承諾隨時可能再次失效。

第四站,模型推論伺服器(GPU 叢集)
這是真正「跑模型」的地方。你的整段對話會被轉成 token,送進 GPU 跑一次前向推論,吐出回覆,然後——這個 GPU 立刻清空狀態、處理下一個請求。
這是前面說的 stateless 真正發生的地方:模型本身的記憶體在你這次請求結束的瞬間就被清乾淨了。下一個跟你完全無關的人用同一張 GPU,看不到你剛才輸入的任何字串。
換句話說:「資料留在 AI 記憶體裡」這個說法完全錯。資料留在的是第 3 站的請求日誌跟下面要講的第 5 站的訓練資料候選池。模型推論本身反而是這條管線裡資料停留最短的一站。
第五站,訓練資料候選池(最危險的一站)
到這裡才是真正的關鍵:你的對話會不會被拿去訓練下一代模型?
免費版的預設答案,幾乎都是「會」。OpenAI 在 2026 年 3 月才正式公開承認,ChatGPT 免費版的對話預設會進訓練資料 pipeline,使用者要自己進設定關掉。Anthropic 則做了相反選擇——2025 年 8 月的條款更新讓 Claude 個人版可以「opt-in」分享資料訓練,如果你打開這個 toggle,對話保留時間從 30 天暴增到 5 年。沒打開就維持 30 天標準。
這一站真正可怕的是訓練資料一旦進入模型權重,就再也拿不出來了。即使供應商之後刪掉原始檔案,模型本身已經把那段 pattern 學起來了。未來有人問對的問題,模型有機率把你的內容用「自己的話」說出來——這在學界叫做 memorization regurgitation,已經有論文證實過會發生。
🚨Samsung 三件事教給全世界
2023 年 3 月,三星半導體部門短短 20 天內爆出三起員工把機密貼進 ChatGPT 的事件:一位工程師把整段半導體源碼貼進去問怎麼除錯、一位把錄音會議轉文字後請 AI 幫忙整理筆記、一位用 ChatGPT 優化晶圓良率測試流程。三件事都進了 OpenAI 的訓練資料池。三星後來全面禁用外部 AI,但傷害已經造成。詳細復盤可看 Dark Reading 的報導。
第六站,人工抽查、備份、跨區複製
最後一站常常被忽略:供應商的 abuse 偵測團隊、合規團隊、政府配合單位,都有權限調閱請求日誌。Anthropic 明確寫在條款裡——「對話會被用於 real-time safety check」,而 OpenAI Enterprise 版的 admin 也能看到員工的對話內容(這是設計給企業合規用的,不是 bug)。
此外,所有大型供應商都會做跨區域備份。你以為的「美國伺服器」對話,可能複製到歐洲、亞太的災難復原站。每多一份備份,就多一個外洩點。2024 年 ChatGPT 跟 Anthropic 都發生過資料外洩事件,Cybersecurity For Me 整理過完整時間線。
六站總整理:
站點 | 資料停留時間 | 誰能看到 | 外洩風險 |
|---|---|---|---|
1. 瀏覽器 → 邊緣 | 毫秒級 | 瀏覽器擴充、MDM、惡意軟體 | 中 |
2. 邊緣 → API 閘道 | Metadata 30+ 天 | Cloudflare、CDN 商 | 低(只有 metadata) |
3. 請求日誌 | OpenAI 30 天 / Anthropic API 7 天 / 企業版自訂 | 供應商工程師、abuse team | 高 |
4. 模型推論 | 毫秒級(推論結束即清) | 無(stateless) | 極低 |
5. 訓練資料池 | 永久(一旦進權重就拿不出來) | 模型本身 + 未來所有使用者 | 極高 |
6. 備份 / 跨區複製 | 通常 90 天起跳 | 合規團隊、政府單位、被駭時的攻擊者 | 中高 |
為什麼 API key 比一般機密嚴重十倍

看到這裡你可能會想:那我貼合約、貼客戶名單也有同樣問題,為什麼要特別講 API key?
因為 API key 是bearer token——拿到的人不需要密碼、不需要 2FA、不需要驗證身份,只要把這串字放進 HTTP header 就能直接呼叫 API 花你錢。其他資料外洩,攻擊者還要思考怎麼利用;API key 外洩,攻擊者直接複製貼上就能變現。
規模有多誇張?GitGuardian 的 2026 年 State of Secrets Sprawl 報告提供了讓人坐不住的數字:2025 年光是公開 GitHub repo 就新增了 2865 萬筆硬編碼祕鑰,比前一年多 34%;其中 OpenAI API key 的洩漏量比 2022 年增加了 1212 倍,平均每個月有 46441 把新外洩的 API key。
更糟的是「殘存率」。同份報告顯示 2022 年外洩的祕鑰,64% 到 2026 年還能用——大部分人外洩完根本沒撤銷。GitGuardian 還抓到一個讓開發者老闆很尷尬的數字:AI 輔助寫的 commit,洩漏祕鑰的比率是 3.2%,比沒用 AI 寫的高出兩倍。原因是 Vibe Coding 工具會自動把 API key 寫進範例程式碼,新手如果沒檢查就 push 上 GitHub。
實際發生過的災難案例可以看The Cyber Express 報導的 8000+ 把 ChatGPT API key 外洩事件——研究員一次找到 5000 個公開 GitHub repo、3000 個正式上線網站把 OpenAI API key 直接寫死在前端 JavaScript 裡。這些 key 被自動爬蟲撈走後,會被用來跑各種濫用工作流,最後帳單寄回原本的開發者。
🚨API key 外洩的真實時間軸
從你把 key push 到公開 repo,到被自動掃描工具撈走,平均不超過 4 分鐘。攻擊者拿到後通常會先用低額度測試 key 是否有效(避免被你發現),確認有效後立刻丟到地下市場拍賣或自用。等你三天後收到信用卡帳單異常通知,往往已經跑掉幾千美金。秦亭亭事件之所以炸出來,就是當事人開始被 OpenAI 寄帳單追討。
OpenAI、Anthropic、Google 三家的資料政策差異
選 AI 工具時不能只看誰回答得好,得看誰把你的資料當回事。三家主流供應商的政策落差比想像中大:
項目 | OpenAI(ChatGPT) | Anthropic(Claude) | Google(Gemini) |
|---|---|---|---|
免費版預設訓練 | 是(要自己關) | 否(要 opt-in 才訓練) | 是(要自己關) |
API 預設訓練 | 否 | 否 | 否 |
API 日誌保留 | 30 天 | 7 天(2025/9/14 起) | 30-60 天 |
Zero Data Retention 選項 | Enterprise 限定 | Enterprise 限定(金融、醫療優先) | Workspace 客戶可申請 |
Opt-in 訓練後保留 | 無此選項 | 5 年 | 無此選項 |
台灣常用度 | 高 | 中(開發者較多) | 高(Workspace 帶起來) |
如果你是中小企業老闆要選一個給員工日常用的工具,Anthropic Claude 在「個人版預設不訓練 + API 7 天日誌」這兩點上是目前最保守的。但這不代表貼金鑰就安全——7 天還是足夠讓內部抽查、被駭、被法院命令調閱。
已經貼進去了怎麼辦:4 步驟撤銷 SOP
如果你或你的員工已經把 API key、密碼、合約貼進 AI 對話了——別假裝沒看到,接下來 30 分鐘做的事決定損失大小。
步驟 1:立刻撤銷外洩的 key(5 分鐘內)
先別管刪對話,刪了也沒用,第 5 站還留著。真正要做的是讓那串字失效。到對應平台撤銷後重新生成:
# OpenAI: https://platform.openai.com/api-keys
# Anthropic: https://console.anthropic.com/settings/keys
# Google Cloud: gcloud auth application-default revoke
# AWS: aws iam delete-access-key --access-key-id AKIAxxx
# GitHub Personal Access Token: https://github.com/settings/tokens
# Stripe: https://dashboard.stripe.com/apikeys (Roll key 按鈕)步驟 2:查帳單、查使用量(30 分鐘內)
到該服務的使用量儀表板,往前看 7 天用量曲線。如果有不正常的高峰(半夜暴增、模型呼叫量異常、地理位置奇怪),代表 key 已經被使用過。把這段時間的 log 截圖、出帳明細存檔,後面跟供應商申訴可能用得到。
步驟 3:刪除 AI 對話 + 申請資料刪除(當天內)
這一步無法保證效果——前面說過第 3 站日誌 30 天才清、第 5 站訓練資料進去就拿不出來——但還是要做,至少可以阻止對話進入未來新一輪的訓練資料採集。OpenAI 有「資料刪除請求」表單可以填,Anthropic 直接在設定裡有「Delete all data」按鈕。
步驟 4:盤點誰有同一份 key 的使用權(一週內)
最容易被忽略的一步。一把 API key 通常不會只貼一個地方——可能還在你的程式碼、CI/CD 環境變數、Notion 共享頁面、Slack 私訊裡。撤銷舊 key 後,要把所有用到那把 key 的地方都換成新 key,不然合法服務會因為 key 失效而掛掉。可以參考別讓 Claude Code 看到你的 .env:四道防線完整守住敏感檔案這篇的具體 SOP。
預防勝於補救
做完撤銷只是把流血止住。下一步是讓自己再也不會把 key 貼進對話框:用環境變數、用 secret manager、用 .gitignore 把 .env 擋掉、用 pre-commit hook 自動掃描敏感字串(git-secrets、TruffleHog、Gitleaks 都是免費好用的工具)。
老闆視角:怎麼預防外包工程師把你的客戶 key 貼進 AI

這部分寫給有外包合作關係的老闆。你會看這篇,多半是因為公司有金鑰、有客戶資料、有員工或外包在用 AI——而你想知道風險邊界。
以恆遠數位行銷這幾年承接客製化開發專案的經驗來看,外包端最常踩坑的三種情境是:
(A)外包工程師為了 debug,把客戶 production 環境變數連同 .env 整份貼進 ChatGPT 問怎麼修,金鑰、資料庫密碼一起進去。
(B)外包用 Cursor、Claude Code 等 AI 編輯器,沒設定 ignore,整個 repo 包含 .env 都被當 context 上傳。
(C)內部員工用免費版 AI 整理客戶報價單、合約附件,連同金額條款一起被當訓練資料留底。
給老闆的三條紅線,寫進外包合約裡比口頭叮嚀有用一百倍:第一條,所有跟客戶資料相關的 AI 使用必須走付費企業版 + Zero Data Retention 條款;第二條,金鑰、密碼、客戶清單只能透過 secret manager 流轉,禁止任何形式的對話框輸入;第三條,使用 AI 輔助開發必須設定檔案排除清單,至少擋掉 .env、credentials.json、*.pem。這套合約模板可以參考Claude Security 公測上線完整解析這篇的條款範例。
如果你內部已經有員工日常在用 AI,補強更完整的訓練 SOP 可以看員工日常用 AI 不洩密完整 SOP:5 種高風險場景、7 條安全 Prompt 範本與 30 天升級計畫,那篇把 prompt 變數化的範本寫得很細。針對 AI agent / Vibe Coding 場景的越權風險,AI agent 越權存取資料完整防禦指南這篇也補了 6 步驟封鎖影子 AI 的清單。
ℹ️需要做完整資安盤點?
如果你不確定自家或外包團隊現在的 AI 使用習慣有沒有風險,可以預約一次免費 AI 顧問諮詢:/services/ai-consult。我們會用一張盤點表帶你跑一遍員工、外包、SaaS 三個面向的金鑰流動路徑。
如果你或你的團隊剛開始接觸 AI 寫程式,還不熟悉「環境變數」「.env」這些概念,可以先看Vibe Coding 是什麼?完全不會寫程式的人,4 個工具加 7 天行動計畫這篇打基礎。律師、會計師、行銷團隊用 AI 處理客戶資料的場景,也建議搭配律師事務所 AI 工作流完整指南跟AI 幫你寫 Email:7 種商務場景範本一起看,前者談機密處理紅線、後者談變數化代稱技巧。
常見問題(FAQ)
Q我用的是付費版 ChatGPT Plus,是不是就安全?
Plus 跟免費版在「對話會不會被訓練」這點上是不同的——Plus 預設不訓練。但其他 5 站都還在:請求日誌一樣保留 30 天、abuse team 一樣能調閱、跨區備份一樣存在。要徹底擋住訓練 + 日誌,要 Enterprise 版 + Zero Data Retention 條款。
QClaude 跟 ChatGPT 哪個比較安全?
從預設政策來看,Anthropic Claude 個人版「預設不訓練」+「API 日誌只留 7 天」這兩點目前是業界最保守。但實際安全程度取決於你怎麼用——付費企業版 + 員工訓練 SOP 比選哪家更重要。
Q我刪除對話歷史,資料就消失了嗎?
錯。OpenAI 官方寫得很清楚——你手動刪除的對話跟 Temporary Chat,都會在系統裡再保留 30 天才清掉。如果中間遇到法院命令(像 2025 年 5 月那次),這 30 天可能變成永久。Anthropic 比較積極,但 API 端的 7 天保留仍然存在。
Q如果 API key 已經被貼進 ChatGPT 怎麼辦?
立刻撤銷重生這把 key,不要拖。撤銷後到使用量儀表板查 7 天用量有沒有異常、把所有用到舊 key 的服務換上新 key、申請刪除對話、寄信給供應商說明事件留下紀錄。流程細節在本文「4 步驟撤銷 SOP」段落。
QZero Data Retention(ZDR)是什麼?怎麼申請?
ZDR 是企業客戶可以跟 OpenAI、Anthropic 簽的補充條款,承諾所有 API 請求「不寫日誌、不留存」,只做即時安全檢查。通常給金融、醫療、法律等敏感行業。一般中小企業要走銷售窗口申請,要走資安審核。如果你的客戶資料是這個等級的敏感度,這項條款很值得花成本去簽。
Q員工不小心把客戶名單貼進 AI 了,會違反個資法嗎?
可能會。台灣個資法第 27 條規定企業必須採取「適當安全措施」防止個資外洩,把客戶資料貼進會留底的第三方 AI 服務,事業主可能被認定未盡保護義務。實際法律責任要看資料敏感度、外洩規模、補救行為。建議出事後先諮詢律師,並保留撤銷、刪除、通報的所有紀錄。
結論:把 6 站記在心裡,比死背規則有用
這篇的目的不只是讓你記住「不要貼金鑰」這條規則,更重要的是讓你看完之後自己想得通為什麼這件事很嚴重。LLM 沒有記憶體,但你的對話會經過 6 個有人能讀、有日誌會留、有訓練資料會抓的節點。每多一個節點,就多一份外洩風險。
ℹ️技術原理懂了,看一個真實的「企業踩坑」案例
這篇拆解了對話經過的 6 個技術節點與三大供應商資料政策。如果你想看技術原理在真實世界怎麼被踩——三星半導體部門解禁 ChatGPT 不到三週、三位工程師分別把資料庫程式碼、瑕疵設備識別程式、整場機密會議逐字稿丟進 ChatGPT,再到事後 26 天滅火與 Samsung Gauss 自建 LLM——可以接著看 Samsung 三起 ChatGPT 洩密事件完整復盤。
回到開頭的問題——AI 對話為什麼不能貼金鑰?答案是:你的對話對象是一條橫跨瀏覽器、邊緣節點、API 閘道、模型推論、訓練資料池、人工抽查、跨區備份的長管線。管線越長,金鑰能流到的地方越多,能被人拿來花你錢的可能性就越高。
這也是為什麼恆遠在每一份客製化系統開發合約裡,都會把 AI 工具的使用紅線寫進條款。如果你正在評估自家或外包團隊的 AI 使用習慣,歡迎預約一次免費的 AI 顧問諮詢,我們會幫你跑一遍員工、外包、SaaS 三個面向的金鑰流動盤點。
AUTHOR
自由揚John
想了解更多?看看我們的相關服務
相關文章

中小企業老闆 AI 寫程式合規稽核完整指南:Cursor / Copilot / Claude Code 4 條法遵紅線、5 個資料外洩情境、3 條稽核模板

企業機密資料 secrets 管理採購完整指南:HashiCorp Vault / AWS Secrets Manager / Doppler / 自架 4 條路徑、5 個決策節點、3 種團隊規模預算

我們公司怎麼跑出 20+ AI 流程?系列第 5 篇:內部週報 dashboard 自動生成 SOP,4 個資料來源、3 條品質規則、2 個 human-in-the-loop 節點

公司網域 email 冒名詐騙止血 SOP:SPF / DKIM / DMARC / BIMI 4 條防護配置 + 3 種釣魚攻擊拆解完整指南

AI 生成音訊與語音商用著作權合規完整指南:ElevenLabs / Suno / Descript 5 條紅線 + 3 種商用場景踩雷

留言(0)
尚無留言,成為第一個留言的人吧!