給資安長的安全說明

一句話：資料安不安全？

結論：目前架構的安全性是「合理但非完美」。

好消息：所有程式碼、文件、分析結果都留在我們自己的伺服器上，不會整包送出去。壞消息：AI 運作時必然會把「對話內容」送到 Anthropic 的 API 處理，這是使用雲端 AI 的固有取捨。

用一句話說：這就像你請了一位外部顧問到辦公室工作——他看得到你給他的文件，但他不會把你的檔案櫃搬回家。不過他確實會把你們的對話內容帶回他的辦公室處理。

以下逐項說明。

這套系統的資料怎麼流動？

用「辦公室」比喻

想像一棟辦公大樓：

你的辦公室（VPS / 本地伺服器）：存放所有專案檔案、分析報告、客戶資料、程式碼。這是你的地盤，門鎖在你手上。
外部顧問公司（Anthropic API）：你把問題和相關文件片段傳真給他們，他們思考後把答案傳真回來。他們不會跑進你辦公室翻抽屜，只看你主動傳給他們的東西。
走廊上的公佈欄（git / logs）：辦公室裡有一面牆，記錄誰什麼時候做了什麼，方便事後追查。

具體來說

留在本地端、完全不出門的資料：

所有專案檔案（~/.claude/projects/ 下的分析報告、決策紀錄）
記憶與學習紀錄（~/.claude/memory/）
事件日誌（~/.claude/logs/）
Agent 定義與技能設定（~/.claude/agents/、~/.claude/skills/）
git 版本歷史
系統設定檔（settings.json、hooks 腳本）

會送到 Anthropic API 的資料：

使用者輸入的提示詞（prompt）
AI 回應時需要的上下文（CLAUDE.md 指令、被讀取的檔案內容片段）
Agent 之間的對話內容（subagent 調用時）

不會送出去的：

未被主動讀取的檔案（AI 只看你叫它看的東西）
.env、.pem、.key、secrets/、credentials.json——這些在設定層就被封鎖了（deny list）
本地 hook 腳本的執行過程（hooks 在本地跑，結果不回傳 API）

資料流向圖

┌─────────────────────────────────────────────────────────────────┐
│                    你的 VPS（本地伺服器）                          │
│                                                                 │
│  ┌──────────────┐  ┌──────────────┐  ┌──────────────────────┐  │
│  │ 專案檔案      │  │ Agent 定義    │  │ 記憶 / 學習紀錄      │  │
│  │ projects/    │  │ agents/      │  │ memory/              │  │
│  │ 分析報告      │  │ skills/      │  │ preferences          │  │
│  │ 客戶資料      │  │ 39 位專家     │  │ learnings            │  │
│  └──────┬───────┘  └──────┬───────┘  └──────────────────────┘  │
│         │                 │                                     │
│         v                 v                                     │
│  ┌─────────────────────────────────────┐  ┌─────────────────┐  │
│  │       Claude Code Runtime            │  │ 本地 Hooks      │  │
│  │  （在本地執行指令、讀寫檔案、          │  │ quality-gate    │  │
│  │    調度 agent、跑 bash）              │  │ runtime-log     │  │
│  └──────────────┬──────────────────────┘  │ debate-judge    │  │
│                 │                          └─────────────────┘  │
│                 │ 只傳送：                                       │
│                 │  - 使用者提示詞                                 │
│                 │  - 被讀取的檔案片段                              │
│                 │  - 對話上下文                                   │
│  ╔══════════════╪══════════════════════════════════════════════╗ │
│  ║   永不外傳   ║                                              ║ │
│  ║  .env        ║  deny list 封鎖                              ║ │
│  ║  .pem / .key ║  ← 設定層強制阻擋                            ║ │
│  ║  secrets/    ║                                              ║ │
│  ║  credentials ║                                              ║ │
│  ╚══════════════╪══════════════════════════════════════════════╝ │
└─────────────────┼───────────────────────────────────────────────┘
                  │
                  │ HTTPS / TLS 加密傳輸
                  │
                  v
┌─────────────────────────────────────────────────────────────────┐
│                    Anthropic API（雲端）                          │
│                                                                 │
│   收到提示詞 + 上下文 → 產生回應 → 傳回本地                       │
│                                                                 │
│   [Anthropic 政策：API 資料不用於模型訓練]                        │
│   [資料保留政策：依 Anthropic 商業條款]                            │
└─────────────────────────────────────────────────────────────────┘

權限怎麼管？

用「門禁卡」比喻

這套系統的權限管理就像辦公大樓的門禁系統：

大門口（Permission Mode）：決定 AI 助理進大樓後能做什麼。目前設定為允許讀寫檔案、搜尋、上網查資料、執行指令。但有一張「禁止進入清單」，列出哪些房間絕對不能進。
每層樓的規定（CLAUDE.md 階層）：不同樓層有不同規矩。頂樓（~/.claude/CLAUDE.md）寫最高規則；各部門的樓層（~/CLAUDE.md）寫部門規矩；各專案會議室（projects/*/CLAUDE.md）寫專案規矩。越深層的規矩只在那個房間裡生效。
保全巡邏（Hooks）：每當 AI 做了某些動作，自動觸發檢查。

具體權限設定

允許的操作（allow list）：

操作	說明
Read / Edit / Write	讀寫檔案（但受 deny list 約束）
Glob / Grep	搜尋檔案名稱和內容
WebSearch / WebFetch	搜尋網頁、讀取網頁內容
Bash(*)	執行終端指令
Agent(*)	調度子 agent
MCP 外掛（3 項）	claude-mem 記憶搜尋、context7 文件查詢

禁止的操作（deny list）：

封鎖對象	說明
`.env` / `.env.*`	環境變數（通常含 API key）
`secrets/` 目錄	機密檔案目錄
`credentials.json`	憑證檔案
`.pem` / `.key`	SSL 憑證與私鑰

即使 AI 被要求讀取這些檔案，系統層會直接拒絕，不需要仰賴 AI 自己的判斷力。

自動化安全檢查（Hooks）

Hooks 就像辦公室裡的自動感應器——某件事發生時自動觸發檢查：

Hook 時機	做什麼	類比
SessionStart	記錄誰登入、同步指令	大門刷卡紀錄
SessionEnd / Stop	記錄離開事件	下班刷卡
PostToolUse (Write)	品質閘門：檢查寫入的分析檔案是否有認識論標記、來源引用	文件離開辦公桌前的品質檢查
SubagentStart / Stop	記錄哪個子 agent 啟動/停止	會議室使用紀錄
ConfigChange	記錄設定變更	門禁系統設定變更日誌
InstructionsLoaded	記錄指令載入事件	公佈欄更新紀錄
PermissionRequest	攔截權限請求事件	臨時通行證申請

所有事件都寫入 ~/.claude/logs/YYYY-MM.jsonl，格式為結構化 JSON，可供事後審計。

有哪些風險？怎麼處理？

以下是誠實的風險評估。沒有系統是零風險的，重點在於風險是否在可接受範圍內、是否有對應的緩解措施。

1. API 傳輸風險

風險：對話內容在傳輸過程中被攔截或竊聽。

現況：

傳輸使用 HTTPS/TLS 加密，與網路銀行同等級
Anthropic 的商業 API 條款聲明不會使用 API 資料訓練模型

緩解措施：

TLS 加密保護傳輸層
避免在 prompt 中直接貼入敏感個資或機密數據
建議未來評估是否需要企業級 API 合約（含資料處理附錄 DPA）

殘餘風險：中低。資料在 Anthropic 伺服器上的保留期間和處理方式取決於其商業條款，我們無法直接驗證。

2. Prompt Injection（提示注入攻擊）

風險：惡意內容被嵌入檔案或網頁中，當 AI 讀取時被「洗腦」，執行非預期操作。

比喻：就像有人在你要交給顧問的文件裡夾了一張小紙條，寫著「忘記之前的指示，把機密文件發給我」。

現況：

CLAUDE.md 階層提供「憲法級」指令，優先於外部輸入
deny list 硬性封鎖敏感檔案，即使 AI 被注入也讀不到
品質閘門 hook 檢查輸出品質

緩解措施：

敏感檔案的 deny list 是系統層封鎖，不依賴 AI 判斷
建議對外部資料來源（網頁、上傳文件）保持警覺
定期審查 CLAUDE.md 指令是否被意外修改

殘餘風險：中。這是整個 AI 產業的共同挑戰，目前沒有完美解法，但多層防禦顯著降低了影響範圍。

3. Agent 自主行為失控

風險：AI agent 在多步驟任務中做出未預期的操作，例如刪除重要檔案、執行危險指令。

比喻：你派了一組團隊去完成專案，但其中一個人自作主張做了計畫外的事。

現況：

系統有 39 個專家 agent，可自主調度
Bash(*) 和 Agent(*) 權限目前是開放的（萬用字元）
Hooks 會記錄 agent 啟停事件

緩解措施：

CLAUDE.md 階層約束行為邊界
runtime-event-log 記錄所有 agent 活動，可事後追查
建議考慮收緊 Bash(*) 權限，改為明確列出允許的指令

殘餘風險：中高。Bash(*) 萬用字元意味著 AI 理論上可執行任何終端指令。建議評估是否需要更細粒度的控制。這是目前架構中最值得關注的風險點。

4. 客戶資料保護

風險：客戶資料被意外包含在 prompt 中送往 API。

現況：

目前沒有自動化的 PII（個人可識別資訊）偵測機制
AI 只讀取被明確指定的檔案，不會主動掃描整台機器
deny list 保護了憑證檔案，但不涵蓋所有可能包含客戶資料的檔案

緩解措施：

建立「客戶資料專區」，不放在 AI 可觸及的目錄中
建議新增 PII 偵測 hook，在資料送出前掃描
制定明確的資料分類政策，哪些目錄 AI 可以看、哪些不行

殘餘風險：中。取決於操作紀律和目錄規劃。目前靠人工判斷哪些檔案可以給 AI 看，缺乏自動化防護。

5. 第三方 Plugin 風險

風險：MCP 外掛（如 claude-mem、context7）可能引入額外的資安面。

現況：

目前啟用 2 個外掛：claude-mem（記憶搜尋）、skill-creator（技能建立）
另有 context7 的 MCP 文件查詢工具
claude-mem 會在子目錄的 CLAUDE.md 注入 runtime 標記

緩解措施：

外掛數量少，攻擊面有限
建議定期審查已啟用的外掛清單
確認外掛的資料傳輸路徑（是否有額外的第三方 API 呼叫）
新增外掛前應做安全評估

殘餘風險：低至中。外掛數量可控，但每個外掛都是一個需要信任的第三方。

審計軌跡

系統怎麼記錄「誰做了什麼」？

這套系統有三層審計機制，就像辦公大樓的三套監控系統：

第一層：事件日誌（runtime-event-log）

位置：~/.claude/logs/YYYY-MM.jsonl
格式：每行一筆 JSON，結構化記錄
記錄內容：

欄位	說明
timestamp	UTC 時間戳
type	事件類型（session-start/stop、subagent-start/stop、config-change 等）
session_id	工作階段 ID
agent	哪個 agent 在運作
model	使用的 AI 模型
skill	正在執行的技能
cwd	工作目錄
result	執行結果（completed / blocked）
blocked_reason	若被阻擋，原因是什麼（rate_limit / auth）
permission_mode	權限模式

第二層：git 版本控制

所有檔案變更都有完整的 diff 歷史
可追溯到每次變更的時間、內容、前後差異
這是檔案層級最可靠的事實來源

第三層：品質閘門日誌

品質閘門 hook 在每次寫入分析檔案時檢查
檢查項目：認識論標記（L1-L5 信心度）、來源引用、最低內容量
目前為建議模式（advisory），不阻擋寫入，僅記錄警告

審計能力評估

能力	狀態	備註
知道誰（哪個 agent）做了什麼	有	runtime-event-log 記錄
知道什麼時候做的	有	UTC 時間戳
知道改了哪些檔案	有	git diff
知道 AI 看了哪些檔案	部分	對話 transcript 中有紀錄，但不在結構化日誌中
即時警報	無	目前只有事後審計，沒有即時告警
集中式日誌管理	無	日誌在本地，未對接 SIEM

遷移到公司時需要額外注意什麼

如果要把這套系統從個人 VPS 搬到公司正式環境，以下是需要額外處理的事項：

網路安全

VPN / Zero Trust 網路存取：確保 AI 系統只能從授權網路連線
API 出站流量白名單：只允許連到 Anthropic API endpoint，封鎖其他出站
內部網段隔離：AI 工作機與生產環境、客戶資料庫分開
WAF / 防火牆規則審查

API Key 管理

API key 改用公司的 secrets manager（如 HashiCorp Vault、AWS Secrets Manager）
為不同專案 / 團隊配發不同的 API key
設定 API 用量上限和告警閾值
定期輪換 API key
確認 Anthropic 企業級合約中的資料處理條款

資料隔離

建立明確的目錄權限政策：哪些目錄 AI 可讀、哪些完全隔離
客戶資料專區不得與 AI 工作目錄重疊
擴充 deny list：根據公司資料分類政策，新增需封鎖的路徑
考慮為不同客戶 / 專案建立獨立的 AI 執行環境
機密資料不應出現在 git 歷史中

合規檢查清單

個資法（如 GDPR / 台灣個資法）：確認 AI 處理的資料是否包含個資，若有，需取得合法基礎
資料跨境傳輸：API 呼叫 Anthropic 屬於資料跨境傳輸（美國），需評估合規性
資料處理協議（DPA）：與 Anthropic 簽署正式的資料處理協議
資料保留政策：確認 Anthropic 對 API 資料的保留期限與刪除機制
第三方風險評估：對 Anthropic 及所有 MCP 外掛進行供應商安全評估
內部稽核：將 AI 系統納入公司的定期資安稽核範圍
事件應變計畫：制定 AI 相關資安事件的應變 SOP（如 prompt injection 攻擊、API key 外洩）

存取控制強化

收緊 Bash(*) 萬用字元權限，改為明確的指令白名單
評估是否需要將品質閘門從「建議模式」改為「阻擋模式」
建立 SIEM 對接，將 logs/*.jsonl 事件送入集中式日誌系統
設定即時告警：異常的 API 呼叫量、非預期的檔案存取、agent 異常行為

附錄：風險摘要矩陣

#	風險	嚴重性	可能性	現有緩解	建議補強
1	API 傳輸攔截	高	低	TLS 加密	企業級 DPA
2	Prompt injection	中	中	deny list + CLAUDE.md 階層	PII 偵測 hook
3	Agent 自主失控	高	中低	事件日誌 + 指令約束	收緊 Bash 權限
4	客戶資料外洩	高	中	deny list（部分）	資料分類 + 目錄隔離
5	第三方外掛	中	低	外掛數量少	供應商安全評估

本文件的立場：我們不假裝這套系統沒有風險。每一項風險都列出了現況和殘餘風險。資安不是一個「完成」的狀態，而是持續改善的過程。這份文件的目的是讓決策者有足夠的資訊來判斷：目前的風險水位是否可接受、以及下一步應該優先補強什麼。