Skip to content

AI 安全、隐私与治理

AI 系统的风险不仅来自模型回答错误,还来自数据泄露、提示注入、越权工具调用、内容滥用、偏见和不可追溯。安全必须贯穿输入、上下文、模型、工具和输出。

主要风险面

层次风险典型控制
输入恶意内容、提示注入、超长请求校验、隔离、长度限制
数据隐私、版权、敏感信息最小采集、脱敏、授权、保留策略
检索越权召回、恶意文档权限过滤、来源信任、内容标记
模型幻觉、偏见、不当输出评估、拒答、内容策略、人工确认
工具越权、误写、重复执行最小权限、schema、幂等、审批
日志记录密钥和个人信息脱敏、访问控制、生命周期管理

提示注入

外部文档、网页和用户输入都可能包含“忽略之前规则”等恶意内容。检索到的文本是数据,不应被视为高优先级指令。

防护需要多层组合:

  • 明确区分指令和不可信内容。
  • 工具权限由服务端控制,不由模型决定。
  • 对敏感动作进行参数校验和用户确认。
  • 限制模型可访问的数据范围。
  • 记录和评估注入攻击样例。

没有任何一句 Prompt 能单独解决提示注入。

最小权限

不同工具应使用不同权限身份。查询订单不需要退款权限,读取文档不需要写入知识库权限。高风险动作应采用“模型提出候选 -> 程序校验 -> 用户确认 -> 工具执行”。

隐私

  • 明确数据处理目的和授权范围。
  • 不把不必要的个人信息发送给外部模型。
  • 对日志、评估集和训练数据做脱敏。
  • 支持数据删除和保留期限。
  • 区分公开、内部、机密和受限数据。

使用第三方模型服务前还要确认数据是否被保存、用于训练以及部署地域。

公平与偏差

训练数据可能反映历史偏差。总指标正常,也可能在某些群体上错误率明显更高。应按重要人群分片评估,并检查标签和决策过程是否合理。

人工确认

以下情况通常需要人工参与:

  • 金融、医疗、法律和人身安全相关决策。
  • 删除、支付、退款、发布等不可逆操作。
  • 低置信度、证据冲突或系统异常。
  • 用户申诉和高影响个案。

人工确认不是一个弹窗,而要提供依据、风险和可修改参数。

审计

审计记录应能回答:谁在何时发起了什么请求,系统使用了哪些资料,模型提出了什么动作,工具以什么身份执行,最终结果和确认人是谁。

审计日志也包含敏感信息,必须限制访问并设置保留期限。

治理机制

建立模型和场景清单,按风险分级,为每类系统定义负责人、评估标准、上线门槛、监控指标、事件响应和停用机制。治理的目标是让能力和责任匹配,而不是阻止合理使用。

别急,先让缓存热一下。