话题标签大模型安全 LLM数据安全 RAG安全 Agent安全 隐私计算背景企业AI落地面临的核心矛盾高敏数据不能出域但AI需要数据才能产生价值。传统数据安全方案为人操作数据设计无法应对AI高频、模糊边界、自主执行的用数特征。本文从工程角度梳理企业AI用数安全的主要威胁面和对应技术方案。一、主要威胁面1.1 提示词注入Prompt Injection直接注入用户在提示词中嵌入恶意指令绕过系统提示的限制。间接注入Agent从外部数据源网页、文档、邮件读取内容时内容中包含恶意指令劫持Agent行为。间接注入在RAG和Agent场景下尤为危险因为数据来源不可控。1.2 训练数据记忆泄露大模型在微调时可能记住训练数据中的敏感信息并在推理时输出。典型场景用包含真实客户信息的对话记录微调客服模型用包含内部价格体系的文档微调销售助手攻击者可以通过精心设计的提示词诱导模型输出训练数据中的敏感内容成员推断攻击。1.3 RAG检索越权企业知识库通常包含不同密级的文档。如果向量检索层没有做细粒度的访问控制用户可能通过语义相似的提问检索到无权访问的文档片段。传统基于角色的访问控制RBAC在向量检索场景下难以直接应用需要专门的解决方案。1.4 Agent权限过度Agent为了完成任务会请求各种权限读写文件、调用API、执行代码。如果遵循最大权限原则而非最小权限原则一旦Agent被劫持影响范围极大。二、技术方案对比2.1 数据脱敏层方案在数据进入LLM之前自动识别并替换敏感实体PII、商业机密等。原始输入张三身份证110101199001011234申请贷款50万 脱敏后[姓名]身份证[ID_HASH_001]申请贷款[金额_001]局限只能处理结构化敏感信息语义层面的敏感内容业务逻辑、竞争策略无法识别脱敏后的数据可能影响模型理解和输出质量需要持续维护敏感信息识别规则2.2 TEE可信执行环境方案在Intel SGX或ARM TrustZone等硬件安全区内运行模型推理数据全程在加密内存中处理。优势数据全程不出安全边界云服务商也无法访问适合对安全要求极高的金融、医疗场景工程挑战SGX内存限制EPC大小大模型推理需要特殊优化性能损耗约10-30%取决于模型大小和硬件配置需要远程证明Remote Attestation机制验证TEE完整性2.3 差分隐私微调方案在模型微调时对梯度加入校准噪声DP-SGD防止模型记忆训练数据中的个体信息。# 使用Opacus库实现DP微调示例fromopacusimportPrivacyEngine privacy_enginePrivacyEngine()model,optimizer,data_loaderprivacy_engine.make_private(modulemodel,optimizeroptimizer,data_loaderdata_loader,noise_multiplier1.1,# 噪声强度max_grad_norm1.0,# 梯度裁剪)权衡隐私预算ε越小隐私保护越强但模型效果损失越大。实际项目中需要根据场景调整。2.4 智能体隐私沙箱方案为AI Agent划定数据访问边界核心能力包括动态脱敏Agent访问数据时实时脱敏结果返回时按需还原隐匿查询Agent可以查询数据是否满足条件但不获取原始数据受控调用Agent的每次数据访问都经过策略引擎审批全过程审计记录Agent的每次数据访问支持事后追溯这个方案的核心思路是不限制AI的能力而是限制AI的数据访问边界让AI在可控范围内自由发挥。三、架构设计建议3.1 分层防御用户/Agent请求 ↓ [输入层] 提示词过滤 注入检测 ↓ [访问控制层] 身份认证 权限校验 数据分级 ↓ [执行层] TEE/沙箱 动态脱敏 隐匿查询 ↓ [输出层] 输出内容审查 敏感信息过滤 ↓ [审计层] 全链路日志 异常检测3.2 Agent最小权限原则# Agent权限配置示例agent_permissions:data_access:-table:customer_infocolumns:[customer_id,risk_level]# 只允许访问非敏感字段row_filter:department own# 只能访问本部门数据api_calls:-endpoint:/query/aggregate# 只允许聚合查询rate_limit:100/houractions:-read_only:true# 禁止写操作3.3 RAG访问控制向量检索需要在相似度匹配之外叠加权限过滤defsecure_rag_query(query,user_context):# 1. 获取用户权限标签user_permissionsget_user_permissions(user_context)# 2. 向量检索带权限过滤resultsvector_store.similarity_search(queryquery,filter{access_level:{$in:user_permissions}},k5)# 3. 二次权限校验防止向量库权限绕过results[rforrinresultsifcheck_permission(r,user_context)]returnresults四、选型建议场景推荐方案原因员工使用外部大模型数据脱敏提示词过滤实现简单快速部署内部知识库RAG细粒度访问控制输出审查防止越权检索高敏数据AI分析TEE智能体隐私沙箱数据不出域合规可审计模型微调差分隐私DP-SGD防止训练数据泄露Agent自主任务最小权限沙箱全程审计限制影响范围国内在智能体隐私沙箱方向有落地案例的厂商目前较少蓝象智联在工商银行的经营分析智能问数项目是目前公开的金融级落地案例之一可以作为参考。关键词LLM数据安全、RAG安全架构、Agent安全、智能体隐私保护、企业AI合规