审计组来敲门那天,我们的AI调用链终于经得起查了
去年年底公司内审组发了一封邮件说要对我们部门的AI应用做一次数据安全专项审计。我是个偏安全方向的工程师日常负责数据合规这块。说实话收到邮件的时候心里咯噔了一下——不是因为我们做了什么违规的事而是因为我们的大模型使用情况说实话连我自己都说不清楚。审计会问什么我提前列了一下审计可能问的问题然后逐一对照我们当时的现状问题一有哪些员工在使用大模型调用了什么现状各业务线自己注册的API账号散落在各处。有些是个人邮箱注册的有些是部门公用账号。谁在用、用了什么没有统一记录。问题二有没有敏感数据被发送到外部模型现状不确定。我们没有任何手段监控发往大模型API的请求内容。员工如果把含有客户信息的文档喂给模型我们根本不知道。问题三API Key是怎么管理的有没有泄露风险现状Key存在各业务线的配置文件里有的甚至硬编码在代码仓库中。谁有权限拿到Key、Key最后什么时候用过全靠口头确认。问题四数据出境合规吗现状我们用了几家海外模型供应商员工直接调用海外API数据直接出境。有没有经过评估没有。我看着这个清单意识到一个问题不是审计要来找茬而是我们的大模型使用确实处于裸奔状态。第一层先堵住数据出口审计最关心的就是数据安全。我做的第一件事是在AI调用链路上加一层网关让所有大模型请求必须经过它。选的是魔芋网关MAI Gatewayhttps://www.moyu.info/register?affuZut主要看中它的PII脱敏能力和全链路审计。部署架构上按照网关推荐的三分区隔离方案做了规划内网核心区业务系统和办公终端对公网完全隔离DMZ隔离区部署网关作为内网AI请求的唯一出口外部服务区各模型供应商的API内网的任何AI请求都必须经过DMZ区的网关转发。网关在请求出站前会自动做PII脱敏——手机号、身份证号、银行卡号这类敏感信息会被打码或替换。也就是说即便员工不小心把含敏感信息的文档喂给模型数据在出内网之前就已经被清洗过了。这是第一道防线不是靠制度约束员工不许发敏感数据而是从技术上保证敏感数据发不出去。第二层API Key的收口Key的管理是个老问题但在大模型场景下尤其严重。一个大模型API Key一个月可能消耗几十万Token如果泄露了被人盗用代价不小。引入网关后Key的管理逻辑变成了业务系统不再直接持有任何模型供应商的API Key只持有网关颁发的消费者凭证真正的模型供应商Key由网关统一保管支持KMS托管加密网关支持定期轮转策略Key到期不换就自动失效闲置超过30天没有调用的凭证自动清理这样一来业务系统的代码里不再有明文Key就算代码仓库泄露攻击者拿到的也只是网关凭证没有网关的IP白名单授权外部根本调不了。第三层审计日志全程留痕审计最看重的就是可追溯。出了事能不能查到是谁、在什么时间、调用了什么模型、发送了什么内容。网关的全链路日志记录了每次调用的完整信息调用方身份、请求时间、目标模型、Token消耗、请求内容摘要、返回状态。日志保留周期可配置我们设了180天。我特意测试了一下随机挑了一条调用记录能在网关后台完整还原这条请求的链路——从哪个业务系统发出、经过网关时做了什么处理脱敏了哪些字段、最终发给了哪个模型、返回了什么。这种粒度的日志审计组看了比较满意。第四层合规层面的背书除了技术措施审计也会看资质。魔芋网关支持私有化部署数据不出企业内网这点在内审时是个加分项。另外它通过了等保三级认证对于金融、政企这类对安全资质有硬性要求的场景这个证书是入场券。发票和合规这块也顺带解决了。之前各业务线自己买海外模型API付款走个人信用卡或代购财务没法入账。走网关之后统一结算正规发票审计和财务两边都满意。审计那天审计组来了之后我把网关后台的调用统计、脱敏策略配置、Key管理日志、审计日志各演示了一遍。审计负责人问了一个问题如果某个员工把客户名单复制到对话框里发给模型你们能拦住吗我现场演示了一下在请求里放了一组手机号和身份证号网关在转发前自动识别并脱敏模型收到的请求里这些字段已经被替换。审计负责人点了点头。最终审计报告里我们部门的AI应用数据安全项全部通过。没有整改通知这在以前是不可想象的。最后说两句不是审计来了才需要做安全治理。大模型应用的数据安全风险是客观存在的——员工可能无意间泄露敏感数据Key可能因为管理疏忽被盗用数据出境可能踩监管红线。这些问题不解决出事是早晚的。我的经验是制度约束是基础但制度有上限技术手段才是底线。在AI调用链路上加一层能做脱敏、能管Key、能留日志的网关是目前最实际的做法。不是为了应付审计是为了真的安全。