跳到主要内容
§00 / 平台 · Self-hosted LLM Firewall

如何管控 每一个 AI 请求。

一条固定的流水线:kill-switch、访问、预算、输入与输出双向 DLP、审计。下面拆解每个阶段做什么、每个 DLP 层 拦截什么。每条结论都附技术佐证:延迟、方法、判定。

§01 / 请求流水线

一条路径。一种顺序。 每个请求同一条路线。

11 个阶段沿固定轨道推进:无一被跳过,也不会改变次序。DLP 触发 两次,在输入与输出各设一道闸门。完整的 pre-call 流水线只为请求增加 毫秒级 开销,并随副本线性扩展,不拖慢开发节奏。

客户端与模型之间 0 隐藏跳数 任何阶段都可被 kill-switch / policy-as-code / SIEM 覆盖
§02 / DLP 引擎

八层检查。 外加 multimodal,并发执行。

0–7 层与 multimodal 在磁盘上共 23 个 scanner 模块。活跃阶段并行执行(asyncio.gather),因此请求只需一次总体遍历即可通过,而非各层耗时相加。标签颜色以晶体色散色谱编码所属层。

层之上的机制
STREAMING

密钥在流式回复的 chunk 中就地脱敏,甚至在抵达客户端之前。

chunk: "sk-live-4f…" → [SECRET]
UNICODE

NFKC 归一化与去除 zero-width 在扫描前完成:用不可见字符绕过不会奏效。

sk-live → sk-live → 扫描
ANTI-ECHOLEAK

模型不会沦为 exfil 通道:在回复中回显占位符的行为会被拦截。

![img](evil.com/…) → 已阻断
策略

每个判定都转化为动作。Graded-trust 不会把 injection 降级为脱敏。

BLOCK · MASK · WARN · LOG
FAIL-CLOSED

DLP 失败时关闭云端请求;对本地模型则放行:数据本就在边界内。

云端:closed · 本地:open
规则

开箱即用的规则集外加 marketplace 扩展包。DLP 配置可按租户设置。

开箱即用 + marketplace
§03 / 方法对比

没有一种方法能拦截全部。 因此我们不只选一种。

每种检测方式都有各自的强项与短板:两条定性曲线显示某方法在何处更快、在何处更深入。我们同时呈现两者,而不是把某一种当作银弹兜售。

整条流水线 · 每请求毫秒级 · asyncio.gather,而非各层相加

若只需最大化提供方覆盖而不需要 DLP:可选用 LiteLLM,它能作为传输层留在 Prizma 之后。 FAQ 中详解

§04 / Kill-switch L0–L4

五级停止。 从全部流量到单个 agent。

作用域层层嵌套:最外层熄灭全部流量,每往内一层就收窄范围。既可一次全部熄灭,也可精准针对单个模型、单个用户、单个 agent,而不影响其余。

经 Redis 瞬时停止 · 事实源在 PostgreSQL · 完整的 HMAC-chained audit-trail

§05 / RAG firewall

每个 chunk 都是数据。 而非发给模型的指令。

被检索的片段是 indirect injection 最常见的载体。firewall 逐个检查每个 chunk,只放行通过校验的内容进入上下文。被污染的 chunk 会被降级,不会到达模型。

§06 / Agents 与 supply-chain

自主 agent 尽在掌控。 它所运行的模型亦然。

Agent 会自主行动,因此每一步都被追踪、参数都被扫描,敏感操作则等待人工确认。模型本身以文件形式送达,在加载前即受检,且无需解包。

准备好了吗?

全部 AI 流量尽在你的掌控

部署在你边界内的 self-hosted LLM Firewall。仅需一行 base_url,任何 prompt 都不会直接外流。

sales@hackadvisor.io 可签署 NDA · 一个工作日内回复