选择安全护栏服务提供方
AISIX 通过安全护栏执行内容策略:可以在请求到达上游模型前、响应返回调用方前,或两个方向都进行检查。每个安全护栏对应一种 kind,拥有自己的服务提供方、能力和配置。本页对比已支持的类型,便于你在阅读具体指南前先选择合适方案。
服务提供方对比
| Kind | 服务提供方 | 部署方式 | 检测内容 | 动作 | Hook 点 |
|---|---|---|---|---|---|
keyword | 内置 | 进程内 | 字面量 / 正则模式 | 阻断 | input、output |
pii | 内置 | 进程内 | 基于规则的 PII(邮箱、电话、证件号、卡号、密钥等)+ 自定义正则 | 脱敏、阻断 | input、output |
presidio | Microsoft Presidio | 自托管容器 | 规则和 NER/ML PII 实体(PERSON、LOCATION 等) | 脱敏(replace / mask / hash / redact)、阻断 | input、output |
lakera | Lakera Guard | 托管云 API | Prompt injection、越狱、内容策略、PII | 阻断;仅 PII 命中时脱敏 | input、output |
azure_content_safety | Azure AI Content Safety | 托管云 API | Prompt injection / 越狱(Prompt Shield) | 阻断 | input、output |
azure_content_safety_text_moderation | Azure AI Content Safety | 托管云 API | 内容分类严重级别(仇恨、性、自伤、暴力)+ blocklist | 阻断 | input、output |
openai_moderation | OpenAI Moderation | 托管云 API(免费) | 内容分类(骚扰、仇恨、暴力、性、自伤等) | 阻断 | input、output |
bedrock | AWS Bedrock Guardrails | 托管云服务 | 内容过滤、禁用主题、敏感信息、词语过滤 | 阻断;PII ANONYMIZE 会脱敏 | input、output |
aliyun_text_moderation | Alibaba Cloud AI Guardrails | 托管云 API | 基于风险级别的内容审核 | 阻断 | input、output |
所有类型共享同一套平台控制,包括 Hook 点、执行模式、强制 fail-closed 策略和流式响应缓冲,详见安全护栏行为。
按目标选择
检测或脱敏 PII。 优先从内置 pii 开始:它在进程内运行,无需外部调用,覆盖基于规则的检测器和自定义正则。需要人名、地点、国籍等正则难以表达的实体,或需要自托管合规姿态、哈希/占位符替换等脱敏方式时,可使用 presidio。如果已经使用 AWS Bedrock 或 Lakera,也可以考虑 AWS Bedrock 敏感信息过滤或 Lakera PII 检测。
检测 Prompt injection 和越狱。 Lakera Guard 和 Azure Prompt Shield 都可筛查对抗性输入,包括检索文档或工具结果中携带的间接注入。它们来自不同服务提供方,可按安全评审要求选择,也可以同时挂载。
审核内容分类。 OpenAI Moderation 免费并覆盖常见分类;Azure Text Moderation 支持按分类设置严重级别阈值和服务端 blocklist;Alibaba Cloud 更适合阿里云生态内的场景。
执行组织自定义规则。 内置 keyword 可阻断字面量或正则模式,无需外部依赖。
检测具有概率性
所有基于检测的安全护栏,包括 PII 识别、注入分类和内容审核,都可能存在误报和漏报。生产强制执行前,建议:
- 使用
enforcement_mode: monitor创建护栏。护栏会评估每个请求并记录本应阻断或脱敏的内容,但不影响流量。 - 审查观察结果并调整配置,例如检测器、阈值和实体选择。
- 命中率符合预期后,再切换到
enforcement_mode: block。
具体机制请参见安全护栏行为。
网关记录什么
每个请求都会记录哪些安全护栏参与治理、是否有护栏阻断请求,以及 fail-open 放行时的跳过原因。命中的原始内容不会出现在网关日志、用量记录或错误响应中,只记录检测器、实体或分类名称。具体脱敏 Token 和阻断响应格式请参考对应类型的指南。
下一步
先阅读安全护栏行为,了解所有类型共享的平台控制,再继续阅读你选择的服务提供方指南。