跳到主要内容

选择安全护栏服务提供方

AISIX 通过安全护栏执行内容策略:可以在请求到达上游模型前、响应返回调用方前,或两个方向都进行检查。每个安全护栏对应一种 kind,拥有自己的服务提供方、能力和配置。本页对比已支持的类型,便于你在阅读具体指南前先选择合适方案。

服务提供方对比

Kind服务提供方部署方式检测内容动作Hook 点
keyword内置进程内字面量 / 正则模式阻断input、output
pii内置进程内基于规则的 PII(邮箱、电话、证件号、卡号、密钥等)+ 自定义正则脱敏、阻断input、output
presidioMicrosoft Presidio自托管容器规则和 NER/ML PII 实体(PERSONLOCATION 等)脱敏(replace / mask / hash / redact)、阻断input、output
lakeraLakera Guard托管云 APIPrompt injection、越狱、内容策略、PII阻断;仅 PII 命中时脱敏input、output
azure_content_safetyAzure AI Content Safety托管云 APIPrompt injection / 越狱(Prompt Shield)阻断input、output
azure_content_safety_text_moderationAzure AI Content Safety托管云 API内容分类严重级别(仇恨、性、自伤、暴力)+ blocklist阻断input、output
openai_moderationOpenAI Moderation托管云 API(免费)内容分类(骚扰、仇恨、暴力、性、自伤等)阻断input、output
bedrockAWS Bedrock Guardrails托管云服务内容过滤、禁用主题、敏感信息、词语过滤阻断;PII ANONYMIZE 会脱敏input、output
aliyun_text_moderationAlibaba Cloud AI Guardrails托管云 API基于风险级别的内容审核阻断input、output

所有类型共享同一套平台控制,包括 Hook 点、执行模式、强制 fail-closed 策略和流式响应缓冲,详见安全护栏行为

按目标选择

检测或脱敏 PII。 优先从内置 pii 开始:它在进程内运行,无需外部调用,覆盖基于规则的检测器和自定义正则。需要人名、地点、国籍等正则难以表达的实体,或需要自托管合规姿态、哈希/占位符替换等脱敏方式时,可使用 presidio。如果已经使用 AWS Bedrock 或 Lakera,也可以考虑 AWS Bedrock 敏感信息过滤或 Lakera PII 检测。

检测 Prompt injection 和越狱。 Lakera GuardAzure Prompt Shield 都可筛查对抗性输入,包括检索文档或工具结果中携带的间接注入。它们来自不同服务提供方,可按安全评审要求选择,也可以同时挂载。

审核内容分类。 OpenAI Moderation 免费并覆盖常见分类;Azure Text Moderation 支持按分类设置严重级别阈值和服务端 blocklist;Alibaba Cloud 更适合阿里云生态内的场景。

执行组织自定义规则。 内置 keyword 可阻断字面量或正则模式,无需外部依赖。

检测具有概率性

所有基于检测的安全护栏,包括 PII 识别、注入分类和内容审核,都可能存在误报和漏报。生产强制执行前,建议:

  1. 使用 enforcement_mode: monitor 创建护栏。护栏会评估每个请求并记录本应阻断或脱敏的内容,但不影响流量。
  2. 审查观察结果并调整配置,例如检测器、阈值和实体选择。
  3. 命中率符合预期后,再切换到 enforcement_mode: block

具体机制请参见安全护栏行为

网关记录什么

每个请求都会记录哪些安全护栏参与治理、是否有护栏阻断请求,以及 fail-open 放行时的跳过原因。命中的原始内容不会出现在网关日志、用量记录或错误响应中,只记录检测器、实体或分类名称。具体脱敏 Token 和阻断响应格式请参考对应类型的指南。

下一步

先阅读安全护栏行为,了解所有类型共享的平台控制,再继续阅读你选择的服务提供方指南。