密钥与 AI 服务安全

模型输出不可信,生产密钥也不能靠隐藏前端代码保护

云迁易编辑部更新于 2026-07-14内容与审核规范

浏览器、移动应用包和公开仓库都不是秘密存储。只要用户设备需要拿到模型 API Key 才能调用服务,这个密钥就应视为已经暴露。


  1. 开发、测试和生产使用独立账号、项目和密钥。
  2. 生产密钥由云密钥服务、Secret 管理或受控部署变量注入。
  3. 应用运行身份只获得必需资源和操作权限。
  4. 日志、错误页、构建产物、容器层和前端 Source Map 不出现密钥。
  5. 定期轮换并演练紧急吊销;泄露后先吊销,再处理 Git 历史和日志副本。

.gitignore 只能阻止新的误提交,不能撤销已经提交、构建或发送的秘密。


服务端代理要验证用户身份和租户,设置用户、IP、租户、模型、请求大小和月度费用上限。对超时、429、供应商故障和内容安全拒绝设计有限重试、熔断、降级文案和人工接管。

如果产品是纯静态页面,应增加一个最小受控 API;不要为了保持“无后端”而把长期模型密钥发给浏览器。


  • 模型只能提出工具调用意图,确定性代码负责身份、参数、资源和权限判断。
  • RAG 检索在查询前执行租户与文档权限过滤,不能检索后再依赖模型隐藏结果。
  • 工具参数采用白名单 schema,限制路径、域名、SQL、命令、数量和执行时间。
  • 外部网页、上传文档、邮件和模型输出都按不可信输入处理。
  • 高影响操作需要确认、审计和幂等设计,必要时进入人工审批。

测试至少覆盖“忽略之前规则”“读取其他租户资料”“调用未授权工具”“把系统提示词写入输出”和“通过 Markdown/HTML 触发活动内容”。


记录每个模型供应商、接口地域、输入字段、日志保留、训练用途、子处理方和删除方式。个人信息、商业秘密和内部文档应按最小必要原则发送;能在本地提取、脱敏或裁剪的内容,不发送完整原文。

面向用户说明真实数据流,包括第三方模型和监控链路,而不是只描述自有数据库。向境外提供个人信息时,应单独评估适用条件和程序。


产品面向境内公众提供生成内容时,将模型备案或登记信息、生成内容标识、内容安全、投诉举报、未成年人和个人信息处理列为独立上线评审。使用供应商能力不等于把产品责任全部转移给供应商。

官方来源:个人信息保护法生成式人工智能服务管理暂行办法生成式人工智能服务备案信息公告。核验日期:2026-07-14。


Built with