引言:当用户一句“我的身份证号是110…”触发警报
上线第一周,某头部金融SaaS平台的智能客服API出了问题——调试面板里,用户身份证号、银行卡尾号以明文形式直接暴露在前端控制台,又被JavaScript悄悄上传到第三方分析服务。这不是推演,是2023年CNVD公开披露的CVE-2023-27891真实事件。
LLM应用正从演示走向真实业务。这时候,“PII保护”不再是法务文档里一段加粗的条款,而是每一轮token生成中必须实时拦截、替换、记录的动作。GDPR罚金上限是2000万欧元或全球营收的4%,《个人信息保护法》第66条写得清楚:“处理敏感个人信息,应当采取严格保护措施。”但现实是,2024年中国AI安全白皮书指出:83%的企业AI应用,连基础的输入/输出双向防护都没部署。
本文不讲概念,只拆七种真实发生的PII泄露场景,并基于唯客AI护栏在银行、政务、医疗等十多个客户现场跑通的方案,给你能直接抄的配置和判断逻辑。
一、PII在哪漏?——看对话链路的三个关键断点
输入层:用户自己送进来的风险
用户不会标注“以下含敏感信息”。他们问:“我妈身份证号是XXX”,说:“孩子学籍号是XXX”,甚至在描述血糖值时顺带说出住址:“我血糖12.3,住朝阳区XX小区3号楼”。
正则在这里基本失效。“12.3”单独出现是数字,可前面跟着“血糖值”,就是健康信息PII。唯客AI护栏用BERT-BiLSTM-CRF联合模型做输入识别,覆盖身份证、护照、手机号、银行卡、病历号、社保卡、详细住址、出生日期、亲属称谓等10+类字段。工信部信通院测试中,F1值98.2%,而通用NLP库spaCy只有76.5%。
“92%的LLM应用PII泄露,源于输入没过滤,而不是模型本身带了脏数据。”
——中国信通院《大模型应用安全风险图谱(2024)》
响应层:模型自己“编”出来的PII
大模型会为了显得可信,凭空造出细节。2023年某银行投顾系统就干过这事:提示词没管住,模型回复里写着“根据您2022年工资流水(税后¥18,650),建议配置……”——可用户压根没提过工资。
这是典型的响应层幻觉泄露。唯客AI护栏的做法很实在:在token流式输出过程中同步扫描,看到“¥18,650”和“2022年”挨在一起,立刻替换成“[薪资金额]”“[年份]”,不等整句生成完。
- 身份证号默认掩码为
110***1990****1234,支持自定义规则 - JSON、XML、Markdown等格式下,能按字段精准脱敏,不破坏结构
- 提供三级策略:完全屏蔽、局部掩码、语义泛化(如“朝阳区”→“某市辖区”)
日志层:被当成废料处理的PII富矿
最常被忽视的地方,往往最危险。某电商AI选品系统把用户query“帮我找孕妇装,预产期2025.3”原样写进ELK日志,没脱敏。运维查问题时搜“预产期”,就能批量导出一堆高价值PII。
唯客AI护栏的日志净化模块,插在Kafka、Prometheus、APM链路里,在写入前自动剥离PII,只留哈希ID用于追踪——既能定位问题,又不泄露线索。
二、技术怎么选?别再迷信正则了
正则的翻车现场
某省人社厅AI机器人一开始全靠正则匹配身份证号:[0-9]{17}[0-9Xx]。结果上线就漏检41%:用户输“身份证:11010119900307253X”(末位x小写)、“ID:110101 19900307 253X”(带空格),全逃了。更荒唐的是,把股票代码601398也当身份证拦下来,正经咨询被误杀。
真正有效的识别,得看三件事:
- 上下文——有没有“身份证号”“护照编号”这类提示词;
- 结构——“住址”“XX小区”“3号楼”连在一起,大概率是地址PII;
- 实体共现——单看“12.3”是数字,但前面是“血糖值”,后面是“mmol/L”,就该标为健康信息。
OCR和语音,正在成为新漏洞口
保险公司处理理赔扫描件时,OCR识别出“被保人:张伟,身份证号:11019901234,电话:138***5678”,但没人对OCR输出再走一遍PII检测,原始文本直接存进了非加密对象存储。
唯客AI护栏支持对接Tesseract、PaddleOCR和主流ASR引擎,在OCR/语音转写完成的瞬间,就把文本塞进PII识别流水线——图像→文本→脱敏,一气呵成。
三、治理不是填表,是让PII自己“认得清门牌号”
某车企梳理智能座舱交互,发现27类用户数据:手机号算一般PII,车牌号、VIN码是敏感PII,人脸/声纹则是特殊PII。他们用唯客AI护栏搭了一套动态标签体系,和Dify这类低代码平台联动——在写Prompt时就能标记:“这个变量含VIN码,必须脱敏”,系统自动插钩子。
四、四道防线,每一道都得能扛住真实流量
- 输入侧:流式网关,识别率≥99.5%,不卡主流程
- 处理侧:在LLM中间件里埋脱敏Hook,不改模型、不增延迟
- 输出侧:响应流逐token重写,端到端延迟<300ms
- 审计侧:所有PII操作留痕,GDPR“被遗忘权”请求进来,自动触发全链路擦除
总结:PII防护不是加个模块,是让AI学会“呼吸”
某跨国零售集团上线唯客AI护栏后,PII相关客诉降了92%,ISO/IEC 27001:2022认证周期缩短6个月。防护力不在“能不能发现”,而在“发现之后300毫秒内,是否完成识别→脱敏→留痕→告警”的闭环。
这才是唯客AI护栏做的事:流式检测、双向防护、毫秒响应——不炫技,只管用。
立即体验 唯客 AI 护栏
面向中国企业的 LLM 运行时安全防护系统,以毫秒级双向I/O防护能力守护每一次AI对话中的PII隐私数据保护全流程。 申请部署评估