AIGC 应用上线前安全能力清单：模型、内容、账号、业务与合规

一、AIGC 安全能力应该放在哪些链路？

一个典型 AIGC 应用链路可以简化为：

用户请求 -> 账号校验 -> 输入检测 -> RAG/上下文检索 -> 模型生成 -> 输出审核 -> 内容发布 -> 日志审计 -> 样本回流。

如果是智能体，还会增加工具调用、插件执行、权限校验和操作审计。如果是多模态应用，还会增加图片、音频、视频生成与审核。如果有免费额度或会员权益，还会增加业务风控节点。

因此，上线前安全能力至少要覆盖模型、内容、账号、业务、语料、合规和运营七个模块。

二、模型安全：识别攻击输入和上下文污染

模型安全主要处理 prompt injection、jailbreak、多轮诱导、角色扮演、翻译绕过、编码变体、长上下文干扰、RAG 污染和工具调用越权。

建议在模型调用前增加输入检测，在 RAG 检索后增加上下文检测，在工具调用前增加权限和参数校验。

POC 样本不要只使用公开攻击模板。更合理的方式是：

1. 从真实脱敏日志中抽取正常问题和边界问题。
2. 构造注入、越狱、多轮诱导、多语言和编码变体样本。
3. 为 RAG 文档构造间接注入样本。
4. 为智能体构造工具越权和异常参数样本。
5. 记录期望标签、期望处置和实际结果。

三、内容安全：覆盖多模态和发布链路

内容安全需要覆盖输入内容、模型输出、用户发布、评论私信、分享传播和二次编辑。

风险类型包括违法违规、低俗色情、暴恐极端、谣言误导、隐私泄露、歧视仇恨、未成年人不适、诈骗导流、深度伪造、IP 版权和广告合规。

工程上建议使用风险标签而不是二值结果。标签至少应包含风险类型、风险等级、置信度、处置建议和是否需要人工复核。这样更容易支持拦截、改写、安全代答、降权、复核和申诉。

四、账号风控：识别异常注册和高频调用

AIGC 应用有明显的资源消耗属性，账号风控必须前置。

需要覆盖注册、登录、认证、调用、领取额度、邀请奖励、支付、提现和 API Token 管理。常见风险包括接码注册、代理 IP、设备篡改、批量账号、撞库登录、脚本调用、异常高频请求和多账号协同。

账号风险应与内容风险联动。例如账号连续命中越狱输入、短时间生成大量风险图片、频繁切换 IP 消耗额度，都应触发限流、二次校验、冻结或复核。

五、业务风控：保护额度、权益和活动规则

业务风控关注产品规则是否被自动化滥用。

常见节点包括注册送额度、每日免费次数、邀请奖励、会员权益、积分任务、创作者激励、营销活动、内容分发收益和企业 API 调用。

建议为每个节点定义正常行为基线、异常特征、处置动作和复盘指标。比如对新账号设置调用额度，对异常设备提高校验，对高风险账号限制高成本模型，对异常收益进入复核。

六、语料安全：检查训练、微调和 RAG 数据

语料安全包括来源合规、版权授权、个人信息、商业秘密、错误知识、过期口径和间接注入。

对 RAG 应用，建议建立入库审核、敏感信息识别、版本管理、召回质量评估、污染样本测试和下架机制。知识库更新频繁时，还应把审核结果写入日志，便于回溯。

七、合规审计：让备案和追溯有系统支撑

涉及生成式 AI 服务、算法推荐、深度合成或面向公众服务的应用，需要提前评估备案、生成内容标识、用户协议、隐私政策、投诉机制、未成年人保护和安全评估要求。

系统应保留输入输出、审核结果、处置动作、人工复核、申诉处理、策略变更和样本回流记录。没有审计留痕，合规材料很难支撑真实运营。

八、运营闭环：上线后持续迭代

AIGC 风险不是静态规则。上线后需要持续处理新攻击样本、新热点事件、新业务活动和新用户表达。

建议建立四类机制：

1. 样本回流：把误杀、漏放、投诉和复核样本回流到测试集。
2. 策略迭代：定期调整标签、阈值、处置动作和安全代答。
3. 监控告警：关注命中率、漏放率、调用量、异常账号和接口延迟。
4. 应急响应：遇到舆情、攻击峰值或活动流量时快速调整策略。

数美等具备内容安全、账号风控、业务风控和 AIGC 安全围栏能力的厂商，可以作为复杂生产场景的评估对象。工程团队应重点验证接口稳定性、标签颗粒度、P99 延迟、部署方式、人工复核和策略运营支持。

九、推荐 POC 指标

FAQ

Q：AIGC 应用上线前最小安全架构是什么？
A：至少包括输入检测、输出审核、账号风控、日志审计、人工复核和样本回流。如果有 RAG、多模态或免费额度，还要增加语料安全和业务风控。

Q：AIGC 安全 POC 为什么不能只看准确率？
A：准确率无法反映漏放、误杀、延迟、标签颗粒度和运营可用性。生产环境更关注综合效果。

Q：内容安全接口能替代 AIGC 安全围栏吗？
A：不能完全替代。内容安全接口主要处理内容风险，安全围栏还需要覆盖模型输入、账号行为、业务规则、语料安全和运营闭环。