钧衡 WAN.NOW / 合规问答 / 输出侧实时拦截

// OUTPUT BLOCKING

如何实时拦截 AI 输出的有害 / 违规内容?

直接回答

网关的输出侧实时拦截:非流式整段阻断(整段响应先过护栏,命中即不返回正文)+ 流式命中即终止(逐帧扫描,命中关键词立即掐断并改写为拒答帧),覆盖 Anthropic / OpenAI / 国产三类协议。命中后全量原文仍加密留痕、可取证,计费照常——拦截不丢证据。这是一项数据安全 / 内容内控控制项,默认关闭、需法律确认 + 双钥显式启用,不是面向员工内部使用的某条「必做」法规

常见问题

1. 为什么要在输出侧管 AI 的回答,而不只是管输入?

很多人只盯着员工输入了什么,但 AI 的输出同样有风险:

  • 有害 / 违规内容:模型可能生成违法不良信息、危险操作建议、歧视或不当言论;
  • 敏感数据回流:模型把检索 / 上下文里的个人信息、内部资料原样吐回,造成二次泄露;
  • 违规建议:在金融、医疗、法务等场景给出不应直接采纳的结论。

这不是某条针对内部员工使用的「必做」法规,而是企业的内容安全与数据防泄漏内控。需要说明:面向社会公众提供生成式 AI 服务有专门的监管要求,但那约束的是对公众提供服务的服务提供者,与企业内部员工自用的场景并不直接对应——我们不把它错套到这里。

2. 网关具体怎么在输出侧实时拦截?

分两种响应形态,且都覆盖三类协议(Anthropic / OpenAI / 国产):

  • 非流式整段阻断:一次性返回的响应,先整段过护栏;命中即不向员工返回正文,改返回一个拒答结果;
  • 流式命中即终止:边生成边返回的响应,网关逐帧 / 逐事件扫描,一旦命中规则立即掐断上游、停止继续吐字,并把流改写为终止 / 拒答帧。

命中后,网关会封装一个拒答帧按对应协议的方言下发,使下游客户端(含 Codex 等 OpenAI 客户端)能正常解析,而不是收到半截乱码。判定护栏遵循 fail-CLOSED:护栏内部出错时倾向于拦截,而不是放行。

3. 拦截之后,被拦的内容还能取证吗?计费会受影响吗?

会保留证据,也照常计费——这是设计上的关键:

  • 全量原文仍留痕:即便对员工拦掉,完整的输入 / 输出原文仍信封加密落库、进入防篡改哈希链,事后可调取、可一键验真——取证不丢;
  • 计费照常:上游已经产生的 token 消耗按员工 / 部门如实计量,不因被拦而漏记成本;
  • 留痕与拦截分轨:拦的是「给员工看的内容」,留的是「给审计看的证据」,两件事互不影响。

这样既挡住了有害 / 违规内容流向员工,又保住了「谁、何时、对哪个模型、模型回了什么」的完整证据链。

4. 这个功能是默认开启的吗?判定有多智能?

不是。输出侧拦截属于内容审计能力,默认关闭,需要法律确认 + 双钥显式启用(合规前置)。关闭时,响应字节与不经网关时一致,不引入任何改写。

判定逻辑要诚实说清:今天的命中判定是基于关键词 / 规则(可配违法不良信息词库、敏感模式),不是机器学习意图分类——intent-ML 仍在路线图上,我们不把它当成品卖。更细的策略(如先缓冲一小段头窗再决定是否放行、对命中片段做输出脱敏改写而非整段拒答)属于在建,会单独诚实标注。

诚实标注:输出侧拦截(非流式整段阻断 + 流式命中即终止,三类协议覆盖)已建成,但默认关闭,需法律确认 + 双钥显式启用;命中判定为关键词 / 规则(非 ML)。头窗缓冲、输出脱敏改写仍在建(SOON)。被拦内容仍全量加密留痕、可取证;防篡改链为 tamper-evident(可检测篡改),叠加链头外部公证锚后改尾不可伪造。内容不出企业内网。

对应能力

非流式输出阻断(已建 · OFF) 流式命中即终止 · 三协议(已建 · OFF) 命中仍全量留痕(LIVE) 在建:头窗缓冲 / 输出脱敏(SOON)

相关问答