PromptGuard：面向大语言模型的身份优先零信任访问控制架构

PromptGuard提出一种全新的LLM安全范式——身份优先零信任访问控制，将安全防护从"你问了什么"转变为"谁在提问"，通过企业IAM集成实现动态、细粒度的能力边界管控。该架构解决现有基于内容过滤的LLM安全缺陷，包含七层架构设计、五级信任框架等核心创新，为企业AI治理提供合规且高效的解决方案。

当前企业级LLM安全防护机制依赖被动的基于内容后置过滤，存在八大致命弱点：误报率高、提示词注入难防范、缺乏上下文感知（无法区分不同角色的合法请求）、内部威胁管控缺失、审计追踪不完善、决策二元化等，难以满足SOX、SOC2、HIPAA等企业合规要求。

PromptGuard的核心创新是身份优先范式，将安全关注点从内容转向用户身份。其七层架构形成闭环：

1. 请求拦截：网关捕获LLM请求
2. 身份识别：集成企业IAM系统获取用户身份与权限
3. 信任评分：基于角色基线、UEBA等六维度计算动态信任分数
4. 提示词增强：注入角色定制的系统提示词
5. 策略执行：发送增强请求给LLM
6. 响应验证：检查输出合规性
7. 审计记录：记录交互到SIEM或审计日志

PromptGuard设计五级信任框架，映射角色到LLM能力边界：

信任级别	分数范围	典型用户	核心能力	查询长度限制
L1 - 基础级	0-20	实习生、新员工、外包人员	通用问答、简单摘要	200字符
L2 - 业务级	21-40	销售、行政、客服	文档处理、市场研究、基础脚本	500字符
L3 - 技术级	41-60	高级开发、IT管理员、团队负责人	代码生成、系统架构、安全最佳实践	1,500字符
L4 - 管理级	61-80	总监、法律顾问、高管	监管解读、危机管理、战略分析	3,000字符
L5 - 安全级	81-100	CISO、渗透测试员、应急响应团队	漏洞研究、红队支持、取证分析	无限制
该框架将LLM能力分为九大类，实现最小权限原则。

动态信任评分支持即时信任提升：如开发人员深夜处理故障时，系统基于异常时间、设备状态等信号临时提升信任级别，会话结束后自动回落。混合策略架构结合：

• Policy-as-Prompt：注入定制系统提示词，灵活处理复杂场景
• Policy-as-Code：用OPA和Rego实现确定性硬约束，保障合规底线 两者互补形成纵深防御。

PromptGuard相比主流方案（LiteLLM、Portkey等），独有的四项能力：基于网络边界的身份实时查询、动态角色感知提示词转换、细粒度信任分级框架、企业SIEM集成与自托管支持。实施效果：误报率从约20%降至3%以下，减少计算资源浪费，且与现有IAM/SIEM生态高度契合，降低采用门槛。

PromptGuard代表LLM安全领域的范式转移，证明有效的AI治理应基于请求者身份识别与授权，而非内容过滤。随着企业AI应用深入，该身份优先零信任架构将成行业标准。建议安全架构师和CISO参考该框架，结合现有基础设施部署LLM安全方案。