PromptGuard：面向大语言模型的身份优先零信任访问控制架构

PromptGuard提出了一种全新的LLM安全范式——身份优先访问控制，将安全防护从"内容过滤"转向"身份验证"，通过5层信任框架和动态信任评分机制，解决企业AI应用中的权限滥用、提示注入等核心安全问题。

• 原作者/维护者：Dayachowdry
• 来源平台：github
• 原始标题：PromptGuard
• 原始链接：https://github.com/Dayachowdry/PromptGuard
• 来源发布时间/更新时间：2026-06-05T03:45:22Z

原作者与来源

• 原作者/维护者：Dayachowdry
• 来源平台：github
• 原始标题：PromptGuard
• 原始链接：https://github.com/Dayachowdry/PromptGuard
• 来源发布时间/更新时间：2026-06-05T03:45:22Z 原作者与来源\n\n- 原作者/维护者: Dayananda Thaloori\n- 来源平台: GitHub\n- 原始标题: PromptGuard: Identity-First Zero Trust Access Control for Large Language Models\n- 原始链接: https://github.com/Dayachowdry/PromptGuard\n- 发布时间: 2025年\n\n---\n\n当前LLM安全的核心困境\n\n随着大语言模型（LLM）在企业场景中的快速落地，一个关键的安全缺口日益凸显：现有的防护机制主要依赖反应式的、以内容为中心的过滤策略。这种方案存在两个根本性问题：\n\n首先，基于内容的后置过滤极易被绕过。攻击者可以通过各种提示工程技术（Prompt Engineering）操纵模型输出，而静态的关键词过滤或正则匹配往往难以应对不断演化的攻击手法。\n\n其次，这种"一刀切"的防护策略在实际运营中令人沮丧。无论是实习生还是CEO，都面临相同的安全限制，这不仅影响了合法用户的工作效率，也让安全团队难以平衡便利性与合规性。\n\n身份优先：从"问什么"到"谁再问"\n\nPromptGuard提出的核心创新在于将安全焦点从"用户在问什么"转移到"谁在问"。这一范式转变借鉴了企业级安全领域成熟的零信任（Zero Trust）理念——不再默认信任任何请求，而是基于请求者的身份进行细粒度的权限控制。\n\n该架构在网络安全边界拦截LLM请求，通过企业身份与访问管理（IAM）系统获取权威的角色上下文信息，并将其注入到提示词中。这样，模型在处理请求时就能感知用户的身份、权限和上下文，从而做出更智能的安全决策。\n\n5层信任框架：细粒度的能力边界\n\nPromptGuard设计了一套5层信任框架，将企业角色映射到具体的LLM能力边界：\n\n| 信任层级 | 信任评分 | 用户画像 | 能力范围 | 查询限制 |\n|---------|---------|---------|---------|---------|\n| L1 - 基础 | 0-20 | 实习生、新员工、外包人员 | 一般问答、简单摘要 | 200字符 |\n| L2 - 业务 | 21-40 | 销售、行政、客服 | 文档处理、市场研究、基础脚本 | 500字符 |\n| L3 - 技术 | 41-60 | 高级开发、IT管理员、团队负责人 | 代码生成、系统架构、安全最佳实践 | 1500字符 |\n| L4 - 高管 | 61-80 | 总监、法务、C级高管 | 监管解读、危机管理、战略分析 | 3000字符 |\n| L5 - 安全 | 81-100 | CISO、渗透测试、IR团队 | 漏洞研究、红队支持、取证分析、威胁狩猎 | 无限制 |\n\n这种分层设计不仅明确了不同角色的能力边界，还通过查询长度限制等机制，降低了潜在的数据泄露风险。\n\n动态信任评分：超越静态角色分配\n\n与传统静态的角色权限不同，PromptGuard引入了动态信任评分机制。信任分数由6个加权信号综合计算得出：\n\n- 角色基线（30%）：用户在组织中的基础角色\n- UEBA评分（25%）：用户实体行为分析，检测异常行为模式\n- 查询敏感度（20%）：当前请求的内容敏感程度\n- 时间风险（10%）：请求时间是否在正常工作时段\n- 设备态势（10%）：请求设备的安全合规状态\n- 会话行为（5%）：当前会话中的行为特征\n\n这种动态评分机制支持"即时信任提升"场景——例如，一名开发者在调查生产事故时，系统可以基于其行为信号临时提升其信任等级，赋予更高的查询权限，而无需手动申请特权。\n\n混合架构：自然语言策略与代码级策略的协同\n\nPromptGuard推荐采用混合架构，结合两种策略执行机制：\n\n**策略即提示（Policy-as-Prompt）利用LLM的指令遵循能力，通过角色特定的系统提示模板，在用户查询前注入上下文约束。这种方式灵活、易于更新，能够处理复杂的场景判断。\n\n策略即代码（OPA/Rego）**则提供确定性的安全边界，通过策略引擎强制执行硬性限制。这种方式无法通过提示操纵绕过，支持加密签名的策略包，并且具备版本控制、审计追踪等特性。\n\n两者的协同工作形成了纵深防御：自然语言策略处理柔性边界，代码策略守护硬性红线。\n\n8大企业风险场景\n\n论文详细分析了PromptGuard能够应对的8大企业风险场景：\n\n1. 社会工程攻击：防止LLM基于用户角色生成针对性的钓鱼内容\n2. 合规违规：阻止招聘/借贷等场景中的自动化决策缺乏人工监督\n3. 恶意代码生成：对开发角色的代码生成能力进行分级管控\n4. 合同操纵：将法律文档修改权限限制在授权角色\n5. 数据聚合攻击：防止未授权用户通过智能分析推断敏感信息\n6. 影子IT集成：检测未授权的LLM与企业系统桥接行为\n7. 内幕交易：阻断对非公开信息的模式分析\n8. 隐私侵犯：防止通过数据关联进行行为画像分析\n\nSIEM集成与审计追踪\n\nPromptGuard生成结构化的审计日志，专为安全运营团队设计。这些日志支持通过XQL等查询语言进行分析，例如检测信任等级异常提升的模式：\n\n\ndataset = promptguard_logs\n| filter trust_level_override = true\n| stats count by user_id, original_level, elevated_level, reason\n| filter count > 3\n| sort count desc\n\n\n这种可观测性对于满足SOX、SOC2、HIPAA等合规要求至关重要。\n\n竞争格局与市场空白\n\n论文对8款商业解决方案进行了对比分析，发现了一个显著的市场空白：\n\n| 解决方案 | 身份集成 | 动态提示 | 信任分层 | SIEM集成 | 自托管 |\n|---------|---------|---------|---------|---------|--------|\n| LiteLLM | 部分 | 否 | 否 | 否 | 是 |\n| Portkey | 部分 | 否 | 否 | 否 | 是 |\n| TrueFoundry | 否 | 否 | 否 | 否 | 是 |\n| Akamai | 是 | 否 | 否 | 部分 | 否 |\n| Check Point | 否 | 否 | 否 | 是 | 否 |\n| Robust Intelligence | 否 | 否 | 否 | 部分 | 否 |\n| Lasso Security | 否 | 否 | 否 | 否 | 否 |\n| PromptGuard | 是 | 是 | 是 | 是 | 是 |\n\nPromptGuard是目前唯一同时支持身份集成、动态提示、信任分层、SIEM集成和自托管部署的解决方案。\n\n实施建议与未来展望\n\n对于希望采用此架构的企业，论文建议采取渐进式实施路径：\n\n首先，从身份集成入手，将现有的IAM系统（如Okta、Azure AD）与LLM网关对接。然后，基于组织角色定义初始的信任层级和策略模板。接着，逐步引入动态信任评分，从UEBA信号开始。最后，建立完整的审计和监控体系，实现闭环管理。\n\n未来，随着多模态模型和Agent系统的普及，身份优先的安全范式将变得更加重要。PromptGuard的架构设计为这一演进方向提供了坚实的基础。\n\n---\n\n核心启示\n\nPromptGuard的价值不仅在于技术实现，更在于其提出的安全范式转变。在AI时代，传统的基于边界的安全模型已经失效，身份成为新的安全边界。通过将企业成熟的IAM实践与LLM的能力管控相结合，PromptGuard为企业在享受AI红利的同时守住安全底线提供了一条可行路径。