无内容审计日志:我们如何在不留存 prompt 的前提下证明模型做了什么

AI Suite 中每一项管理操作都会产出一行 JSONL 审计记录。该行记录时间戳、执行者邮箱、动作动词、所影响的资源、发起客户端的 X-App-Id,以及一个稳定哈希,以便审查者将该行与后续事件关联。该行不记录模型的任何输入或输出。没有 prompt 文本,没有补全文本,没有文档内容,没有抽取的实体。这一选择 —— 在设计上即无内容 —— 正是使该审计行对采购与合规审查人有用的原因,值得说明其所以然。

审计行里有什么、没有什么

一行有代表性的记录,经过轻度脱敏:

{"ts":"2026-06-05T09:14:22Z","actor":"[email protected]","action":"license.assign",
 "subject":"[email protected]","tier":"commercial","x_app_id":"ai-admin-console",
 "ip":"10.4.1.22","ua_hash":"a17c…","seq":48211}

它有什么:足以回答审计人员就部署者义务提出的问题的元数据 —— 谁,在何时,针对哪个资源,从哪个客户端,做了什么。它没有什么:AI 工作流中的任何载荷。如果该操作调用了模型(本例并未,但可以),则会有一行记录该调用事件,而我们的基础设施上不会留下 prompt 或响应的任何记录。

这种分离是经过深思熟虑的。审计行是某项操作发生过的证据。操作的内容 —— 发给模型的 prompt、返回的答复 —— 位于部署者自有硬件之上,受部署者自身的保留策略管辖。我们从不看见。

为何内容不进入审计行

两个原因,一个监管层面,一个运营层面。

监管层面:EU AI Act 要求高风险 AI 的部署者「在适当期限内」留存日志、监测系统运行,并在被要求时演示合规 ^[1]。义务在部署者一方,要去举证发生了什么。云端 LLM API 通过把 prompt 与响应存储在供应商基础设施上来回应此问题,从而把数据处理问题转移给供应商 —— 并由此造出一个部署者无法掌控的第二合规边界。无内容的本地审计则在不发生此转移的情况下回答了同一监管问题:由部署者留存内容,在部署者自有存储中,依据部署者自身的保留规则。

运营层面:存储的每一字节模型内容都是需要加密、做访问控制、按期留存、按期删除并可在电子取证中产出的字节。无内容的审计行很小(数百字节),形态固定,仅追加,且可轻易序列化进入部署者既有的 SIEM。它们是仍能满足义务的最小举证单元。

这与各主要框架的对应

NIST AI RMF 1.0 将可审计性列为可信 AI 的核心维度之一,并要求部署者保留「足以重建决策的系统操作记录」^[2]。「足以重建」是其关键措辞:审计行须能让审查者重建所发生之事。无内容的行可为管理操作做到这一点(发放了授权、修改了策略、登记了服务器),而无需保留推理的内容。对于义务中的推理内容侧,部署者自身的本地存储就是答案所在。

ENISA 的 AI 网络安全指南从威胁建模角度审视此问题 ^[3]:存储在供应商基础设施上的每一条 prompt 与响应,都将部署者的攻击面扩展为包含供应商之攻击面。从供应商侧移除模型内容,把该攻击面收窄至部署者已经掌控的部分。

我们交付的形态 —— AI Admin Console 用户界面、aisuite-server 守护进程的 JSONL 审计,以及按组织粒度的 SIEM 转发挂钩 —— 直接实现了这一点。每一项管理事件都落入部署者可读的一行;任何 prompt 或响应内容永不离开部署者边界。

这在采购评审中是什么样

令云端 AI 供应商卡壳的采购问题是:「推理内容存放在哪里,我们的合规团队能否按要求产出?」无内容审计回答的是同一个问题,有两个干净的答复:内容存放在你的硬件上,且因为它本就在你那里,由你的团队产出。我们侧的审计行证明操作发生过;你侧的内容证明操作做了什么。

关于更广泛的采购论述框架 —— 包括如何以这些属性而非供应商侧认证来主导供应商问卷 —— 详见 本地 AI 部署为何在采购环节卡壳 与 EU AI Act 合规一文。

哪些事仍是部署者的责任

无内容审计是部署的一项结构性属性,而非端到端的合规方案。部署者仍需自行承担:

• 为自身工作流定义「足以重建」意味着什么 —— 留存期限、脱敏规则、电子取证态势。
• 运营本地内容存储(无论部署者选择什么 —— 文件系统、文档数据库、加密块存储),并把我们侧的审计行转发进入他们与自有日志相关联的 SIEM。
• 在采购阶段撰写指向该架构的部署者义务备忘录。

我们侧交付架构与审计行格式。其下游的一切 —— 包括内容的保留策略 —— 是部署者合规团队适用自身规则之处。

参考资料

1. European Commission. "AI Act — Regulatory framework on AI." digital-strategy.ec.europa.eu. 访问于 2026-06-03。
2. NIST. "AI Risk Management Framework (AI RMF 1.0)." nist.gov/itl/ai-risk-management-framework. 访问于 2026-06-03。
3. ENISA. "Artificial Intelligence Cybersecurity." enisa.europa.eu/topics/iot-and-smart-infrastructures/artificial-intelligence. 访问于 2026-06-03。

相关文章

• AI Admin Console:六项能力各自的实际作用
• 自 2007 年以来零项目失败 —— 背后的工程纪律
• 2026 年的 EU AI Act:本地部署对合规带来什么改变
• 本地 AI 部署为何在采购环节卡壳(以及化解卡壳的论述框架)
• 全部文章 →