不含內容的審計日誌:我們如何在不保留提示詞的情況下證明模型做了甚麼

AI Suite 內每項管理動作都會產生一條 JSONL 審計列。該列記錄時間戳、操作者的電郵、動作動詞、所影響的資源、發起客戶端的 X-App-Id,以及一個穩定雜湊值,讓審查者可將該列與其後的事件相互對照。該列不會記錄模型的任何輸入或輸出。沒有提示詞文本、沒有完成文本、沒有文件內容、沒有抽取出來的實體。這個選擇 —— 以設計言之即不含內容 —— 正是令審計列對採購與合規審查者有用的原因,而其原因值得解釋一下。

審計列中有甚麼,沒有甚麼

一個有代表性的列,經輕度遮蔽後如下:

{"ts":"2026-06-05T09:14:22Z","actor":"[email protected]","action":"license.assign",
 "subject":"[email protected]","tier":"commercial","x_app_id":"ai-admin-console",
 "ip":"10.4.1.22","ua_hash":"a17c…","seq":48211}

它有甚麼:足夠的元資料以回答審計員就部署者義務所提的問題 —— 誰於何時對哪項資源、從哪個客戶端做了甚麼。它沒有甚麼:任何來自 AI 工作流程的負載。如果該動作呼叫了模型(此例中並無,但有可能),便會有一列記錄該呼叫事件,但我們的基礎設施內不會留下提示詞或回應的任何紀錄。

這個區分是經過深思熟慮的。審計列是動作曾經發生的證明。動作的內容 —— 送往模型的提示詞、回傳的答案 —— 則留在部署者自家的硬件上,依部署者自身的保留政策管治。我們從不接觸。

為何內容不會出現於列中

兩個原因,一個出於法規,一個出於營運。

法規:EU AI Act 要求高風險 AI 的部署者「於適當期間」保存日誌、監察系統運作,並應要求展示合規 ^[1]。這項義務是由部署者去舉證所發生的事。雲端 LLM API 透過將提示詞與回應儲存於供應商基礎設施上來回應這項義務,這做法把數據處理問題轉移到供應商身上 —— 並製造一個部署者無法掌控的第二個合規邊界。不含內容的本地審計回答同一個法規問題,卻不會發生這種轉移:部署者把內容留在部署者自家的儲存空間,依部署者自家的保留規則保存。

營運:每一個被儲存的模型內容位元組,都是需要加密、存取控制、保留、定期刪除,並於電子取證下產出的位元組。不含內容的列很小(數百位元組)、形狀固定、僅供追加,且可輕易序列化進入部署者既有的 SIEM。它們是仍能滿足義務的最小證據單位。

這如何對應到主要框架

NIST AI RMF 1.0 將可審計性列為可信賴 AI 的核心面向之一,並要求部署者保存「足以重構決策之系統動作紀錄」^[2]。「足以重構」是關鍵用語:該列必須令審查者能夠重組所發生的事。對於管理動作(發出了一個授權、改變了一項政策、註冊了一台伺服器),不含內容的列就能做到這一點,而無須保留推理的內容。至於推理內容那一面的義務,則由部署者自家的本地儲存空間回答。

ENISA 的 AI 網絡安全指引從威脅建模角度框定此事 ^[3]:每個被儲存於供應商基礎設施上的提示詞與回應,都將部署者的攻擊面擴大至包括供應商一方。將模型內容從供應商一方移除,便將該攻擊面收窄至部署者已掌控的範圍。

我們所交付的形態 —— AI Admin Console UI、aisuite-server 守護程式的 JSONL 審計,以及每組織的 SIEM 轉發鉤子 —— 正是直接實作這一點。每項管理事件都落入部署者可讀的列中;從未有提示詞或回應內容離開部署者的邊界。

在採購審查中這是怎樣的樣子

令雲端 AI 供應商卡關的採購問題是:「推理內容存在於何處,而我們的合規團隊能否按要求產出?」不含內容的審計所回答的,正是同一個問題,並且有兩個乾淨的答案:內容存在於你的硬件上,而你的團隊能夠產出,因為他們已經擁有了。我們一方的審計列證明動作曾經發生;你一方的內容則證明動作做了甚麼。

至於更廣闊的採購框架 —— 包括如何以這些特性、而非供應商一方的認證,作為供應商問卷的開首 —— 可參閱為何本地 AI 部署於採購階段卡關,以及EU AI Act 合規一文。

甚麼仍然是部署者的責任

不含內容的審計是部署的結構性特性,而不是一站式的合規方案。部署者仍須擁有以下事項:

• 就其自身工作流程定義「足以重構」的意義 —— 保留期、遮蔽規則、電子取證姿態。
• 營運本地內容儲存(無論部署者選擇何種 —— 檔案系統、文件 DB、加密 blob 儲存),並將我們一方的審計列轉發至他們的 SIEM,以便與他們自身的日誌互相對照。
• 撰寫部署者義務備忘,於採購時指向這套架構。

我們一方交付架構及審計列格式。下游的一切 —— 包括內容的保留政策 —— 都是部署者合規團隊套用其自身規則的所在。

參考資料

1. European Commission。「AI Act — Regulatory framework on AI。」digital-strategy.ec.europa.eu。檢索於 2026-06-03。
2. NIST。「AI Risk Management Framework (AI RMF 1.0)。」nist.gov/itl/ai-risk-management-framework。檢索於 2026-06-03。
3. ENISA。「Artificial Intelligence Cybersecurity。」enisa.europa.eu/topics/iot-and-smart-infrastructures/artificial-intelligence。檢索於 2026-06-03。

相關文章

• AI Admin Console:六項能力各自實際做甚麼
• 自 2007 年以來零項目失敗 —— 背後的工程紀律
• 2026 年的 EU AI Act:本地部署改變了哪些合規面向
• 為何本地 AI 部署於採購階段卡關(以及打破僵局的論述框架)
• 所有文章 →