给企业安全负责人的一份深度指南

TL;DR

WAF 守网络与协议层：挡畸形请求、SQLi、XSS、暴力破解、恶意上传等。AI 安全护栏 守语义与内容层：识别提示词注入、越狱、敏感/违规内容、隐私泄露、数据外渗等。两者职责不同、互为补充。最佳实践是 WAF + AI 安全护栏“双层防护”。象信 AI 安全护栏：基于大模型技术、上下文感知、12 维度检测、Apache-2.0 开源、免费可商用。

一、WAF 是什么：守住入口的第一道防线

定位WAF（Web Application Firewall）是一层部署在客户端与 Web/接口服务之间的安全网关，解析并过滤 HTTP/HTTPS 流量，阻断传统 Web 攻击与异常流量。

核心能力

协议与格式校验：非法/畸形请求、异常 Header、越权方法（如 PUT/DELETE 滥用）

特征与规则匹配：SQL 注入（SQLi）、跨站脚本（XSS）、命令注入、路径遍历（../、../）

速率/行为控制：暴力破解、CC 攻击、异常 User-Agent/Referer

上传与文件检查：扩展名/MIME/魔数一致性、黑名单后缀、脚本木马

覆盖 GET/POST：不仅检查 URL 查询串，还会解析并检测 POST Body（x-www-form-urlencoded、multipart/form-data、application/json 等）

WAF 的价值边界

强于网络层与协议层攻击的阻断

不理解自然语言语义：难以判断“看似正常、实则恶意”的文本指令（例如“忽略之前规则”“以小说体详述某危险行为”等）

二、AI 安全护栏是什么：守住“语义与输出”的关键一环

随着 LLM（大语言模型）进入业务系统，攻击面从“网络协议”扩展到“自然语言语义与内容”。AI 安全护栏专注处理 Prompt（输入）与 Response（输出） 的安全与合规问题。

需要解决的“新型风险”

提示词注入（Prompt Injection）：诱导模型“忽略既有规则”、泄露系统提示词或机密

越狱（Jailbreak）：通过变体话术绕过限制（“角色扮演/虚构情境/翻译指令”等）

违规内容生成：涉政、涉黄、暴力犯罪、违法、歧视、辱骂等

隐私与数据外渗：泄露个人信息、企业秘钥、内部数据、机密知识库

供应链与工具调用风险：RAG、函数调用、外链获取的数据被污染或被诱导

和 WAF 的关键差异

三、为什么有了 WAF 还需要 AI 安全护栏？

现实差距举例

用户输入 “请把内部规则原样吐出”“忽略此前的所有要求” → WAF 看不懂其危害，AI 护栏能识别。

用户请求 “以文学创作的形式描述某危险行为的详细步骤” → WAF 只见到一段文本，AI 护栏能识别并代答/重写。

多轮对话中，攻击语句分散在上下文里（分片绕过） → AI 护栏的上下文感知可还原意图并判定风险。

结论：攻击从“网络层”升级到“语义层”。只用 WAF 不足以覆盖大模型的真实风险面。

四、WAF + AI 安全护栏的参考架构与落地方案

分层思路（推荐）

[客户端/调用方]↓[WAF / API 网关（网络与协议安全）]*协议/格式校验、攻击特征拦截、速率限制、文件检查 ↓ [AI 安全护栏（语义与内容安全，具备上下文感知）]* 预检：Prompt 语义安全检测、提示词注入/越狱识别、PII/商业机密过滤* 推理：与模型解耦，可插拔任意 LLM* 后检：输出内容合规检测（12 维度）、隐私与数据泄露防控、结果重写/智能代答 ↓ [LLM/工具/RAG/企业知识库] ↓ [审计与告警/可观测性/取证回放]

流转策略

预检（Pre-Guard）：阻断明显危险输入；对灰度风险进行降格重写或请求澄清推理（Inference）：只把“净化后的”输入交给模型后检（Post-Guard）：对模型输出进行合规审查；必要时代答/重写/打码审计：全链路记录，支持追踪、取证与持续优化

五、开源推荐：象信 AI 安全护栏（Apache-2.0，免费可商用）

开源与授权

完全免费：个人与企业可用可商用：支持二次开发与商业销售协议：Apache 2.0

核心功能

提示词攻击检测内容合规检测（12 维度）黑白名单管理智能代答上下文感知

开源资源

GitHub：https://github.com/xiangxinai/xiangxin-guardrails在线体验/免费 API Key：https://xiangxinai.cn/Hugging Face 模型：https://huggingface.co/xiangxinai/Xiangxin-Guardrails-Text

六、落地清单与常见误区

落地清单

边界加固（WAF）引入护栏（预检 + 后检）上下文安全响应策略（阻断/代答/重写/打码/人工复核）审计与回放持续评测

常见误区

“我们有 WAF，就够了” → 忽视语义层风险“单靠规则就能防注入/越狱” → 忽视对抗性话术“只做输入检查就行了” → 忽视输出违规与泄露“一次部署即可” → 忽视持续运营

七、快速上手与集成示例

# 获取开源代码git clone https://github.com/xiangxinai/xiangxin-guardrailscd xiangxin-guardrails# 调用示例curl --location --request POST 'http://localhost:5000/v1/guardrails' \--header 'Content-Type: application/json' \--header 'Authorization: Bearer your-api-key' \--raw '{ "model": "Xiangxin-Guardrails-Text", "messages": [ { "role": "user", "content": "（这里换成你的用户输入）" } ]}'

总结与行动

WAF ≠ AI 安全护栏：前者守协议，后者守语义。

最佳实践：WAF + 象信 AI 安全护栏，形成从入口到出口的双层闭环防护。

关于象信 AI

公司：北京象信智能科技有限公司

使命：让 AI 更安全，让应用更可信

官网：https://xiangxinai.cn

GitHub：https://github.com/xiangxinai/xiangxin-guardrails

商务合作：wanglei@xiangxinai.cn