# 本地 PII 防火墙:在请求到达 ChatGPT 前实时拦截隐私与密钥 > 基于浏览器扩展+本地 BERT 的双层过滤器,零外部请求,可插拔 SDK,适合企业与个人在 AI 聊天场景下落地零信任隐私防护。 ## 元数据 - 路径: /posts/2025/12/11/local-pii-firewall-before-chatgpt/ - 发布时间: 2025-12-11T21:33:45+08:00 - 分类: [ai-security](/categories/ai-security/) - 站点: https://blog.hotdry.top ## 正文 ## 痛点:AI 聊天成新的数据泄露出口 过去两年,因员工把日志、代码或客户资料直接粘贴到 ChatGPT 而导致的密钥与 PII 泄露事件已多次见诸报端。传统 DLP 工具聚焦邮件、网盘与 U 盘,对「浏览器内输入」这一最后一公里几乎不设防。只要光标落入对话框,敏感信息就能在毫秒间发往第三方。privacyshield-ai 推出的开源项目 **privacy-firewall** 试图把防线前移:在本地浏览器侧完成实时检测与拦截,数据永不离开本机。 ## 方案:双层过滤器 + 零外部请求 ### 1. 浏览器扩展(MV3) - 监听 `paste` 与 `input` 事件,支持 ChatGPT、Claude、Gemini 等主流站点 - 内置 Regex-Lite 规则,覆盖邮箱、电话、AWS 密钥、JWT、SSN、MAC 等 10 类常见模式 - 命中后弹出阻断弹窗,用户可选择「继续」「编辑」或「取消」 ### 2. 本地 FastAPI 引擎(可选) - 基于 `dslim/bert-base-NER`,~400 MB,首次运行自动缓存到 `~/.cache/huggingface` - 提供 `POST /scan` 接口,返回实体类型、偏移、置信度 - 扩展在「AI 模式」下把待检文本先送本地 API,再决定是否阻断;引擎离线则自动降级到 Regex ### 3. 部署拓扑 ``` 用户粘贴 → 扩展拦截 → Regex 速检 → (可选) 本地 BERT → 阻断/放行 ``` 全链路走 `127.0.0.1:8765`,无需外网,不产生额外云费用,也规避了第三方隐私合规风险。 ## 落地:三步上线 | 步骤 | 命令 | 备注 | |----|------|------| | ① 克隆 | `git clone https://github.com/privacyshield-ai/privacy-firewall.git` | 源码全开放,可供审计 | | ② 起引擎 | `cd src/engine && pip install -r requirements.txt && uvicorn main:app --port 8765` | Python≥3.10,2 GB 内存即可 | | ③ 装扩展 | Chrome「开发者模式」→ 加载已解压的 `src/extension` | 默认 Regex 已生效;AI 模式需引擎在线 | 完成后打开 ChatGPT,粘贴 `AKIAxxxxxxxxxx` 这类 AWS 密钥,页面会立即出现红色阻断层。整个流程延迟 <150 ms(Regex)或 <600 ms(BERT),对正常提问体验几乎无感。 ## 调参与二次开发清单 | 参数 | 默认 | 建议 | 说明 | |----|-----|------|------| | `CONFIDENCE_THRESHOLD` | 0.75 | 0.85 | 提高可减少误报,代价是少量漏报 | | `MASKING_MODE` | `none` | `replace` / `label` | 阻断时把实体替换为 `***` 或 `[PERSON_1]` | | `MAX_TEXT_LEN` | 4 096 | 8 192 | 长日志场景可适当放宽 | | `FALLBACK_ON_ERROR` | true | true | 引擎异常时自动退回 Regex,保证可用性 | 项目同时暴露 `POST /scan` 与 `GET /health`,可被企业内部门户、IDE 插件或脚本直接调用,实现「可插拔 SDK」效果。例如在内部工单系统里,客服提交回复前自动扫描一次,若发现手机号即提示先脱敏再发单。 ## 局限与缓解 1. **语言**:当前 BERT 模型以英语为主,中文人名/地名识别率约 10%–15% 下降。可替换 `bert-base-chinese` 或 `bert-base-multilingual-cased`,再微调 1–2 个 epoch 即可回升。 2. **短昵称**:「Tom」「Ann」这类三字符实体容易被 NER 当普通词。解决方式是加一条「上下文 + 职位」规则,如 `Tom (engineer)` 才触发告警。 3. **性能**:首次加载模型需 3–4 秒、占用 1.1 GB 显存(CPU 亦可行)。对笔记本电池敏感场景,可把 AI 模式设为「手动触发」或「仅在工作时间启用」。 ## 小结:把零信任做到「最后一米」 privacy-firewall 用「浏览器扩展 + 本地 Transformer」把传统 DLP 的盲区补上了: - 零外发流量,天然通过 GDPR、PIPL 等合规审计; - 开源 MIT,可自托管、可二次开发; - 双模检测,既给安全团队「可用即开」的 Regex,也给算法团队「可调即训」的 BERT。 如果你所在企业已允许员工使用公有 AI 聊天,却担心密钥、客户号、源码片段被顺手贴出去,不妨把这套本地防火墙当成「零信任最后一米」的落地答案。先 Regex 全覆盖,再逐步引入本地大模型,用最轻量的成本把最不可控的输入出口管起来。 --- 参考资料 [1] privacyshield-ai/privacy-firewall GitHub 仓库 [2] Shen et al., 2025, *A survey on privacy risks and protection in large language models*, Springer. ## 同分类近期文章 ### [诊断 Gemini Antigravity 安全禁令并工程恢复:会话重置、上下文裁剪与 API 头旋转](/posts/2026/03/01/diagnosing-gemini-antigravity-bans-reinstatement/) - 日期: 2026-03-01T04:47:32+08:00 - 分类: [ai-security](/categories/ai-security/) - 摘要: 剖析 Antigravity 禁令触发机制,提供 session reset、context pruning 和 header rotation 等工程策略,确保可靠访问 Gemini 高级模型。 ### [Anthropic 订阅认证禁用第三方工具:工程化迁移与 API Key 管理最佳实践](/posts/2026/02/19/anthropic-subscription-auth-restriction-migration-guide/) - 日期: 2026-02-19T13:32:38+08:00 - 分类: [ai-security](/categories/ai-security/) - 摘要: 解析 Anthropic 2026 年初针对订阅认证的第三方使用限制,提供工程化的 API Key 迁移方案与凭证管理最佳实践。 ### [Copilot邮件摘要漏洞分析:LLM应用中的数据流隔离缺陷与防护机制](/posts/2026/02/18/copilot-email-dlp-bypass-vulnerability-analysis/) - 日期: 2026-02-18T22:16:53+08:00 - 分类: [ai-security](/categories/ai-security/) - 摘要: 深度剖析Microsoft 365 Copilot因代码缺陷导致机密邮件被错误摘要的事件,揭示LLM应用数据流隔离的工程化防护要点。 ### [用 Rust 与 WASM 沙箱隔离 AI 工具链:三层控制与工程参数](/posts/2026/02/14/rust-wasm-sandbox-ai-tool-isolation/) - 日期: 2026-02-14T02:46:01+08:00 - 分类: [ai-security](/categories/ai-security/) - 摘要: 探讨基于 Rust 与 WebAssembly 构建安全沙箱运行时,实现对 AI 工具链的内存、CPU 和系统调用三层细粒度隔离,并提供可落地的配置参数与监控清单。 ### [为AI编码代理构建运行时权限控制沙箱:从能力分离到内核隔离](/posts/2026/02/10/building-runtime-permission-sandbox-for-ai-coding-agents-from-capability-separation-to-kernel-isolation/) - 日期: 2026-02-10T21:16:00+08:00 - 分类: [ai-security](/categories/ai-security/) - 摘要: 本文探讨如何为Claude Code等AI编码代理实现运行时权限控制沙箱,结合Pipelock的能力分离架构与Linux内核的命名空间、seccomp、cgroups隔离技术,提供可落地的配置参数与监控方案。