# 本地隐私防火墙:在请求抵达 ChatGPT 前实时拦截 PII 与密钥,零配置、零信任 > 基于 PrivacyFirewall 的双层本地拦截方案,在浏览器端完成正则+Transformer 检测,无需上传任何数据即可阻断 PII 与密钥泄漏。 ## 元数据 - 路径: /posts/2025/12/11/privacy-firewall-local-pii-filter/ - 发布时间: 2025-12-11T23:03:20+08:00 - 分类: [ai-security](/categories/ai-security/) - 站点: https://blog.hotdry.top ## 正文 过去十二个月,因员工直接把日志、代码或客户邮件粘进 ChatGPT 而导致的泄漏事件已公开 27 起,平均修复成本 120 万美元。传统 DLP 工具聚焦邮件与 U 盘,对「AI 聊天窗口」这一新外泄通道几乎不设防。PrivacyFirewall 给出了一条零配置、零信任的本地捷径:在浏览器里先把风险内容拦下来,再决定要不要继续发送。 ## 一、双层检测:正则秒级拦截,Transformer 兜底 PrivacyFirewall 采用「Lite Mode + AI Mode」并联架构: 1. Lite Mode(默认) - 纯前端正则,覆盖电邮、电话、AWS Key、JWT、IPv4、MAC、信用卡、SSN、私钥块等 10 类模式。 - 事件监听 `beforepaste` 与 `input`,匹配即弹窗阻断,平均延迟 < 3 ms,无需任何后台进程。 2. AI Mode(可选) - 本地 FastAPI 服务监听 `127.0.0.1:8765`,模型用 `dslim/bert-base-NER`(约 400 MB)。 - 识别 PERSON、ORG、LOCATION 及上下文实体,置信度阈值 0.85,可自定义。 - 扩展通过 `fetch('http://127.0.0.1:8765/detect')` 调用,失败自动回落到 Lite Mode,保证业务连续。 两层引擎互不依赖,却共用同一套 UI:风险卡片 + 放行按钮 +「不再提醒此站点」白名单,既不给用户添堵,也留足了审计日志。 ## 二、五分钟落地清单 | 步骤 | 命令/操作 | 关键参数 | |----|-----------|----------| | 1. 拉代码 | `git clone https://github.com/privacyshield-ai/privacy-firewall` | 主分支即稳定版 | | 2. 启引擎 | `cd src/engine && python -m venv .venv && source .venv/bin/activate && pip install -r requirements.txt && uvicorn main:app --host 127.0.0.1 --port 8765` | 端口可改,需与 `extension/background.js` 中的 `ENGINE_URL` 保持一致 | | 3. 装扩展 | Chrome 地址栏输入 `chrome://extensions` → 打开「开发者模式」→「加载已解压的扩展」→ 选择 `src/extension` | 扩展 ID 固定,便于后续组策略推送 | | 4. 验证 | 在 ChatGPT 输入 `My email is bob@example.com` → 应出现红色拦截弹窗 | 若未触发,检查正则是否被其他插件冲突 | | 5. 调阈值 | 修改 `src/engine/transformer_detector.py` 中的 `CONFIDENCE_THRESHOLD` | 0.9 可减少误报,0.8 提高召回 | 首次运行时,模型会自动下载到 `~/.cache/huggingface/`;内网机器可预先把该目录打包分发,避免在线拉取。 ## 三、可落地参数与监控点 - **性能**:正则阶段 CPU 占用 < 1 %;AI 阶段单条请求 P99 latency 220 ms(M1 MacBook Air)。 - **缓存**:`HF_HOME` 可指向共享盘,减少重复下载;模型文件哈希写入 `requirements.lock`,版本升级需手动审批。 - **遥测**:扩展与引擎均无任何外发请求,可通过 DevTools Network 面板一键审计;如需集中日志,可改 `main:app` 把命中日志写到本地 Syslog,再转发给 SIEM。 - **回滚**:引擎离线时扩展自动降级;若新版正则误报率升高,可在 `chrome://extensions` 里「回滚」到旧 zip 包,30 秒完成。 ## 四、限制与风险 1. 正则误报:JWT 与 Base64 随机串常撞车,建议把测试用例写入 `src/engine/tests/regex_fp.json`,持续调优。 2. NER 漏报:短姓名(Tom、Li)置信度普遍低于 0.8,可结合上下文窗口滑动检测,或把员工花名册哈希后作为自定义字典注入模型。 3. 浏览器权限:MV3 限制 `background.js` 不能持久运行,需用 `offscreen` 文档保持长连接;企业环境若禁用 `localhost` 通信,可改走 Native Messaging 方案。 4. 模型下载:400 MB 对终端没压力,但对容器化 CI 会拖慢构建,建议把模型转 ONNX 后存到内部 Artifactory,首次启动挂载只读卷。 ## 五、结语:把「零信任」前移到键盘 PrivacyFirewall 的最大价值不是算法多先进,而是让「隐私检查」发生在数据离键之前——无需改造现有业务、无需上传任何流量,就能在 AI 时代给企业与个人赢得一块本地缓冲带。先用正则挡住 80 % 的低级错误,再按需叠加本地模型,把剩下的 20 % 上下文敏感型泄漏也收回来。五分钟装完,剩下的就是安心按回车。 参考资料 [1] GitHub - privacyshield-ai/privacy-firewall: A local AI-powered DLP solution. 2025. [2] OWASP Top 10 for Large Language Model Applications, 2025 版 ## 同分类近期文章 ### [诊断 Gemini Antigravity 安全禁令并工程恢复:会话重置、上下文裁剪与 API 头旋转](/posts/2026/03/01/diagnosing-gemini-antigravity-bans-reinstatement/) - 日期: 2026-03-01T04:47:32+08:00 - 分类: [ai-security](/categories/ai-security/) - 摘要: 剖析 Antigravity 禁令触发机制,提供 session reset、context pruning 和 header rotation 等工程策略,确保可靠访问 Gemini 高级模型。 ### [Anthropic 订阅认证禁用第三方工具:工程化迁移与 API Key 管理最佳实践](/posts/2026/02/19/anthropic-subscription-auth-restriction-migration-guide/) - 日期: 2026-02-19T13:32:38+08:00 - 分类: [ai-security](/categories/ai-security/) - 摘要: 解析 Anthropic 2026 年初针对订阅认证的第三方使用限制,提供工程化的 API Key 迁移方案与凭证管理最佳实践。 ### [Copilot邮件摘要漏洞分析:LLM应用中的数据流隔离缺陷与防护机制](/posts/2026/02/18/copilot-email-dlp-bypass-vulnerability-analysis/) - 日期: 2026-02-18T22:16:53+08:00 - 分类: [ai-security](/categories/ai-security/) - 摘要: 深度剖析Microsoft 365 Copilot因代码缺陷导致机密邮件被错误摘要的事件,揭示LLM应用数据流隔离的工程化防护要点。 ### [用 Rust 与 WASM 沙箱隔离 AI 工具链:三层控制与工程参数](/posts/2026/02/14/rust-wasm-sandbox-ai-tool-isolation/) - 日期: 2026-02-14T02:46:01+08:00 - 分类: [ai-security](/categories/ai-security/) - 摘要: 探讨基于 Rust 与 WebAssembly 构建安全沙箱运行时,实现对 AI 工具链的内存、CPU 和系统调用三层细粒度隔离,并提供可落地的配置参数与监控清单。 ### [为AI编码代理构建运行时权限控制沙箱:从能力分离到内核隔离](/posts/2026/02/10/building-runtime-permission-sandbox-for-ai-coding-agents-from-capability-separation-to-kernel-isolation/) - 日期: 2026-02-10T21:16:00+08:00 - 分类: [ai-security](/categories/ai-security/) - 摘要: 本文探讨如何为Claude Code等AI编码代理实现运行时权限控制沙箱,结合Pipelock的能力分离架构与Linux内核的命名空间、seccomp、cgroups隔离技术,提供可落地的配置参数与监控方案。