一句话总结:企业 RAG 必须在「检索前过滤」而非「生成后审查」——在向量检索阶段就按用户权限限定文档范围,否则敏感片段已进入 LLM 上下文,存在泄露风险。
为什么权限是 RAG 的必选项?
企业文档天然分层:全员制度、部门手册、管理层报告、薪酬数据。若全库检索,LLM 可能将 A 部门薪资制度回答给 B 部门员工。
三种权限模型
| 模型 | 实现方式 | 适用场景 |
|---|---|---|
| 文档级 ACL | 每篇文档绑定可见角色/部门 | 文档归属清晰 |
| 集合级隔离 | 按部门建独立索引 | 强隔离、政务/金融 |
| 属性过滤 | 检索时附加 filter 条件 | 灵活、与 AD/LDAP 集成 |
推荐架构
用户登录 → 获取角色/部门
↓
检索请求携带 permission_filter
↓
向量库 / ES 只返回授权范围内片段
↓
LLM 生成(上下文已安全)常见坑
- 生成后再做敏感词过滤:为时已晚,片段已在上下文中
- 权限与 SSO 不同步:离职员工仍能访问
- 引用溯源暴露无权限文档标题:需在 UI 层脱敏
审计要求
生产系统应记录:谁、何时、问了什么、引用了哪些文档。泽衍科技 RAG 方案默认集成操作审计日志,满足等保与内控要求。