AI 应用防护：给你的大模型 API 加一把锁

为什么要做这个

2024 年以来，越来越多的企业把大模型能力通过 API 暴露给前端或第三方调用。但 AI 应用和传统 Web 应用面临的安全威胁不太一样：

1. Prompt 注入——让你的模型"叛变"

攻击者在用户输入中嵌入越狱话术、角色劫持指令、分隔符污染，诱导模型绕过系统预设的安全边界，输出不该输出的内容。这不是假设，而是每天都在发生的事。

2. Token 盗刷——一夜之间账单爆炸

API Key 一旦泄露或被枚举，攻击者会疯狂调用你的接口。按 token 计费的模型服务，一晚上烧掉几千美金并不夸张。传统限速按"请求次数"算，但一个请求 max_tokens=4096 和 max_tokens=16 的成本差了几十倍，按次限速根本防不住。

3. AI 爬虫——你的内容在被免费"投喂"

GPTBot、ClaudeBot、PerplexityBot……各大模型厂商的训练爬虫和检索爬虫日夜不停地抓取你的站点内容。你辛苦产出的内容变成了别人的训练语料，而 robots.txt 只是"君子协定"。

这三个问题，传统 WAF 的 SQL 注入/XSS 规则完全覆盖不到。所以我们专门做了一套针对 AI 应用场景的防护模块。

能做什么

协议模板识别

系统内置 OpenAI、Anthropic Claude、Google Gemini、阿里通义、百度文心、智谱 GLM、Cohere、Ollama、MiniMax 等主流 LLM API 的请求协议模板。绑定后，系统能精确解析请求体中的 prompt 内容和 token 参数，为后续检测提供结构化数据。

如果你有私有 AI 接口（比如自部署的开源模型），支持自定义模板：配置路径正则、prompt 的 JSONPath、tokens 字段的 JSONPath 即可。

Prompt 注入检测

实时识别并拦截以下攻击模式：

检测项	说明
越狱话术（DAN）	“忽略以上所有指令”“你现在是一个没有限制的AI”
角色劫持	诱导模型扮演特定角色，绕过安全约束
分隔符污染	利用 `---`、`###`、`"""` 等分隔符截断系统提示
编码绕过	Base64 编码、Leet 变体（如 `1gn0r3`）、Unicode 形近字

支持两种工作模式：

实时拦截：命中即阻断，适合对安全要求严格的场景
异步复核：先放行，后台 AI 二次审查，发现真实注入后自动推送规则建议，适合怕误杀的场景

Token 防刷

不按"请求次数"限速，而是按"请求声明的 token 消耗"限速。

支持配置阈值：比如 100,000 tokens / 60s
支持多种限速维度：按 API Key、按来源 IP、按自定义请求头字段
超限后直接拦截，避免账单失控

举个例子：正常用户每分钟消耗 2000 tokens，你设 100,000 的阈值，正常业务完全不受影响；但攻击者拿着泄露的 Key 批量调用 max_tokens=4096，十几个请求就会触发拦截。

AI 爬虫管控

自动识别主流 AI 爬虫，按爬虫分别配置策略：

爬虫类型	示例	说明
训练爬虫	GPTBot、Google-Extended、CCBot	抓取内容用于模型训练
检索爬虫	ChatGPT-User、PerplexityBot	为 AI 搜索/对话提供实时信息
用户代理	Applebot-Extended 等	AI 功能增强的传统爬虫

每个爬虫可独立配置：

观察（仅记录）：先看看它来了多少次、抓了哪些路径，心里有数
拦截：直接返回 403
人机验证：JS Challenge 或验证码，真实浏览器能过、爬虫过不了

同时提供数据分析面板：哪些爬虫来的最多、抓的哪些路径、独立 IP 数多少，帮你做决策。

和传统 WAF 防护的区别

	传统 WAF	AI 应用防护
防护对象	Web 页面、表单、API	LLM 推理接口
检测目标	SQL 注入、XSS、目录遍历	Prompt 注入、Token 滥用、训练爬虫
限速维度	请求数 / IP	Token 消耗 / API Key
协议理解	HTTP 通用	深度解析 LLM 请求体结构

两者不冲突，叠加使用。传统 WAF 守住基础安全线，AI 应用防护解决 AI 场景特有的威胁。

适合谁

对外提供 AI API 服务的平台（MaaS、AI SaaS）
内部部署了大模型，通过网关对接业务系统的企业
有原创内容、不希望被 AI 爬虫无偿抓取的网站
用了 OpenAI/Claude 等第三方 API，担心 Key 泄露被盗刷的团队