防泄漏、生图和生视频安全策略

数据和媒体安全是 AI 应用最容易被低估的部分。

很多团队会先关注模型回答是否准确,却忽略另一个问题:模型是否看到了不该看的数据,输出是否包含不该公开的信息,用户上传的文件是否夹带敏感内容,生成的图片和视频是否存在侵权、违规、深度伪造或品牌风险。

文本、文件、图片、音频、视频进入同一个 AI 工作流后,安全边界会变复杂。一个营销素材生成工具,可能同时处理用户提示词、产品图片、品牌规范、参考视频、人物肖像、生成结果和发布渠道。任何一个环节没有审核,都可能让敏感信息或不合规内容进入公开传播。

这篇文章讨论三类风险:

  • 防泄漏:输入、上下文、输出、日志和文件中的敏感信息。
  • 生图安全:图片生成、编辑、换脸、品牌和版权风险。
  • 生视频安全:视频生成、数字人、声音、动作、场景和深度伪造风险。

1. 提出问题

假设一个电商运营团队使用 AI 生成商品详情页素材。

运营会上传商品图片、竞品截图、品牌手册、达人参考视频和活动文案。AI 会生成卖点摘要、详情页图片、短视频脚本、口播视频和多渠道发布文案。输出可能进入内部审核,也可能一键发布到广告平台。

常见样本很普通:

  • “基于这张商品图生成 3 张详情页头图。”
  • “把这段活动文案改成短视频脚本。”
  • “参考这个视频节奏,生成 15 秒开屏广告。”

容易失败的样本则涉及安全和合规:

  • 上传的商品图里包含用户手机号、订单号或后台水印。
  • 竞品截图里的 Logo 被生成结果保留。
  • 用户要求“做成某个明星代言的感觉”。
  • 视频生成人物口播了未验证功效和夸大承诺。
  • 参考视频含有未授权音乐、人脸或未成年人。
  • 生成结果自动发布,审核人员没有看到风险标记。

这里的安全问题不只是“提示词是否违规”,还包括文件、图像、视频帧、音频、OCR 文本、元数据、输出内容和发布流程。

2. 分析问题

数据和媒体安全可以拆成多个任务类型。

问题类型常见表现主要治理点
输入泄漏用户上传合同、证件、订单、源代码、密钥、后台截图输入识别、脱敏、拒收、权限限制
上下文泄漏把其他用户、其他租户或内部资料放进上下文最小上下文、权限过滤、数据分级
输出泄漏回复、图片、字幕、文件导出中包含隐私或商业机密输出审核、脱敏、结构化校验
日志泄漏Prompt、文件内容、工具结果原样进入日志日志脱敏、保留周期、访问控制
文件风险上传恶意文件、隐藏文本、宏、压缩包、EXIF、OCR 敏感信息文件扫描、解析隔离、元数据清理
生图风险暴力、色情、仇恨、政治、未成年人、侵权、名人肖像、品牌误用提示词审核、图像审核、水印、人审
生视频风险深度伪造、声音克隆、危险行为演示、虚假新闻、夸大宣传身份授权、音视频审核、发布限制
版权和品牌风险生成近似受保护角色、Logo、画风或竞品包装品牌规则、相似度检测、授权管理
内容安全面向用户或公开渠道输出违法违规、骚扰仇恨、危险行为或高风险专业建议风险分级、拒答、改写、人工复核

模型适合做内容分类、PII 识别、OCR 后风险判断、生成前改写建议、生成后说明风险原因。

规则和系统更适合做文件大小限制、类型白名单、权限过滤、哈希和相似度检测、日志脱敏、发布审批和保留策略。

收益/成本判断

防泄漏和媒体审核会增加成本,但它让 AI 能进入更有价值的素材、知识和自动化流程。

治理措施收益成本风险
输入 PII 检测防止敏感内容进入模型和日志误报、解析成本隐藏文本和图片中文字可能漏检
最小上下文降低越权和泄漏面需要数据分级和权限系统上下文不足会影响质量
输出审核防止敏感或违规内容对外增加延迟和审核成本审核模型也会误判
文件解析隔离降低恶意文件和隐藏指令风险需要沙箱、格式处理复杂格式覆盖不全
多媒体审核控制图片、视频、音频风险算力、人审、申诉成本视觉和语义风险难完全自动化
水印和溯源支持追踪和平台合规影响素材流程水印可能被裁剪或移除

收益和成本的判断要结合输出位置。内部草稿可以接受较轻审核;公开广告、医疗健康内容、金融营销、未成年人相关内容,需要更强审核和人工确认。

3. 列举方案

何时简单策略足够

简单策略适合低风险、内部使用、人工编辑、不会自动发布的场景。

例如团队内部用 AI 生成活动标题、改写商品卖点、做非公开视觉草稿,可以先采用:

  • 输入提示:不要上传证件、合同、密钥、客户数据。
  • 基础 PII 识别:手机号、邮箱、身份证、银行卡、密钥格式。
  • 输出敏感词和 PII 扫描。
  • 生成结果默认标记为草稿。
  • 发布前由运营人工检查。
  • 日志只保存摘要或脱敏内容。

这类策略便宜,能覆盖明显泄漏和低级违规,但不适合自动发布和高风险媒体生成。

何时需要工程方案

出现以下情况时,需要系统化治理:

  • 用户可以上传文件、图片、音频或视频。
  • 输入包含客户、员工、合同、财务、医疗、教育、未成年人或源代码。
  • 生成结果会公开发布、投放广告、进入商品详情页或社交媒体。
  • 产品支持人脸编辑、声音克隆、数字人、视频改写或图像局部重绘。
  • 生成内容涉及医疗功效、金融收益、法律承诺、招聘教育等合规领域。
  • 需要满足企业审计、平台审核、版权授权或监管要求。

工程方案要覆盖生成前、生成中和生成后,而不是只在输出阶段拦一次。

方案阶梯

第一层:数据分级和最小上下文

先定义哪些数据可以进入模型。

数据级别示例默认策略
公开数据官网文案、公开商品图、公开帮助文档可进入模型和生成流程
内部数据内部手册、运营策略、未发布活动需权限,输出默认内部可见
受限数据合同、客户记录、财务、源代码、后台截图最小上下文、脱敏、禁止公开输出
高敏数据证件、银行卡、医疗记录、密钥、人脸授权材料默认拒收或专门安全流程

最小上下文的原则是:只给模型完成当前任务所需的信息,不把“可能有用”的敏感材料一起塞进去。

第二层:输入审核

输入审核要覆盖文本、文件和多媒体。

文本输入可以检测 PII、密钥、越权请求、违法违规内容和高风险意图。

文件输入要处理文件类型、大小、宏、压缩包、元数据、OCR 文本、嵌入链接和隐藏指令。解析应该在隔离环境中完成,解析后的文本也要标记来源和可信度。

图片和视频输入需要识别人脸、证件、品牌 Logo、未成年人、暴力色情、医疗场景、政治敏感、屏幕截图中的敏感文字,以及参考素材是否适合用于生成。

第三层:生成策略

生成策略不是只写拒绝词,而是把风险变成产品约束:

  • 禁止生成未授权名人、普通人换脸或冒充真实人物。
  • 禁止生成可被理解为真实新闻、证据或官方通知的虚假内容。
  • 对医疗、金融、法律、功效宣传使用受控模板。
  • 对品牌素材使用授权素材库和品牌规范。
  • 对未成年人相关内容使用更严格阈值。
  • 对批量生成和高风险关键词增加速率限制和人工复核。

生成时可以把模型输出限定为草稿,并要求在进入发布流程前完成审核。

第四层:输出审核

输出审核要同时看文本和媒体结果。

文本审核关注 PII、商业机密、夸大承诺、高风险建议、仇恨骚扰、违法违规和版权提示。

图片审核关注违规视觉内容、Logo、名人肖像、未成年人、血腥暴力、裸露色情、危险行为、证件和屏幕信息。

视频审核还要关注逐帧内容、字幕、口播、音频、人物身份、动作意图、场景语义和是否可能被误认为真实记录。

输出审核的结果最好是结构化的:

{
  "riskLevel": "medium",
  "categories": ["brand_logo", "unverified_claim"],
  "action": "needs_human_review",
  "reasons": ["画面中疑似包含竞品 Logo", "字幕包含未验证功效承诺"]
}

第五层:人工复核、发布控制和溯源

高风险内容需要人工复核,尤其是公开发布前。

复核界面应该展示:

  • 原始输入和生成结果。
  • 检测到的风险类型。
  • 使用的参考素材和授权状态。
  • 生成模型、参数和时间。
  • 修改记录和发布目标。

发布控制要支持草稿、待审、驳回、已发布、已撤回等状态。对外发布的 AI 生成媒体,可以考虑水印、元数据标记、内容凭证或内部追踪 ID。

4. 决策判断

方案选型表

场景条件推荐方案不推荐方案判断理由额外成本
内部文本草稿基础 PII 扫描 + 用户确认重型人审输出不公开,用户可编辑
用户上传合同或后台截图文件解析隔离 + OCR + 脱敏 + 最小上下文原文件直接进模型文件可能包含高敏和隐藏指令解析、扫描、脱敏
企业知识库问答权限过滤 + 引用 + 输出脱敏检索后再让模型保密防泄漏要在上下文前完成权限和索引治理
商品图生成内部草稿输入审核 + 输出图像审核只审核提示词图片本身可能包含 Logo、人脸和敏感文字图像审核成本
广告素材公开发布多模态审核 + 品牌规则 + 人工复核 + 溯源生成后自动投放公开传播风险高审核流程、素材授权
数字人或声音克隆身份授权 + 音视频审核 + 发布限制用户上传音视频即可生成冒充真实人物风险高授权管理、人审
医疗/金融/法律宣传受控模板 + 合规审核 + 拒绝夸大承诺自由生成卖点错误承诺代价高专家规则和审核

反模式

第一种反模式:只在输出端做敏感词过滤。

如果敏感信息已经进入模型上下文和日志,即使最终输出被拦截,泄漏面也已经扩大。输入审核、最小上下文和日志脱敏同样重要。

第二种反模式:把“不要上传敏感信息”当成唯一防护。

用户可能不知道图片、截图、PDF 元数据或视频帧里包含敏感信息。系统需要帮助识别,而不是完全依赖用户自觉。

第三种反模式:文本审核通过,就认为图片和视频安全。

生成结果可能在视觉上包含违规元素,即使提示词本身很正常。比如“办公室场景海报”生成了屏幕上的客户名单,或保留了竞品 Logo。

第四种反模式:参考图和参考视频不做授权管理。

“参考风格”“参考构图”“参考人物”都可能带来版权、肖像权和品牌风险。素材库应该记录来源、授权范围和可用场景。

第五种反模式:高风险媒体自动发布。

生图、生视频尤其是广告、医疗、金融、招聘、教育和未成年人相关内容,不能只靠自动审核决定发布。至少要对高风险结果进入人工复核。

第六种反模式:日志保存原始文件和完整 Prompt。

日志是复盘工具,也可能成为泄漏源。应该保存必要 trace、风险标签和脱敏摘要,而不是无限期保存所有原始内容。

5. 结论收束

防泄漏、生图和生视频安全的关键,是把审核前移到输入,把权限落实到上下文,把拦截覆盖到输出,把公开发布放进可审计流程。

低风险内部草稿可以从提示、基础 PII 扫描和人工编辑开始;一旦涉及文件、多媒体、客户数据、品牌素材或公开发布,就需要数据分级、输入审核、输出审核、授权管理、人工复核和日志脱敏。

多媒体 AI 的风险往往不是一句提示词能看出来的。真正可靠的方案,要同时检查用户想做什么、上传了什么、模型生成了什么,以及这些结果最终会被发布到哪里。

工程清单

  • 数据分级:是否区分公开、内部、受限和高敏数据。
  • 输入审核:文本、文件、图片、音频、视频是否分别审核。
  • 文件安全:是否限制类型和大小,是否清理元数据,是否隔离解析。
  • OCR 和元数据:图片、PDF、视频帧和截图中的文字是否被识别。
  • 最小上下文:模型是否只接收当前任务必要信息。
  • 输出审核:文本、图片、视频、音频、字幕和结构化结果是否审核。
  • 媒体策略:人脸、未成年人、名人、品牌、版权、深度伪造是否有规则。
  • 授权管理:参考素材、声音、人脸、Logo 和字体是否记录授权范围。
  • 人工复核:公开发布和高风险内容是否进入审核队列。
  • 水印溯源:AI 生成媒体是否有追踪 ID、元数据或内容凭证。
  • 日志脱敏:Prompt、工具结果、文件内容和审核结果是否按级别保存。
  • 反馈申诉:误拦截、误放行和用户申诉是否能进入改进闭环。