第23章：安全与权限——私有化AI服务的边界

1. 项目背景

业务场景

某金融科技公司的AI平台运行了两个月，服务了内部200名员工。CTO在月度安全审计时发现了三个严重问题：

1. 无鉴权裸奔：Ollama的API被配置为监听0.0.0.0:11434，内网任何机器都可以直接调用。安全工程师用nmap一扫就发现了这个端口，随便发个curl就拿到了模型列表。
2. Prompt泄漏敏感信息：客服人员把包含客户姓名、手机号、银行卡后四位的工单描述直接发给AI——这些信息以明文形式存储在AI服务的日志和会话历史中。
3. 越权工具调用：第13章开发的订单查询工具没有做用户隔离——员工A查询了"ORD-20250001"的订单，员工B没有权限查看这个订单，但工具照样返回了全部信息。

CTO震怒：“AI平台的数据安全级别至少要和我们的核心业务系统一样！立即整改。”

痛点

1. Ollama原生无鉴权：默认监听localhost是安全的，但一旦暴露内网就需要额外防护层。
2. 用户数据在AI链路中裸奔：请求体(Prompt)、响应体、日志、审计记录——四层都可能渗出敏感数据。
3. 工具调用无权限边界：模型可以调用系统函数，但没有机制限制"谁能调什么函数、查询什么数据"。
4. Pro