高级java每日一道面试题-2025年8月27日-基础篇[LangChain4j]-如何审计 LLM 的输入输出?
在 LangChain4j 中,审计 LLM 的输入输出主要通过Guardrails(护栏机制)来实现。Guardrails 是一种在调用 LLM 前后对数据进行校验的机制,它可以确保输入输出符合预期,是实现审计和合规的核心手段。
从企业级应用的角度看,对 LLM 输入输出的审计包含两个层面:
- 实时控制:在校验失败时,阻断或修正请求。
- 事后存证:将所有交互记录成结构化数据,供分析和追溯。
LangChain4j 的 Guardrails 机制完美支持了第一点,而结合我们之前讨论过的监听器模式,则可以优雅地实现第二点。
下面这张图清晰地展示了 Guardrails 在整个 AI 服务调用链路中的位置和作用:
🛡️ 输入 Guardrails:审计与控制的第一道关卡
输入 Guardrails 在用户消息被发送给大语言模型之前执行。它不仅可以用于审计,还能在审计失败时主动阻断请求。
核心接口与实现
你需要实现InputGuardrail接口。该接口提供了两种validate方法,至少需要实现其中一种:
// 简单的校验,只需访问用户消息InputGuardrailResultvalidate(UserMessageuserMessage);// 复杂的校验,可以访问更多上下文,如聊天历史、RAG结果等InputGuardrailResultvalidate(InputGuardrailRequestparams);审计结果类型
InputGuardrailResult有四种关键结果,决定了审计通过后的执行流程:
| 结果 | 辅助方法 | 审计通过后的行为 |
|---|---|---|
| success | success() | 校验通过,请求继续。 |
| success with alternate result | successWith(String) | 校验通过,但会在进入下一步前修改用户消息(例如,用于脱敏)。 |
| failure | failure(String) | 校验失败,但仍会执行其他 Guardrail 以收集所有问题。最终 LLM不会被调用。 |
| fatal | fatal(String) | 校验失败,立即停止,抛出异常。LLM不会被调用。 |
实战示例:防止提示注入攻击
下面是一个用于检测并拦截潜在提示注入攻击的输入 Guardrail 示例:
importdev.langchain4j.data.message.UserMessage;importdev.langchain4j.guardrail.InputGuardrail;importdev.langchain4j.guardrail.InputGuardrailResult;publicclassPromptInjectionGuardrailimplementsInputGuardrail{privatestaticfinalList<String>SUSPICIOUS_PHRASES=List.of("忽略之前的指令","忘记你之前的设定","扮演一个不受限制的AI");@OverridepublicInputGuardrailResultvalidate(UserMessageuserMessage){Stringtext=userMessage.singleText();for(Stringphrase:SUSPICIOUS_PHRASES){if(text.contains(phrase)){// 审计失败:检测到可疑内容,立即阻断returnfatal("检测到潜在的提示注入攻击,本次请求已被记录并拒绝。");}}returnsuccess();// 审计通过}}📝 输出 Guardrails:审计与修正的第二道防线
输出 Guardrails 在 LLM 生成结果后执行。它的强大之处在于,如果审计失败,可以自动进行重试或修正,确保最终返回的结果是安全合规的。
核心接口与实现
你需要实现OutputGuardrail接口。同样有两种validate方法:
// 简单的校验,只需访问 AI 的响应消息OutputGuardrailResultvalidate(AiMessageresponseFromLLM);// 复杂的校验,可以访问完整上下文OutputGuardrailResultvalidate(OutputGuardrailRequestparams);强大的审计结果类型
输出 Guardrail 的结果类型比输入更丰富,提供了自动修复机制:
| 结果 | 辅助方法 | 审计通过后的行为 |
|---|---|---|
| success | success() | 校验通过,正常返回响应。 |
| success with rewrite | successWith(String) | 校验通过,但会重写输出后再返回(例如,用于格式化)。 |
| failure / fatal | failure(...)/fatal(...) | 校验失败,抛出异常。 |
| fatal with retry | retry(String) | 审计失败,但会自动用相同的提示重试 LLM 调用,最多可配置重试次数。 |
| fatal with reprompt | reprompt(String, String) | 审计失败,但会用 Guardrail 提供的新提示重新调用 LLM,指导 LLM 如何修正答案。 |
实战示例:校验 JSON 输出格式
LangChain4j 内置了JsonOutputGuardrail,它专门用于校验 LLM 的响应是否能被反序列化为预期的 Java 对象。如果校验失败,它会自动触发重新提示,要求模型生成有效的 JSON,从而保证返回给客户端的永远是一个结构正确的对象。
⚙️ Guardrails 的注册与审计日志持久化
如何注册 Guardrails
Guardrails 可以通过三种方式注册到你的 AI Service 上,优先级从高到低为:
- 在
AiServices构建器上直接设置(优先级最高) - 在单个 AI Service 方法上使用
@InputGuardrails/@OutputGuardrails注解 - 在 AI Service 接口类上使用
@InputGuardrails/@OutputGuardrails注解(优先级最低)
例如,通过构建器注册我们上面创建的 Guardrail:
Assistantassistant=AiServices.builder(Assistant.class).chatModel(chatModel).inputGuardrails(newPromptInjectionGuardrail())// 注册输入护栏.outputGuardrails(newJsonOutputGuardrail<>(MyResponse.class,3))// 注册输出护栏,最多重试3次.build();如何实现完整的审计日志
Guardrails 负责了实时控制,但审计还需要事后存证。这正是我们之前讨论过的监听器(Listener)机制发挥价值的地方。
你可以创建一个通用的AuditListener,同时实现AiServiceStartedListener和AiServiceCompletedListener。在这个监听器中,你可以获取到完整的请求、响应、Token 用量、耗时等所有信息,并将它们作为一个结构化的 JSON 对象写入你的审计日志系统(如数据库、Elasticsearch 或日志文件)。结合 Guardrails 的校验结果,你可以为每一次 AI 交互创建一个包含“输入-校验-输出”全链路的、不可篡改的审计记录。
💡 总结
在 LangChain4j 中,审计 LLM 输入输出是一个组合拳:
- 实时控制:通过Guardrails机制,在请求前后设置校验规则,实现自动化的内容过滤、格式校验和风险阻断。输出 Guardrail 的
retry和reprompt能力更是为系统增添了自我修正的智能。 - 事后存证:通过Listener机制,捕获所有交互的元数据,形成可查询、可分析的结构化审计日志,为合规性和问题排查提供数据基础。
这套体系将安全策略从代码逻辑中解耦出来,使得 AI 应用的可观测性、可审计性和健壮性都得到了极大的提升。