各位同仁,下午好!
今天,我们齐聚一堂,探讨一个在人工智能,特别是大型语言模型(LLM)开发与部署中日益凸显的关键议题:Trace Masking。随着我们对LLM系统可观测性的需求不断增长,LangSmith这类工具成为了不可或缺的利器。然而,将LLM的执行链路——包括输入、中间步骤和输出——完整地发送到外部监控平台,也带来了敏感个人信息(PII)泄露的潜在风险。因此,如何高效、自动化地对这些链路数据进行脱敏,即Trace Masking,便成为我们必须攻克的堡垒。
本次讲座,我将以编程专家的视角,深入剖析Trace Masking的原理、策略、实现细节以及最佳实践,并大量结合代码示例,力求理论与实践并重,帮助大家构建一个既强大又安全的LLM应用监控体系。
1. LangSmith与LLM可观测性:挑战与机遇
首先,让我们快速回顾一下LangSmith在LLM开发生态系统中的定位。LangSmith是LangChain团队开发的一款强大的平台,旨在帮助开发者:
- 调试与测试LLM应用:捕获每一次LLM调用、工具使用、链执行的详细过程(即“链路”或“trace”),便于分析和定位问题。
- 监控与评估:跟踪应用在生产环境中的表现,收集用户反馈,进行模型评估和A/B测试。
- 版本管理:管理不同版本的LLM应用和提示词。
LangSmith通过记录LLM调用的完整“足迹”——包括原始用户输入、模型接收的提示词、模型生成的响应、中间步骤的工具调用及其结果,乃至整个链的最终输出——为我们提供了前所未有的洞察力。这些链路数据是优化LLM应用性能、提高可靠性、降低成本的关键。
然而,机遇总是伴随着挑战。 这些详细的链路数据,恰恰是潜在PII泄露的温床。试想,如果一个用户询问了关于其银行账户的问题,或者在聊天中提及了身份证号码、医疗状况,而这些信息被完整记录并发送到了LangSmith,那么数据泄露的风险便不容忽视。在合规性日益严格的今天(如GDPR、CCPA、HIPAA等),任何PII的非授权访问或存储都可能导致严重的法律后果和声誉损失。
因此,我们的核心任务是在享受LangSmith带来的强大可观测性的同时,确保敏感数据在离开本地环境发送到监控平台之前,得到妥善的脱敏处理。这就是Trace Masking的价值所在。
2. PII的定义与敏感性认知
在深入探讨脱敏技术之前,我们必须清晰地理解什么是PII以及为何它如此敏感。
个人身份信息(PII) 是指任何可以单独或与其他信息结合起来识别、联系或定位个人的数据。这包括但不限于:
| PII类别 | 示例 |
|---|---|
| 直接识别符 | 姓名、身份证号、护照号、社会安全号(SSN)、电子邮件地址、电话号码、住址、IP地址、生物识别数据(指纹、面部识别) |
| 间接识别符 | 出生日期、性别、职业、教育背景、种族、宗教、收入、购买历史、医疗记录、设备ID、位置数据 |
| 敏感属性 | 健康信息、财务信息(银行账号、信用卡号)、犯罪记录、政治观点、性取向 |
敏感性分析:
- 法律合规性: 全球各地的数据保护法规(GDPR、CCPA、HIPAA等)对PII的处理、存储、传输都有严格规定。违规可能导致巨额罚款。
- 用户信任: PII泄露会严重损害用户对产品和公司的信任,影响用户留存和品牌形象。
- 安全风险: 泄露的PII可能被用于身份盗窃、欺诈、网络钓鱼等恶意活动。
- 道德责任: 作为数据处理者,我们有道德责任保护用户的隐私。
因此,在LangSmith的场景下,任何用户输入、LLM生成内容或工具输出中包含的上述信息,都应被视为潜在的PII,并在发送至LangSmith前进行脱敏处理。
3. Trace Masking的核心概念与方法论
Trace Masking,顾名思义,就是在将LLM执行链路(trace)数据发送到LangSmith或其他监控系统之前,识别并替换掉其中的敏感个人信息(PII)的过程。其目标是在不牺牲系统可观测性的前提下,最大限度地保护用户隐私和遵守数据合规性。
3.1 何时进行脱敏?
最理想且推荐的脱敏时机是客户端侧(Client-Side),即在数据离开您的应用环境、发送到LangSmith服务之前。
- 优点: 敏感数据从未离开受控环境,最大程度降低泄露风险;您对脱敏逻辑有完全控制权。
- 缺点: 需要在您的应用代码中实现和维护脱敏逻辑。
相对地,在LangSmith服务器端进行脱敏(如果平台提供此类功能)则次之,因为敏感数据已经传输到第三方服务器,尽管可能在存储前被脱敏,但传输过程仍存在风险。我们的讨论将聚焦于客户端侧脱敏。
3.2 脱敏的类型与策略
Trace Masking并非单一的技术,而是多种策略的组合。选择哪种策略取决于数据的敏感程度、对可逆性的需求以及实现成本。
-
涂黑/遮蔽 (Redaction):
- 描述: 将敏感数据替换为通用占位符,如
[REDACTED]、***或特定标签(例如[EMAIL_MASKED])。这是最简单也最常用的方法。 - 特点: 不可逆,无法恢复原始数据。
- 适用场景: 对数据内容本身不感兴趣,只关心其存在性或类型,例如日志中的密码字段。
- 示例:
[email protected]->[EMAIL_REDACTED]
- 描述: 将敏感数据替换为通用占位符,如
-
假名化/替换 (Pseudonymization/Substitution):
- 描述: 将敏感数据替换为虚假但格式正确的非敏感数据。例如,用一个虚假的姓名替换真实姓名,用虚假的地址替换真实地址。
- 特点: 不可逆(通常),但替换后的数据看起来更“真实”,有助于保持数据的结构和某些分析用途(例如,统计某个虚假姓氏出现的频率)。
- 适用场景: 需要保持数据结构或格式,但原始值不重要的场景。
- 示例:
张三->李四,13800001234->13911115678
-
哈希 (Hashing):
- 描述: 使用哈希函数(如SHA-256)将敏感数据转换为固定长度的散列值。
- 特点: 不可逆(理论上),不同输入产生不同输出,相同输入总是产生相同输出。可用于检查数据唯一性或进行数据匹配,而无需暴露原始值。
- 适用场景: 需要判断某个敏感值是否出现过或是否与另一个值相同,但不允许直接查看原始值的场景。
- 示例:
[email protected]->e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
-
标记化 (Tokenization):
- 描述: 将敏感数据替换为随机生成的、无意义的“令牌”(token)。这些令牌通常存储在一个安全的令牌保管库中,与原始敏感数据进行映射。
- 特点: 可逆(通过令牌保管库),但需要额外的安全基础设施来管理令牌和原始数据的映射。
- 适用场景: 需要在特定受控环境下恢复原始数据的场景,例如客户服务部门需要查看原始信用卡号。
- 示例:
1234-5678-9012-3456->tok_xyzabc123
-
格式保留加密 (Format-Preserving Encryption, FPE):
- 描述: 一种特殊的加密方法,加密后的数据仍保持与原始数据相同的格式和长度。例如,加密后的信用卡号仍然是16位数字。
- 特点: 可逆,且保留了数据的格式,对下游系统兼容性好。
- 适用场景: 需要加密敏感数据,但同时要求保持数据格式以避免更改现有数据库模式或应用程序逻辑的场景。
- 示例:
1234-5678-9012-3456->9876-5432-1098-7654(加密后仍是16位数字)
在LangSmith的场景下,我们主要关注涂黑/遮蔽、假名化和哈希,因为它们提供了足够的隐私保护,且通常不需要复杂的密钥管理或令牌保管库。FPE和Tokenization虽然强大,但其复杂性可能超出一般LangSmith监控的需求。
4. 实现Trace Masking的策略与代码示例
现在,让我们深入到具体的实现层面。我们将探讨几种常见的Trace Masking策略,并提供基于Python和LangChain的代码示例。
4.1 策略一:手动脱敏(Developer-Driven Masking)
这是最直接但也是最笨拙的方法。开发者明确知道哪些字段或部分可能包含PII,并在发送数据之前手动进行替换。
优点: 精确控制,适用于已知且结构化的敏感数据。
缺点: 极易遗漏,扩展性差,维护成本高,不适合自由文本或动态生成的内容。
代码示例: 假设我们有一个用户输入字典,其中包含一个 email 字段。
import os
from langsmith import traceable
from langsmith import Client
from langchain_openai import ChatOpenAI
from langchain_core.messages import HumanMessage
# 配置LangSmith环境变量
os.environ["LANGCHAIN_TRACING_V2"] = "true"
os.environ["LANGCHAIN_API_KEY"] = "YOUR_LANGSMITH_API_KEY"
os.environ["LANGCHAIN_PROJECT"] = "Masking Demo Manual"
os.environ["OPENAI_API_KEY"] = "YOUR_OPENAI_API_KEY"
client = Client()
def manual_mask_data(data: dict) -> dict:
"""
手动脱敏函数,替换特定字段。
"""
masked_data = data.copy()
if "email" in masked_data:
masked_data["email"] = "[EMAIL_REDACTED]"
if "phone_number" in masked_data:
masked_data["phone_number"] = "[PHONE_REDACTED]"
if "user_query" in masked_data:
# 假设我们知道查询中可能包含姓名和地址
masked_data["user_query"] = (
masked_data["user_query"]
.replace("张三", "[NAME_REDACTED]")
.replace("北京市朝阳区", "[ADDRESS_REDACTED]")
)
return masked_data
@traceable(run_type="chain")
def process_user_request_manual(raw_input: dict):
"""
一个模拟处理用户请求的函数,展示手动脱敏。
"""
# 在发送到LangSmith之前进行脱敏
masked_input = manual_mask_data(raw_input)
print(f"Masked Input for LangSmith: {masked_input}")
# 模拟LLM调用
llm = ChatOpenAI(model="gpt-3.5-turbo", temperature=0)
response_message = llm.invoke([
HumanMessage(content=f"Based on {masked_input['user_query']}, provide a generic response.")
])
# 模拟LLM输出的脱敏(如果LLM可能生成PII)
masked_output_content = response_message.content.replace("李四", "[NAME_REDACTED]")
return {"original_input": raw_input, "processed_output": masked_output_content}
if __name__ == "__main__":
sensitive_data = {
"user_id": "u123",
"email": "[email protected]",
"phone_number": "13812345678",
"user_query": "我的名字叫张三,住在北京市朝阳区,请帮我查询最近的银行网点。"
}
print(f"Original Input: {sensitive_data}")
result = process_user_request_manual(sensitive_data)
print(f"Process Result (Potential PII in original_input, but not in trace): {result}")
# 检查LangSmith UI,你会看到 trace 的 input 和 output 已经脱敏。
# 注意:这里 `traceable` 装饰器会直接捕获函数的参数 `raw_input`。
# 为了让 LangSmith 记录脱敏后的数据,我们需要更精细地控制 `traceable` 的 `inputs` 参数,
# 或者将脱敏逻辑放到 `process_user_request_manual` 函数体内部,并在 `traceable` 装饰器中
# 显式地传递脱敏后的 `inputs`。
# 改进版本:使用 LangChain Runnable 及其 `with_config` 来控制 trace inputs
from langchain_core.runnables import RunnableLambda
def sensitive_processor(data: dict):
# 模拟LLM调用
llm = ChatOpenAI(model="gpt-3.5-turbo", temperature=0)
response_message = llm.invoke([
HumanMessage(content=f"Based on {data['user_query']}, provide a generic response.")
])
masked_output_content = response_message.content.replace("李四", "[NAME_REDACTED]")
return {"original_input": data, "processed_output": masked_output_content}
# 将脱敏函数包装成 Runnable
masking_runnable = RunnableLambda(manual_mask_data)
processor_runnable = RunnableLambda(sensitive_processor)
# 链式调用:先脱敏,再处理
full_chain_manual = masking_runnable | processor_runnable
print("n--- Running with LangChain Runnable and Manual Masking ---")
sensitive_data_2 = {
"user_id": "u456",
"email": "[email protected]",
"phone_number": "13987654321",
"user_query": "我的名字是李四,住在上海市浦东新区,我的银行卡号是6222-1234-5678-9012。"
}
# 当直接使用 Runnable.invoke() 时,LangSmith 会追踪整个链条。
# 这里 `masking_runnable` 的输出会作为 `processor_runnable` 的输入,
# 从而在 LangSmith 中记录的是脱敏后的中间数据。
result_runnable = full_chain_manual.invoke(sensitive_data_2, config={"callbacks": [Client()._get_trace_callback()]})
print(f"Result from Runnable: {result_runnable}")
# 注意:这里的 `result_runnable` 实际上包含的是 `processor_runnable` 的输出,
# 其中 `original_input` 字段仍然是原始的敏感数据。
# 如果要确保 `original_input` 也被脱敏,需要在 `sensitive_processor` 内部进一步处理。
# 或者,更常见的是,我们只关心 LangSmith 中记录的 `input` 和 `output`,
# 而不是函数返回值的结构。在这个改进的 full_chain_manual 示例中,masking_runnable 会在 processor_runnable 之前执行,其输出(脱敏后的数据)会作为 processor_runnable 的输入。这样,LangSmith 记录的 processor_runnable 的输入就是脱敏后的数据。但请注意,手动脱敏对于自由文本的深度分析仍然不足。
4.2 策略二:基于规则的脱敏(Rule-Based Masking)
这是最常用且具有良好自动化效果的方法,尤其适用于识别具有特定模式的PII,如电子邮件地址、电话号码、身份证号等。主要依赖正则表达式(Regular Expressions)和关键词列表。
优点: 自动化程度高,覆盖面广,易于实现和配置。
缺点: 无法处理非结构化、上下文相关的PII;正则表达式可能复杂且有性能开销;可能存在误报(false positives)或漏报(false negatives)。
代码示例: 使用正则表达式脱敏电子邮件和电话号码。
import re
import os
from langsmith import traceable
from langsmith import Client
from langchain_openai import ChatOpenAI
from langchain_core.messages import HumanMessage
from langchain_core.runnables import RunnableLambda
# 配置LangSmith环境变量
os.environ["LANGCHAIN_TRACING_V2"] = "true"
os.environ["LANGCHAIN_API_KEY"] = "YOUR_LANGSMITH_API_KEY"
os.environ["LANGCHAIN_PROJECT"] = "Masking Demo Regex"
os.environ["OPENAI_API_KEY"] = "YOUR_OPENAI_API_KEY"
client = Client()
# 定义正则表达式
EMAIL_REGEX = r"[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+.[a-zA-Z]{2,}"
PHONE_REGEX = r"+?d{1,3}[-.s]?(?d{3})?[-.s]?d{3}[-.s]?d{4}" # 简单电话号码
def regex_mask_text(text: str) -> str:
"""
使用正则表达式脱敏文本中的电子邮件和电话号码。
"""
masked_text = re.sub(EMAIL_REGEX, "[EMAIL_REDACTED]", text)
masked_text = re.sub(PHONE_REGEX, "[PHONE_REDACTED]", masked_text)
return masked_text
def apply_masking_to_dict(data: dict) -> dict:
"""
递归地对字典中的所有字符串值应用正则表达式脱敏。
"""
masked_data = {}
for key, value in data.items():
if isinstance(value, str):
masked_data[key] = regex_mask_text(value)
elif isinstance(value, dict):
masked_data[key] = apply_masking_to_dict(value)
elif isinstance(value, list):
masked_data[key] = [
apply_masking_to_dict(item) if isinstance(item, (dict, list)) else (regex_mask_text(item) if isinstance(item, str) else item)
for item in value
]
else:
masked_data[key] = value
return masked_data
@traceable(run_type="chain")
def process_user_request_regex(raw_input: dict):
"""
一个模拟处理用户请求的函数,展示基于正则表达式的脱敏。
"""
masked_input = apply_masking_to_dict(raw_input)
print(f"Masked Input for LangSmith: {masked_input}")
llm = ChatOpenAI(model="gpt-3.5-turbo", temperature=0)
response_message = llm.invoke([
HumanMessage(content=f"Based on {masked_input['user_query']}, provide a generic response.")
])
# 模拟LLM输出的脱敏
masked_output_content = regex_mask_text(response_message.content)
return {"original_input_masked": masked_input, "processed_output": masked_output_content}
if __name__ == "__main__":
sensitive_data = {
"user_id": "u789",
"contact": {
"email": "[email protected]",
"phone": "+1-555-123-4567"
},
"user_query": "我的邮箱是[email protected],电话是+1-555-123-4567,请给我发送确认邮件。"
}
print(f"Original Input: {sensitive_data}")
result = process_user_request_regex(sensitive_data)
print(f"Process Result: {result}")
# 使用 LangChain Runnable 进一步集成
def sensitive_processor_regex(data: dict):
llm = ChatOpenAI(model="gpt-3.5-turbo", temperature=0)
response_message = llm.invoke([
HumanMessage(content=f"Based on {data['user_query']}, provide a generic response.")
])
masked_output_content = regex_mask_text(response_message.content)
return {"processed_output": masked_output_content}
masking_runnable_regex = RunnableLambda(apply_masking_to_dict)
processor_runnable_regex = RunnableLambda(sensitive_processor_regex)
full_chain_regex = masking_runnable_regex | processor_runnable_regex
print("n--- Running with LangChain Runnable and Regex Masking ---")
sensitive_data_3 = {
"user_id": "u012",
"contact": {
"email": "[email protected]",
"phone": "021-87654321"
},
"user_query": "我的邮箱是[email protected],电话是021-87654321,请告诉我更多信息。我的住址是上海市黄浦区中山东一路1号。"
}
result_runnable_regex = full_chain_regex.invoke(sensitive_data_3, config={"callbacks": [Client()._get_trace_callback()]})
print(f"Result from Runnable Regex: {result_runnable_regex}")
# 检查LangSmith UI,观察中间步骤的输入和输出是否已按正则表达式脱敏。扩展正则匹配: 我们可以定义更复杂的正则表达式来匹配身份证号、银行卡号等。例如:
- 中国身份证号:
r"d{17}[dX]"或r"d{6}(18|19|20)d{2}(0[1-9]|1[012])(0[1-9]|[12]d|3[01])d{3}[dX]" - 银行卡号(通用,13-19位数字):
r"b(?:d[ -]*?){13,19}b"
4.3 策略三:基于命名实体识别(NER)的脱敏
对于自由文本中非结构化的PII(如人名、地名、组织名等),基于规则的方法往往力不从心。此时,我们可以借助自然语言处理(NLP)中的命名实体识别(NER)技术。NER模型可以识别文本中的命名实体,并对其进行分类。
优点: 智能、上下文感知,能处理更广泛的PII类型,适用于非结构化文本。
缺点: 需要引入NLP模型,增加依赖和计算开销;模型可能存在偏差和错误,导致漏报或误报;对多语言支持可能有限。
常用库:
- spaCy: 高性能的NLP库,提供了预训练的NER模型。
- Hugging Face Transformers: 提供了大量预训练的NER模型,可以针对特定任务进行微调。
代码示例: 使用spaCy进行NER脱敏。
首先,确保安装spaCy模型:
pip install spacy
python -m spacy download en_core_web_sm # 下载英文小模型
# python -m spacy download zh_core_web_sm # 如果有中文需求,需要安装中文模型import spacy
import os
from langsmith import traceable
from langsmith import Client
from langchain_openai import ChatOpenAI
from langchain_core.messages import HumanMessage
from langchain_core.runnables import RunnableLambda
# 配置LangSmith环境变量
os.environ["LANGCHAIN_TRACING_V2"] = "true"
os.environ["LANGCHAIN_API_KEY"] = "YOUR_LANGSMITH_API_KEY"
os.environ["LANGCHAIN_PROJECT"] = "Masking Demo NER"
os.environ["OPENAI_API_KEY"] = "YOUR_OPENAI_API_KEY"
client = Client()
# 加载spaCy模型
# 对于中文,可以尝试:nlp = spacy.load("zh_core_web_sm")
try:
nlp = spacy.load("en_core_web_sm") # 英文小模型
except OSError:
print("Downloading en_core_web_sm model for spaCy...")
os.system("python -m spacy download en_core_web_sm")
nlp = spacy.load("en_core_web_sm")
# 定义需要脱敏的实体类型(基于spaCy的默认实体标签)
PII_ENTITY_TYPES = ["PERSON", "NORP", "FAC", "ORG", "GPE", "LOC", "PRODUCT", "EVENT", "DATE", "TIME", "MONEY", "QUANTITY", "ORDINAL", "CARDINAL"]
# 也可以根据具体需求筛选,例如只脱敏人名、地名等
# PII_ENTITY_TYPES = ["PERSON", "GPE", "ORG"]
def ner_mask_text(text: str) -> str:
"""
使用spaCy的NER模型脱敏文本中的命名实体。
"""
doc = nlp(text)
masked_text = list(text) # 将字符串转换为列表以便修改
# 从后往前遍历实体,避免索引错位
for ent in reversed(doc.ents):
if ent.label_ in PII_ENTITY_TYPES:
# 替换实体为占位符,例如:[PERSON_MASKED]
replacement = f"[{ent.label_}_REDACTED]"
masked_text[ent.start_char:ent.end_char] = list(replacement)
return "".join(masked_text)
def apply_ner_masking_to_dict(data: dict) -> dict:
"""
递归地对字典中的所有字符串值应用NER脱敏。
"""
masked_data = {}
for key, value in data.items():
if isinstance(value, str):
masked_data[key] = ner_mask_text(value)
elif isinstance(value, dict):
masked_data[key] = apply_ner_masking_to_dict(value)
elif isinstance(value, list):
masked_data[key] = [
apply_ner_masking_to_dict(item) if isinstance(item, (dict, list)) else (ner_mask_text(item) if isinstance(item, str) else item)
for item in value
]
else:
masked_data[key] = value
return masked_data
@traceable(run_type="chain")
def process_user_request_ner(raw_input: dict):
"""
一个模拟处理用户请求的函数,展示基于NER的脱敏。
"""
masked_input = apply_ner_masking_to_dict(raw_input)
print(f"Masked Input for LangSmith (NER): {masked_input}")
llm = ChatOpenAI(model="gpt-3.5-turbo", temperature=0)
response_message = llm.invoke([
HumanMessage(content=f"Based on {masked_input['user_query']}, provide a generic response.")
])
# 模拟LLM输出的脱敏
masked_output_content = ner_mask_text(response_message.content)
return {"original_input_masked": masked_input, "processed_output": masked_output_content}
if __name__ == "__main__":
sensitive_data = {
"user_id": "u345",
"company_info": {
"name": "Acme Corp",
"location": "New York City"
},
"user_query": "我叫John Doe,来自Acme Corp,住在New York City。我希望在2023年10月26日参加一个活动,预算是1000美元。"
}
print(f"Original Input: {sensitive_data}")
result = process_user_request_ner(sensitive_data)
print(f"Process Result: {result}")
# 使用 LangChain Runnable 进一步集成
def sensitive_processor_ner(data: dict):
llm = ChatOpenAI(model="gpt-3.5-turbo", temperature=0)
response_message = llm.invoke([
HumanMessage(content=f"Based on {data['user_query']}, provide a generic response.")
])
masked_output_content = ner_mask_text(response_message.content)
return {"processed_output": masked_output_content}
masking_runnable_ner = RunnableLambda(apply_ner_masking_to_dict)
processor_runnable_ner = RunnableLambda(sensitive_processor_ner)
full_chain_ner = masking_runnable_ner | processor_runnable_ner
print("n--- Running with LangChain Runnable and NER Masking ---")
sensitive_data_4 = {
"user_id": "u678",
"personal_details": {
"name": "Maria Garcia",
"city": "Madrid",
"country": "Spain"
},
"user_query": "Maria Garcia出生于Madrid,现在居住在Spain。她的生日是1990年5月15日。"
}
result_runnable_ner = full_chain_ner.invoke(sensitive_data_4, config={"callbacks": [Client()._get_trace_callback()]})
print(f"Result from Runnable NER: {result_runnable_ner}")
# 检查LangSmith UI,观察中间步骤的输入和输出是否已按NER脱敏。组合策略: 在实际应用中,通常会结合规则匹配和NER。例如,先用正则表达式处理明确的模式(如邮箱、电话),再用NER处理剩余的自由文本。
# 组合策略示例:
def combined_mask_text(text: str) -> str:
# 1. 先进行正则表达式脱敏
text_after_regex = regex_mask_text(text)
# 2. 再进行NER脱敏
text_after_ner = ner_mask_text(text_after_regex)
return text_after_ner
def apply_combined_masking_to_dict(data: dict) -> dict:
"""递归地对字典中的所有字符串值应用组合脱敏。"""
masked_data = {}
for key, value in data.items():
if isinstance(value, str):
masked_data[key] = combined_mask_text(value)
elif isinstance(value, dict):
masked_data[key] = apply_combined_masking_to_dict(value)
elif isinstance(value, list):
masked_data[key] = [
apply_combined_masking_to_dict(item) if isinstance(item, (dict, list)) else (combined_mask_text(item) if isinstance(item, str) else item)
for item in value
]
else:
masked_data[key] = value
return masked_data
# 然后在 LangChain Runnable 或 @traceable 中使用 apply_combined_masking_to_dict4.4 策略四:自定义LangChain回调(Custom Callbacks)
LangChain提供了一套灵活的回调机制(Callbacks),允许我们在LLM链的各个生命周期事件中插入自定义逻辑。这是实现Trace Masking的最佳实践,因为它能无缝集成到LangChain应用的追踪流程中,确保所有通过LangChain发起的LLM调用和工具使用都被捕获并脱敏。
LangChain回调的核心方法:
on_llm_start(serialized, prompts, **kwargs): LLM调用开始时。on_llm_end(response, **kwargs): LLM调用结束时。on_chain_start(serialized, inputs, **kwargs): 链开始时。on_chain_end(outputs, **kwargs): 链结束时。on_tool_start(serialized, input_str, **kwargs): 工具调用开始时。on_tool_end(output, **kwargs): 工具调用结束时。
我们可以在 on_chain_start、on_llm_start、on_tool_start 中对输入进行脱敏,并在 on_llm_end、on_tool_end、on_chain_end 中对输出进行脱敏。关键在于,回调可以修改传递给LangSmith的数据结构。
代码示例: 创建一个 PiiMaskingCallbackHandler。
import os
import re
import spacy
from typing import Any, Dict, List, Union
from langsmith import Client
from langchain_openai import ChatOpenAI
from langchain_core.messages import HumanMessage
from langchain_core.prompts import ChatPromptTemplate
from langchain_core.runnables import RunnablePassthrough
from langchain.callbacks.base import BaseCallbackHandler
from langchain_core.tracers.langchain import LangChainTracer
# 配置LangSmith环境变量
os.environ["LANGCHAIN_TRACING_V2"] = "true"
os.environ["LANGCHAIN_API_KEY"] = "YOUR_LANGSMITH_API_KEY"
os.environ["LANGCHAIN_PROJECT"] = "Masking Demo Callback"
os.environ["OPENAI_API_KEY"] = "YOUR_OPENAI_API_KEY"
# 初始化LangSmith客户端
client = Client()
# --- 脱敏逻辑(与前面示例相同,可根据需要组合) ---
# 正则表达式
EMAIL_REGEX = r"[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+.[a-zA-Z]{2,}"
PHONE_REGEX = r"+?d{1,3}[-.s]?(?d{3})?[-.s]?d{3}[-.s]?d{4}" # 简单电话号码
def regex_mask_text(text: str) -> str:
masked_text = re.sub(EMAIL_REGEX, "[EMAIL_REDACTED]", text)
masked_text = re.sub(PHONE_REGEX, "[PHONE_REDACTED]", masked_text)
return masked_text
# spaCy NER
try:
nlp = spacy.load("en_core_web_sm")
except OSError:
print("Downloading en_core_web_sm model for spaCy...")
os.system("python -m spacy download en_core_web_sm")
nlp = spacy.load("en_core_web_sm")
PII_ENTITY_TYPES = ["PERSON", "GPE", "ORG", "DATE", "MONEY"] # 筛选更相关的类型
def ner_mask_text(text: str) -> str:
doc = nlp(text)
masked_text = list(text)
for ent in reversed(doc.ents):
if ent.label_ in PII_ENTITY_TYPES:
replacement = f"[{ent.label_}_REDACTED]"
masked_text[ent.start_char:ent.end_char] = list(replacement)
return "".join(masked_text)
def combined_mask_string(text: str) -> str:
"""组合正则表达式和NER脱敏"""
if not isinstance(text, str):
return text
# 先正则,后NER
return ner_mask_text(regex_mask_text(text))
def recursive_mask_data(data: Any) -> Any:
"""递归地对字典、列表中的字符串值应用脱敏"""
if isinstance(data, str):
return combined_mask_string(data)
elif isinstance(data, dict):
return {k: recursive_mask_data(v) for k, v in data.items()}
elif isinstance(data, list):
return [recursive_mask_data(item) for item in data]
else:
return data
# --- 自定义 LangChain 回调处理程序 ---
class PiiMaskingCallbackHandler(BaseCallbackHandler):
"""
一个自定义回调处理程序,用于在发送到LangSmith之前脱敏PII。
"""
def __init__(self, tracer: LangChainTracer):
self.tracer = tracer # 存储对LangSmith tracer的引用
def on_llm_start(self, serialized: Dict[str, Any], prompts: List[str], **kwargs: Any) -> Any:
# 在LLM调用开始前脱敏 prompts
masked_prompts = [recursive_mask_data(prompt) for prompt in prompts]
# 修改当前run的输入
self.tracer.on_llm_start(serialized, masked_prompts, **kwargs)
def on_llm_end(self, response: Any, **kwargs: Any) -> Any:
# 在LLM调用结束后脱敏 response (LLM的输出)
# response 是一个 LLMResult 对象,其 generations 字段包含实际的文本输出
masked_generations = []
for gen_list in response.generations:
masked_gen_list = []
for gen in gen_list:
gen.text = recursive_mask_data(gen.text)
masked_gen_list.append(gen)
masked_generations.append(masked_gen_list)
response.generations = masked_generations
# 修改当前run的输出
self.tracer.on_llm_end(response, **kwargs)
def on_chain_start(self, serialized: Dict[str, Any], inputs: Dict[str, Any], **kwargs: Any) -> Any:
# 在链开始前脱敏 inputs
masked_inputs = recursive_mask_data(inputs)
# 修改当前run的输入
self.tracer.on_chain_start(serialized, masked_inputs, **kwargs)
def on_chain_end(self, outputs: Dict[str, Any], **kwargs: Any) -> Any:
# 在链结束后脱敏 outputs
masked_outputs = recursive_mask_data(outputs)
# 修改当前run的输出
self.tracer.on_chain_end(masked_outputs, **kwargs)
def on_tool_start(self, serialized: Dict[str, Any], input_str: str, **kwargs: Any) -> Any:
# 在工具调用开始前脱敏 input_str
masked_input_str = recursive_mask_data(input_str)
# 修改当前run的输入
self.tracer.on_tool_start(serialized, masked_input_str, **kwargs)
def on_tool_end(self, output: Any, **kwargs: Any) -> Any:
# 在工具调用结束后脱敏 output
masked_output = recursive_mask_data(output)
# 修改当前run的输出
self.tracer.on_tool_end(masked_output, **kwargs)
# LangChain Tracers 是 LangSmith 集成的核心,它实际上也是一个 CallbackHandler
# 我们需要确保我们的自定义回调在 LangChainTracer 之前被调用,或者如上面所示,
# 在我们的回调内部调用 LangChainTracer 的方法,并传入脱敏后的数据。
# 另一种更简洁的做法是,我们的回调只负责脱敏,然后 LangChainTracer 捕获的是我们修改后的数据。
# 为了让 LangChainTracer 捕获到我们修改过的数据,我们可以将 PiiMaskingCallbackHandler
# 放在 callbacks 列表的第一个,或者更直接地,让它包装 LangChainTracer。
# 但 LangChainTracer 通常是自动设置的。
# 最直接的方法是创建一个新的 LangChainTracer 实例,并将其作为我们自定义回调的内部属性,
# 然后在我们的回调方法中调用它。
# 重新定义一下 PiiMaskingCallbackHandler 的使用方式,使其能与 LangSmith 自动追踪协同
class PiiMaskingCallbackHandler(BaseCallbackHandler):
"""
一个自定义回调处理程序,用于在将数据发送给LangSmith的TraceHandler之前进行脱敏。
这个回调本身不会直接发送数据,它只是修改数据,然后让后续的LangSmith TraceHandler
捕获到修改后的数据。
"""
def on_llm_start(self, serialized: Dict[str, Any], prompts: List[str], **kwargs: Any) -> Any:
# LangSmith的tracer会从kwargs中获取run_id,所以我们不直接修改prompts,
# 而是修改kwargs中的 `inputs` 字典(如果存在且包含prompts)。
# 对于LLM,prompts通常是直接作为参数传递的,这里直接修改prompts列表。
for i in range(len(prompts)):
prompts[i] = combined_mask_string(prompts[i])
def on_llm_end(self, response: Any, **kwargs: Any) -> Any:
# response 是一个 LLMResult 对象
for gen_list in response.generations:
for gen in gen_list:
gen.text = combined_mask_string(gen.text)
def on_chain_start(self, serialized: Dict[str, Any], inputs: Dict[str, Any], **kwargs: Any) -> Any:
# inputs 是一个字典,我们直接修改它
inputs.update(recursive_mask_data(inputs))
def on_chain_end(self, outputs: Dict[str, Any], **kwargs: Any) -> Any:
# outputs 也是一个字典
outputs.update(recursive_mask_data(outputs))
def on_tool_start(self, serialized: Dict[str, Any], input_str: str, **kwargs: Any) -> Any:
# input_str 是字符串,直接修改
kwargs['input_str'] = combined_mask_string(input_str)
def on_tool_end(self, output: Any, **kwargs: Any) -> Any:
# output 可以是字符串或字典
if isinstance(output, str):
kwargs['output'] = combined_mask_string(output)
else: # 假设是字典
kwargs['output'] = recursive_mask_data(output)
if __name__ == "__main__":
# 创建LLM和链
llm = ChatOpenAI(model="gpt-3.5-turbo", temperature=0)
prompt = ChatPromptTemplate.from_template("根据以下信息:{query}。请提供一个简短的回复。")
chain = {"query": RunnablePassthrough()} | prompt | llm
# 创建我们的脱敏回调实例
masking_callback = PiiMaskingCallbackHandler()
print("n--- Running LangChain with Custom Masking Callback ---")
sensitive_data_query = "我的名字是Alice Johnson,住在California的Los Angeles,我的邮箱是[email protected],电话是(123) 456-7890。我在银行有存款10000美元。"
# 运行链,并传入自定义回调
# 当 LANGCHAIN_TRACING_V2 开启时,LangSmith会自动设置一个 LangChainTracer。
# 我们的 PiiMaskingCallbackHandler 会在 LangChainTracer 捕获数据之前修改数据。
response = chain.invoke(sensitive_data_query, config={"callbacks": [masking_callback]})
print(f"Final LLM Response (raw): {response.content}")
print(f"Final LLM Response (masked if PII was in LLM output): {combined_mask_string(response.content)}")
# 检查LangSmith UI,观察整个链条的输入、LLM的输入/输出是否已被脱敏。
# 你会看到 LangSmith 记录的 trace 中,prompts 和 responses 都已被处理。
# 例如,输入 prompt 中的 "Alice Johnson" 会变成 "[PERSON_REDACTED]"。关于回调的注意事项:
- 回调的执行顺序: 如果有多个回调,它们的
on_xx_start方法会按列表顺序执行,on_xx_end方法则按相反顺序执行。确保你的脱敏回调在LangSmith的TraceHandler之前修改数据。 - 修改数据的机制: 在
on_llm_start等方法中,直接修改prompts列表或inputs字典,这些修改会影响到后续的回调(包括LangSmith的tracer)捕获的数据。 - 复杂场景: 对于更复杂的PII识别和脱敏,你可能需要将多个脱敏器(如正则表达式脱敏器、NER脱敏器)组合到
PiiMaskingCallbackHandler中。
5. 将脱敏集成到LangSmith工作流:最佳实践
将上述脱敏策略集成到LangSmith工作流中,需要遵循以下最佳实践:
- 统一脱敏逻辑: 将脱敏函数(如
recursive_mask_data)封装起来,确保在所有可能接触PII的环节都使用同一套逻辑。 - 早期脱敏原则: 尽可能在数据进入LangChain/LLM系统、即将被追踪之前就进行脱敏。自定义回调是实现这一目标的高效方式。
- 覆盖所有输入/输出点:
- 用户输入: 用户直接提交给LLM应用的所有文本。
- 工具输入/输出: LLM调用外部工具(如API、数据库查询)时传递的参数和接收到的结果。这些是常见的PII泄露点。
- LLM生成内容: LLM可能在其回复中重复或生成PII。
- 检索器/向量数据库内容: 如果检索器返回的文档包含PII,也需要在发送到LLM或LangSmith前脱敏。
- 配置化管理:
- 将正则表达式、NER模型路径、要脱敏的实体类型列表等配置参数化,便于管理和更新。
- 可以考虑从环境变量、配置文件(如YAML)中加载这些配置。
LangChain Traceable Decorator vs. Callbacks
@traceable装饰器:适用于对单个函数进行追踪,可以指定inputs和outputs参数来控制发送到LangSmith的数据。如果函数内部进行了脱敏,可以将脱敏后的数据作为inputs传入。但对于复杂的链式结构,回调更具优势。- 回调机制: 适用于整个LangChain应用,能够以统一的方式处理所有LLM、链、工具的输入和输出,是推荐的集成方式。
LangSmith UI中的验证:
在LangSmith UI中,您可以:
- 查看Trace的输入/输出: 确认LLM调用、链执行的
inputs和outputs是否已显示为脱敏后的内容(例如[EMAIL_REDACTED]或[PERSON_REDACTED])。 - 检查中间步骤: 如果您的链包含多个步骤(如检索、LLM调用、工具使用),请逐一检查每个步骤的输入和输出,确保Pll在每个环节都被妥善处理。
- 注意LLM的原始提示词: 尤其要检查发送给LLM的实际提示词(在LangSmith UI中通常可以在LLM Run的详细信息中找到),确认其中的PII已被移除。
6. 高级考量与最佳实践
6.1 性能影响
脱敏操作会引入额外的计算开销,尤其是基于NER的复杂模型。
- 评估性能: 在生产环境中部署前,务必对脱敏逻辑的性能影响进行基准测试。
- 优化策略:
- 缓存: 对于重复出现的文本或实体,可以考虑缓存其脱敏结果。
- 异步处理: 在处理大量数据时,可以考虑将脱敏操作放到单独的线程或进程中异步执行。
- 选择轻量级模型: 对于NER,选择更小、更快的模型(如spaCy的
sm模型),或只加载特定实体识别所需的部分。 - 批处理: 如果可能,对多个请求的文本进行批处理脱敏。
6.2 测试与验证
脱敏的有效性至关重要。
- 单元测试: 为脱敏函数编写详尽的单元测试,覆盖各种PII类型、边缘情况和非PII文本,确保不误伤无辜。
- 集成测试: 在LangChain应用中运行端到端测试,并连接到LangSmith(或一个测试用的LangSmith实例),然后手动或自动化检查生成的trace,确认所有敏感数据都已正确脱敏。
- 定期审计: 定期检查LangSmith中的生产trace,随机抽样验证脱敏机制是否依然有效,以防规则过时或新漏洞出现。
6.3 粒度控制
根据业务需求,脱敏的粒度可以不同。
- 字段级脱敏: 对整个字段进行脱敏(例如,整个
email字段)。 - 值内脱敏: 对字符串中的特定子串进行脱敏(例如,将
John Doe替换为[PERSON_REDACTED])。 - 部分脱敏: 例如,银行卡号只显示后四位,其余用
****代替。这需要更精细的正则表达式或自定义逻辑。
6.4 可逆性与不可逆性
- 不可逆脱敏(Redaction, Hashing): 对于LangSmith这种监控场景,通常推荐使用不可逆的脱敏方式,因为我们不希望在任何情况下恢复原始PII。
- 可逆脱敏(Tokenization, FPE): 适用于需要安全存储PII但又能在授权条件下恢复原始数据的场景,例如数据库中的敏感列。但在发送到监控系统时,通常仍会发送脱敏后的不可逆版本。
6.5 用户同意与隐私政策
无论技术多么完善,告知用户数据处理方式是基本要求。
- 在用户协议和隐私政策中明确说明数据收集、脱敏和存储的政策。
- 对于特别敏感的应用,可能需要获取用户对特定数据处理的明确同意。
6.6 安全审计与合规性报告
- 记录脱敏活动: 维护脱敏操作的日志,包括何时、何地、对何种数据类型进行了脱敏,这对于合规性审计非常有用。
- 定期合规性评估: 确保脱敏策略与最新的数据保护法规保持同步。
7. 挑战与未来展望
Trace Masking并非一劳永逸。它面临着持续的挑战:
- 误报与漏报: 这是一个永恒的难题。过于激进的脱敏可能破坏数据的可用性,过于保守则增加风险。
- 上下文相关的PII: 有些信息只有在特定语境下才构成PII。例如,“Apple”可能指公司,也可能指水果。这需要更高级的语义理解。
- 新形式PII的出现: 随着技术发展,新的识别符和敏感数据类型可能会出现。
- 多语言支持: 不同语言的PII模式和NER模型表现差异很大,需要针对性地处理。
未来展望:
- 更智能的AI驱动脱敏: 结合更先进的LLM本身来识别和脱敏PII,利用其强大的文本理解能力。
- 联邦学习与隐私计算: 在不共享原始数据的情况下,训练和改进脱敏模型。
- 行业标准与互操作性: 建立Trace Masking的行业标准,促进不同工具和平台之间的互操作。
- 可解释性与可控性: 提供更好的工具来理解脱敏模型为何做出某个决策,并允许开发者精细控制脱敏行为。
结语
在构建和监控LLM应用的旅程中,Trace Masking是保护用户隐私和确保合规性的关键一环。通过理解PII的敏感性、掌握不同的脱敏策略,并将其无缝集成到LangChain和LangSmith的工作流中,我们可以在享受强大可观测性的同时,为用户提供一个安全、值得信赖的AI体验。这是一个持续演进的领域,要求我们不断学习、测试和优化,以应对新的挑战。