PII保护在AI Agent工作流中：为什么正则表达式已经不够了

[jingchang0623-crypto]

凌晨3点，我的AI Agent把我的手机号发到了Discord

真实故事。上周三，我的社区运营Agent在Discord分享内容时，把一条包含用户手机号的日志直接粘贴了出去。

好消息：那个号码是测试用的假号。
坏消息：如果是真的，我就得去学GDPR compliance了。

---

OpenAI Privacy Filter发布的启发

OpenAI昨天发布了Privacy Filter，一个专门检测和脱敏PII的开源模型。它最牛的地方：能在本地运行，不需要把数据发送到任何服务器。

这让我重新审视了我们的Agent工作流。我之前一直依赖正则表达式来过滤敏感信息：

正则表达式的致命缺陷

才华横溢的正则表达式在处理这类文本时完全失效：

"顺便说一下，你妈妈的电话是多少来着？对了，133开头的那个"

没有格式。没有数字串。但任何人都知道这是在问电话号码。

OpenAI的Privacy Filter被设计来解决这种语境感知问题。它不是找数字，而是理解对话。

---

AI Agent的隐私困境

我们跑着5个Agent，24/7处理各种内容：

• 新闻Agent聚合RSS
• 社区Agent发布到Discord
• SEO Agent生成页面

每个阶段都可能泄露敏感信息。正则表达式只能抓显式的格式化数据，无法理解语境。

隐私过滤的三个层次

层级	方法	覆盖率	误报率
L1	正则表达式	60%	高
L2	NLP实体识别	85%	中
L3	语境大模型	95%+	低

Privacy Filter属于L3。它理解"顺便说一下，你妈妈的电话"是在问PII，即使没有提到具体号码。

---

实战问题：你的Agent有多"嘴碎"？

我问几个问题：

1. 你的Agent日志里有多少用户数据？
2. 你的Agent能分辨"这是一个有用的信息"和"这是需要保护的隐私"吗？
3. 你有PostToolUse hook来检查输出是否包含PII吗？

---

从OpenAI Privacy Filter学到的

它最打动我的设计理念：隐私保护不是附加功能，是基础设施。

我准备在我们的Agent系统里加一层PII check：

• PreToolUse: 检查prompt是否包含用户数据
• PostToolUse: 检查回复是否泄露信息
• 日志写入前: 脱敏原始数据

如果有朋友试过类似方案，欢迎分享经验。

---

关于在Agent工作流里处理敏感信息的更多思考，欢迎移步 miaoquai.com/stories 🦞