概述(Overview)
许多组织受制于需要记录和保留 AI 交互数据的强制监管要求。即使没有法定的监管义务,维护审计跟踪也是责任追究、事件调查和最佳治理操作的实践保障。ModelRiver 的请求日志(Request Logs)为您通过 API 发出的每个 AI 请求提供了全面且防篡改的记录。
请求日志为合规性捕获的内容
单次请求审计数据
每个请求日志包含:
| 数据点 | 描述 | 合规价值 |
|---|---|---|
| 时间戳(Timestamp) | 发出请求的时间 | 时间线重构 |
| 供应商和模型(Provider & model) | 哪个 AI 服务处理了请求 | 供应商问责 |
| 请求正文(Request body) | 发送给 AI 供应商的完整输入 | 输入验证 |
| 响应正文(Response body) | 来自 AI 供应商的完整输出 | 输出验证 |
| Token 使用量(Token usage) | 输入和输出的 token 计数 | 用量审计 |
| 估算成本(Estimated cost) | 每次请求的估算成本 | 财务审计 |
| 状态(Status) | 成功或失败 | 错误跟踪 |
| 耗时(Duration) | 处理时间 | SLA 合规性 |
| 种子批次(Seed batch) | 请求的来源(生产、测试、playground) | 环境隔离 |
| 频道 ID(Channel ID) | 异步请求生命周期跟踪器 | 请求关联 |
故障转移审计数据
当请求转移到备用供应商时:
| 数据点 | 描述 | 合规价值 |
|---|---|---|
| 失败的供应商/模型 | 哪个供应商发生了失败 | 供应商事件跟踪 |
| 失败原因 | 供应商失败的具体原因 | 根本原因记录 |
| 主请求 ID | 指向对应成功请求的链接关联 | 完整的逻辑追溯请求链 |
| 所有尝试的数据有效负载 | 每次发生尝试交互发出的完整请求/响应情况 | 交互过程动作情况完整过程的存照记录 |
Webhook 和回调审计数据
对于异步和事件驱动的工作流:
| 数据点 | 描述 | 合规价值 |
|---|---|---|
| Webhook URL | 发送通知的地址端点位置 | 通知目的端点记录 |
| Webhook 包带有效负载内容项 | 具体发送到了并且提交给予至所指定相关的您的目标服务端去执行处理业务内容数据明细项 | 有关联对于该触发系统执行数据各项内容流与信息执行发送分发的明确证明 |
| 交付状态 | 相关执行的各项通告和向外反馈推送派发任务执行结果其结果表现状态的实际是否已完成或不顺通情况 | 交付确认 |
| 回调数据信息载荷负载项内容(Callback payload) | 接收来自后端针对请求发回来的相关用于处理确接内容情况 | 处置结果反馈接获确认依据验证验证凭依据 |
| 回调接收成功状况表示项(Callback status) | 对系统是不是有顺利接受到并取得关联动作执行动作回发的响应讯息结果状态标志 | 用于标志验证记录流水流程链路动作完整结束完毕标志记录 |
常见的合规性要求
数据保留
要求:在指定的一段时间内保留 AI 交互记录。
ModelRiver 的帮助:请求日志系统自身会依据伴带并且包含对应的发生时刻相关标计时间戳数据一并执行存储操作,并且提供对应的各有关等具有按照时序日历要求来进行操作筛查处理选项的功能。至于日志能够及具体将保留至所处的多长保留期限全依凭并建立于您的相关在对各种信息数据的要求管控留存准则各项方针体系要求。
注意事项:
- 根据适用的法规确定您所需的保留期限。
- 如果日志需要在 ModelRiver 的保留窗口期之后存档,请妥善做好使用数据的转存导出项任务处理归档规划设置计划安排。
- 请务必留意由于及各类因为在使用期间发出或是由系统退回的交互信息正文中存在极大包容概率包含了属于对受管制以及在有关各领域方面限制要求范围之内的较为核心并可能具含各种涉及有保密等级保护要求等涉及并可能存在与隐私及可能有关各种高密度机要敏感类重要数据的这种潜在存在可能性。
输入/输出审计
要求:能够审查发送到 AI 系统以及从 AI 系统接收的内容。
ModelRiver 的帮助:每项执行生成的日记条目记录中均原原本本全不遗留的在带有原始系统发生生成各有关请求及接收获取相应退还反馈及所获取包带处理后的响应内容(也涵盖响应信息结果返回部分数据所展现提供呈现的具体响应接收端内容体中包含部分项)以及其包括包含可经供及具有两种:采用未经做有解析动作与渲染的且为原生形态面貌以及使用树状结构具有较好展示性等的两种信息展示提供提供展示呈现等方式可供选用并观看数据内容负载格式状态。
注意事项:
- 请求体包含了发送给 AI 供应商的原始精准提示词和用户输入内容数据。
- 响应体包含了 AI 生成返回的各项以及所有返回情况完整输出展现结果。
- 利用这些来进行 AI 交互的事后各项有关对于事件发生还原复盘情况调查审查审计执行工作。
供应商问责机制
要求:能精准获悉最终执行动作的是由具体属于是哪个平台背后的何种型号类型的模型所处理请求的结果。
ModelRiver 的帮助:每个产生执行系统运行日记的详细项目之中记录对应了由那家平台供应商提供支持运算等和所具体采用模型类别等名称标志号属性。系统若具有执行由多平台相互设置具有互补备份支持应对失效备援替换的关联系统执行应对策略,每次发生的故障转移替换过程机制均将显现展现暴露出与之不同及由不同相关备用于支持接手对应运行项服务支持商供应商和相应所关联其替换上用于支持运行相关型号组合情况的差异情况等等状态变化全展现记录集信息组合项结果数据留据档案保存记录过程等,由此完整提供创设出了带有并且囊括所有的有关于且能包括所涉及各种供备选和接续服务保障在内的针对对应在内的供应商平台运行调用轨迹历史凭证留痕管理和可审查的完整日志活动等痕迹全记录等。
注意事项:
- 多供应商的参与所提供关联配置组合形成能具有互相备用承顶互补作用的这故障转移机制处理支持配置意味着:从主系统看单一请求逻辑链上的关联动作项,在此实际应用操作发生场景上极大存在由涉及到需要进行涉及需要多家独立供应商共同协同配合支撑这运行调用过程才可完成的情形发生率可能出现状况发生。
- 系统会在后台内对发生的所有的跟各个相应各服务提供端建立并且产生运行请求调执行及有关状态反应过程都将独立留档造表成列并以记录案存入其中予以保留呈现提供调用查看使用数据项记录中独立成单独项详细分别生成等记载展现相关使用状态资料各项供各等。
- 参考和调用应用使用这一数据用于以对厂商执行相应的针对对其信誉以及其运行可靠等性等方面进行系统全面评测分析评估和进行等情况安全相关背景分析尽职调查分析操作应用数据选项执行等处理用依据指标和作为考量等作为各项评估及指标判断提供指标支持利用凭证分析信息用数据参考参考利用等等。
访问控制与留存日志审计溯源文档档案资料管理建立提供操作情况日志及有关溯发归总项操作说明介绍体系说明
要求:需要获知是谁对具体的哪些平台使用权通过各项何种执行命令操作或以等以及何种系统平台或接入接口途径等手段等等调用处理等使用了该类 AI 的各相关功能并能够保存相关的。
ModelRiver 的帮助:
- 对于发出的一切对应呼叫产生系统处理的相关系统产生发送的相关执行等对应的各项关联调用记录项其请求本身所携带的相关权限边界范围是被框设管控在并且附带含有并受各项目专有设定分派和具有的单独关联指定的具有特定身份指向等相关的专属性独有特定相关标明属性具有代表意义相关标指 API 系统授权访问加密密匙相关项目控制范围内在执行和使用的限制范畴内进行活动等情况发生操作下执行动作执行相关有关。
- 采用 种子批次(seed batch) 日期记档记录标记选项相关日志生成等字段等相关来界定用于区分生产模式系统真实运行网络系统执行应用中所能发生产生对应及产生发生各种的 API 所用实际各项关联各种请求操作有关执行请求、或区别在于测试网络试验试用过程执行发生的对应各种测试状况相关、以及来源于及通过操控直接操作在系统平台控制台中的各项有等各种各种游乐测试沙盘操作台 Playground 工具进行的调令试用操作发生测试及对应和其产生的系统各项操作。
- 结合您的自己系统企业端配置对于访问操作及安全管理等的调用与进行派发调应用管理系统的相关的由您和您的应用安全系统以及企业组织进行有关应用及关联关于系统密钥发放授权登记发放和与对内系统使用者各项有关调用等有关的对内部权限分配和对对管理控制系统的使用控制选项进行互相校验比较并运用,能够提供极可靠与具有有效保证相关操作调用能具体明确追其发出相关事件源请求归发项及其源操作所由操作责任关联及发起等具体落实能关联至其发起是由具体是发生并出处于您的组织机构中的某个等或者是具体是明确及有且具体某确应用等操作项关联部门团队团队系统操作团队项目等执行组织等发出操作及其调用发出情况相关责任所属主体确定归溯情况结果确定和锁定以及核实溯溯结果关联等信息提供系统关联排查溯。
审计跟踪最佳实践
分离环境
- 使用测试模式进行开发和测试。
- 使用Playground进行验证和实验。
- 为生产流量保留实时模式(live mode)。
- 进行审计时按环境过滤,以重点关注相关的请求。
定期审计
- 安排请求日志的定期审查。
- 重点关注:
- 异常模式(请求或错误的突然激增)。
- 可能表明存在滥用的高成本请求。
- 带有意外供应商的请求(表明存在故障转移问题)。
- 正常营业时间之外的请求。
记录您的规程
- 为以下内容维护书面的规程:
- 如何访问和解释请求日志。
- 如何导出日志数据以供外部审查。
- 如何识别和升级异常情况。
- 保留和存档策略。
保全证据
- 调查事件时,及时捕获相关的请求日志。
- 使用复制功能来保存请求和响应的数据负载。
- 使用按时间顺序排列的日志视图来记录事件时间线。
监管注意事项
注意:本节仅提供一般性指导。请向您的法务和合规团队咨询针对您所在司法管辖区和行业的具体要求。
金融服务
- AI 生成的财务建议或交易决策可能需要全面的审计跟踪。
- Token 使用量和成本数据可为金融交易记录提供支持。
医疗保健
- 涉及患者数据的 AI 交互必须遵守数据保护法规。
- 请求和响应的 payload 中可能包含受保护的健康信息。
欧盟 AI 法案(EU AI Act)
- 高风险系统需要对 AI 决策制定进行详细的流转记录。
- 请求日志为所需的文档化说明提供了坚实基础。
SOC 2 / ISO 27001
- 有关于信息安全管理方向上的审计跟踪要求保障。
- 请求日志可用来展示在合规系统上用于监测和保留相关系统记录层面的安全实现应用措施落实情况规范。