Siguranță RAG & Guardrails

Cum să ții Inteligența Artificială sub control: Un ghid practic pentru mecanisme de protecție (Guardrails) în RAG și Agenți AI

O abordare stratificată, pregătită pentru producție, pentru sisteme RAG și agenți AI siguri, exacți și responsabili.

De CRIA • 23.01.2025

Sistemele RAG (Generare Augmentată prin Regăsire) și agenții AI transformă modul în care accesăm informații și automatizăm munca. Prin conectarea modelelor lingvistice mari (LLM) la datele companiei dumneavoastră, acestea pot răspunde la întrebări complexe, pot rezuma documente și pot acționa în numele dumneavoastră.

Dar ce se întâmplă atunci când un sistem RAG recuperează un document cu date financiare sensibile și îl arată persoanei nepotrivite? Sau când un agent, încercând să fie de ajutor, acționează pe baza unei comenzi înțelese greșit?

În compania noastră, construim sisteme AI fiabile prin implementarea unor mecanisme de protecție (guardrails). Gândiți-vă la ele ca la verificările și echilibrele esențiale ale AI-ului. Nu limitează puterea, ci o ghidează — asigurând funcționarea în siguranță, cu acuratețe și responsabil. Acesta este ghidul nostru practic, în special pentru RAG.

De ce sunt cruciale mecanismele de protecție pentru RAG

RAG reduce halucinațiile și ancorează răspunsurile în documente factuale. Totuși, baza de cunoștințe introduce riscuri noi — documentele devin sursa principală a problemelor potențiale.

  • Scurgeri de date sensibile: PII, detalii confidențiale, evidențe financiare pot ajunge la persoane neautorizate.
  • Controlul accesului: Existența ≠ permisiune. RAG trebuie să aplice aceleași ierarhii de acces ca sistemele sursă.
  • Informații incorecte sau învechite: Surse greșite/stale → răspunsuri greșite.
  • Toxicitate și părtinire: Limbaj părtinitor/toxic din documente se poate propaga în răspunsuri.

Concluzie practică: Guardrails transformă un prototip puternic într-un sistem de încredere.

Abordarea noastră stratificată pentru siguranța RAG

Construim apărare pe trei straturi: înainte de rularea interogării, după regăsire și înainte de afișarea răspunsului final.

Strat Obiectiv Verificări tipice Ce previne
Intrare Validarea și igienizarea cererii Relevanță subiect; redactare PII; filtre abuz Întrebări off-scope; logare date sensibile
Regăsire Controlul documentelor care ajung la LLM Aplicare control acces; filtre politică; verificări actualitate Dezvăluire neautorizată; surse învechite
Ieșire Revizuirea răspunsului generat Filtru toxicitate; verificare fundamentare/citații; detecție jailbreak Halucinații; încălcări de politică; injecții de prompt

1) Mecanisme de protecție la intrare (Poarta de acces)

  • Verificarea relevanței: Menține asistentul pe subiect. Un bot de suport nu răspunde la politică/medical.
  • Redactare PII: Elimină nume, e-mailuri, numere de cont înainte de procesare/logare.

2) Mecanisme de protecție la regăsire (Punctul de control)

Cel mai critic strat pentru RAG:

  • Control de acces: Verificăm permisiunile pentru fiecare document regăsit. Documentele neautorizate nu intră în context.
  • Actualitate & Politici: Excludem conținutul expirat sau care încalcă politicile.

3) Mecanisme de protecție la ieșire (Verificarea finală)

  • Filtrarea toxicității: Blochează limbajul neadecvat.
  • Fundamentare și citații: Asigură că afirmațiile sunt susținute de conținutul regăsit.
  • Anti-jailbreak: Detectează tentative de ocolire a regulilor sau expunere de prompt-uri.

Un exemplu simplu: Garda de subiect

Folosiți un model rapid și ieftin ca „portar” al relevanței. Prompt:

Ești un mecanism de protecție pentru clasificarea subiectului. Sarcina ta este să determini dacă o interogare a utilizatorului este legată de produsele software ale companiei noastre. Răspunde cu un singur cuvânt: RELEVANT sau IRELEVANT.

Interogarea utilizatorului: ""

Logică în pseudocod:

def gestioneaza_interogare_utilizator(interogare_utilizator):
    # Folosește un LLM rapid și ieftin (precum Gemini Flash) pentru această verificare
    rezultat_subiect = verifica_relevanta_subiect_cu_llm(interogare_utilizator)  # "RELEVANT" sau "IRELEVANT"

    if rezultat_subiect == "RELEVANT":
        raspuns = ruleaza_flux_rag(interogare_utilizator)
        return raspuns
    else:
        return "Îmi pare rău, pot răspunde doar la întrebări legate de produsele noastre software."

# Exemplu de utilizare
gestioneaza_interogare_utilizator("Cum îmi resetez parola?")  # -> Continuă către RAG
gestioneaza_interogare_utilizator("Ce părere ai despre alegerile viitoare?")  # -> Blocat

Inginerie pentru fiabilitate: Este tot software

  • Modularitate: Componente specializate (intrare, regăsire, generare) în loc de monolit.
  • Observabilitate: Logging structurat al interogării, documentelor regăsite și răspunsului.
  • Principiul privilegiului minim: Permisiuni strict necesare. Limitează „raza de explozie”.

Gânduri de final

Implementarea guardrails nu este doar tehnică — este parte esențială a AI responsabil. Cu o apărare stratificată — de la verificarea intrărilor și controlul accesului până la verificări la ieșire — putem construi sisteme RAG și agenți care sunt puternici, siguri și cu adevărat utili.