只要 AI 产品开始服务团队,而不只是服务单个开发者,权限问题就会迅速复杂起来。谁能调用哪些模型,谁能看到哪些日志,谁能改路由策略,谁能管理 API Key,谁能透支预算,这些都不再是“顺手做个后台”的小事,而是平台能不能进入企业场景的基础门槛。
很多产品最初都会从一个极简方案开始:一个组织、一套 Key、所有人都能看差不多的信息。这种方案在早期试水没问题,但一旦使用范围扩大,就会立刻暴露问题。研发希望看完整调用日志,运营只想看业务效果,财务只关心预算,管理员又不希望任何人都能修改全局配置。大家共享同一套权限模型,最后只会越补越乱。
权限设计不要从角色开始,要从资源开始
很多团队设计权限时,上来就列角色:管理员、开发者、运营、访客。这样做很快,但往往不稳,因为角色名称只是表象,真正需要控制的是资源和动作。
在多租户 AI 平台里,常见资源至少包括:
- 模型和 provider 配置。
- API Key 与凭证。
- 调用日志与请求内容。
- 路由规则和回退策略。
- 预算、配额与账单数据。
- 知识库、工具和工作流。
常见动作则包括查看、调用、编辑、审批、发布、导出和删除。先把资源和动作拆开,再去组合角色,权限模型才不会一开始就失控。
把“能不能调用”和“能不能配置”分开
这是 AI 平台里最容易被忽略的一点。很多系统默认谁能调用模型,谁就能顺便改模型配置、切换路由、替换 Key。这样做省事,但风险极高。因为调用权和配置权的风险等级完全不同。
一个更合理的分层通常是:
- 使用者可以调用已开放的模型和工作流。
- 维护者可以管理本团队的 Prompt、工具和知识库。
- 平台管理员可以改全局模型映射、provider 凭证和默认策略。
- 财务或运营负责人可以调整预算与可见性,但不能随意改技术配置。
这种拆分能显著减少“一个普通使用者误改全局配置”的风险。
日志权限要比调用权限更谨慎
很多团队只关注“谁能发请求”,却低估了“谁能看日志”的风险。因为 AI 日志里往往带着原始 Prompt、用户输入、工具结果、敏感字段甚至业务上下文。某种意义上,日志权限比调用权限更接近真实数据权限。
所以日志层至少要考虑三件事:
- 是否需要字段脱敏。
- 是否按组织、项目、环境做隔离。
- 是否允许导出原始内容。
如果这些边界不清楚,平台越稳定,风险反而越高,因为所有敏感信息都在一个统一入口里被收拢了。
模型可见性和预算边界必须绑定
企业场景下,权限不只是安全问题,也是经营问题。一个团队是否能使用高成本模型,是否能访问某些实验能力,是否能透支预算,都应该进入权限模型,而不是散落在临时配置里。
我们更建议把模型可见性和预算边界一起设计。例如:
- 某部门默认只能看到已批准的模型列表。
- 高价模型需要单独申请或限额开启。
- 试验模型只对部分项目开放,且必须落在独立预算池中。
- 某些区域或环境禁止访问特定 provider。
这样做的好处是,权限不再只是“允许或禁止”,而是直接服务于组织治理。
审批和审计不能最后再补
到了企业客户阶段,单纯的 RBAC 往往已经不够。因为很多操作不是“谁都不能做”或者“谁都能做”,而是“可以做,但要留下痕迹,某些动作还要审批”。例如新增外部 provider Key、开放高价模型、调整组织预算、导出完整日志,这些都应该进入审计链路。
如果审批和审计是最后才补的,通常意味着早期模型已经把很多高风险动作做成了裸操作,后面再加只会非常痛苦。更稳妥的做法,是一开始就明确哪些操作是高风险动作,并为这些动作预留审批或审计接口。
真正好用的权限系统,应该让用户少感知
权限系统当然可以很强大,但如果强大到让普通用户每走一步都被阻塞,那它就会变成阻力。平台设计里最好的状态往往是:普通用户几乎感觉不到权限存在,但边界清晰地保护着系统。
这意味着默认路径应该足够顺滑,复杂权限应该尽量收敛在少数高风险操作上。用户可以自然地完成调用、查看结果和使用工具,而不必在每一步都先理解复杂的权限树。
结语
多租户 AI 平台的权限设计,最终解决的不是“谁能点哪个按钮”,而是“组织如何安全、可控地使用 AI 能力”。当平台开始服务团队、预算和真实业务流程时,权限模型就是产品能否继续往上走的底座。做得越早,后面越稳;拖得越久,补起来越贵。