最近公司内部开始越来越多人用 Claude、Codex 这类模型了。
一开始其实很简单,就是研发自己找 API,用着用着发现大家需求越来越多。产品在用、运营在用、客服也想接进去做自动化。最后就变成:公司得认真考虑"内部 AI 接入"这件事了。
目前我们是直接用第三方中转站,呆呆兽中转站。www.ddshub.cc 这种,底层应该是 sub2api 的方案。
说实话,基础功能已经比我想象中完善很多了。
API Key 可以限制额度、设置白名单、限制 IP、配置过期时间。对c端用户来说,我感觉已经完全够用了。
但问题是,公司一旦真的开始内部推广,我们内部担心的东西就慢慢变了。
比如有同事会直接把线上报错、数据库字段、客户聊天记录丢进去问 AI。虽然大家知道"不应该",但实际工作里真的很难完全避免。
然后老板/领导又会开始问:
“有没有日志?”
“谁调用了?”
“能不能限制敏感词?”
“不同项目能不能隔离?”
于是最近就在纠结:
是不是应该自己再搭一个 newapi 或类似的东西,放在第三方中转前面。
比如员工统一走公司邮箱登录,内部再做一层权限管理;
某些项目关键词直接过滤;
一些高风险 Prompt 不允许返回;
甚至不同部门走不同模型。
因为本质上,很多问题其实不是技术问题,而是管理问题。
现在就处于一种很纠结的状态。
直接用第三方吧,总觉得企业内部场景差一点安全感;
自己搭吧,又担心投入和收益不成正比。
挺想问问已经在公司内部真正落地 AI 的朋友:
你们现在是怎么做的?有什么好的建议呢?