DevilsTear/ai-native-receptionist

# 安全的全渠道 AI 接待员：企业级参考架构 [](YOUR_YOUTUBE_VIDEO_LINK) []() []() **一个生产就绪的参考架构，用于自主的全渠道（语音与文本）AI 接待员，演示了高级的提示注入防御、安全的 Model Context Protocol (MCP) 集成以及有状态编排。** ## 📖 概述 大多数 AI 语音代理都是围绕单一系统提示构建的脆弱包装器，这使得它们极易受到注入攻击、社会工程学和数据泄露的威胁。 本仓库是 **“强化边缘：反泄露架构”** 视频系列的技术伴侣。它展示了一种 **零信任多代理架构**，利用抽象层来编排语音提供商（例如 Vapi、Retell、ElevenLabs），同时在语言模型和企业 CRM 之间保持严格的隔离。 ### 展示的关键能力 * **全渠道编排：** 通过统一的意图引擎处理实时语音流和异步文本/SMS 输入。 * **双重 LLM 盾牌：** 实现一个轻量级、高速的“守门员” LLM，在输入到达主推理代理之前对其进行净化。 * **安全的 MCP 集成：** 使用 Model Context Protocol (MCP) 将 AI 与直接数据库访问解耦，以实施严格的、基于用户范围的权限控制。 * **动态 UI 生成：** 根据通话上下文实时生成一次性预订小部件或登录页面。 ## 🏗️ 系统架构 *正如在频道中所讨论的，我们坚持 **“简单方能扩展，花哨必然失败”** 的理念。核心后端依赖于一个配置驱动的无头架构，并利用了 Next.js、Go、PostgreSQL 和 Redis。* ### 纵深防御管道 本项目实现了一个多层安全模型，以解决 LLM 应用程序的 OWASP Top 10 漏洞（特别是 LLM01：提示注入和 LLM06：敏感信息泄露）。 1. **平台边界 (Google AI Studio)：** 配置了原生安全设置，可在执行自定义逻辑之前过滤骚扰、仇恨言论和危险内容。 2. **输入净化（守门员代理）：** 一个快速的评估模型，用于扫描传入的对话记录以查找对抗性模式（例如，角色模拟、命令覆盖）。 3. **有状态编排 (LangGraph)：** 管理对话状态，防止 LLM 进行未经授权的上下文切换或在跨会话中保留敏感的 PII。 4. **协议层 (MCP 服务器)：** 外部工具和数据检索 (RAG) 通过隔离的 MCP 服务器执行，确保 AI 永远不会拥有原始的数据库凭据。 ## 🚀 入门指南 *（注意：这是一个参考架构。在部署到生产环境之前，请查看安全注意事项部分。）* ### 前置条件 * 用于后端服务的 Node.js (v20+) 或 Go (1.21+)。 * 一个 Google Gemini API Key（用于核心推理引擎）。 * 您所选语音提供商（Vapi / Retell / ElevenLabs）的密钥。 * 运行中的 PostgreSQL 实例和 Redis（用于状态管理）。 ### 安装与设置 1. **克隆仓库：** git clone [https://github.com/DevilsTear/ai-receptionist-architecture.git](https://github.com/DevilsTear/ai-receptionist-architecture.git) cd ai-receptionist-architecture 2. **配置环境变量：** 复制模板并添加您的凭据。 cp .env.example .env *确保您根据自身的风险承受能力配置了 `SAFETY_THRESHOLD` 变量。* 3. **初始化 MCP 服务器：** 查看 `./mcp-servers` 目录以配置 CRM 连接字符串。 4. **启动编排器：** # （根据您选择的栈提供特定的启动命令，例如 npm run dev 或 go run main.go） ## 🛡️ 安全注意事项与 OWASP 映射 本架构专门应对以下威胁： ### LLM01：提示注入（直接与间接） * **缓解措施：** 双重 LLM 盾牌模式会在主代理处理上下文之前，拦截直接的调用者命令（“忽略之前的指令”）以及隐藏在检索到的 CRM 数据中的间接注入。 ### LLM06：敏感信息泄露 * **缓解措施：** AI 没有直接访问数据库的权限。它通过 MCP 服务器请求数据，该服务器根据*调用者*的已验证身份（带外验证）而非 AI 的权限来执行授权检查。 ### LLM09：过度依赖（未经授权的操作） * **缓解措施：** 高影响操作（例如，数据库修改、支付处理）需要明确的“人类参与”批准阈值或加密的多因素握手，以防止 AI 仅根据未经验证的语音命令执行操作。 ## 📁 仓库结构 ``` ├── /orchestrator # Main LangGraph / Intent routing logic ├── /agents │ ├── gatekeeper # Input sanitization and prompt injection defense │ ├── receptionist # Core conversational logic and tone management │ └── web-gen # Dynamic UI/Component generation agent ├── /mcp-servers # Isolated Model Context Protocol implementations │ └── crm-connector # Example CRM integration logic ├── /voice-bridge # Abstraction layer for Vapi/Retell/ElevenLabs ├── /docs │ ├── ADRs # Architectural Decision Records │ └── threat-model.md # Detailed security analysis └── docker-compose.yml # Local development environment ``` ## 🤝 贡献 我们欢迎有关架构模式、安全强化和 MCP 实现的讨论与贡献。请查看我们的[贡献指南](CONTRIBUTING.md)，并确保所有拉取请求都包含针对提示注入弹性的更新测试。 ## 📄 许可证 本项目基于 MIT 许可证授权 - 详见 [LICENSE](LICENSE) 文件。

标签：AI前台, AI原生架构, AI安全, Chat Copilot, CISA项目, CRM集成, Data Exfiltration Prevention, ElevenLabs, LLM应用开发, MCP, Retell, Social Engineering Defense, Streamlit, Vapi, 企业数字化, 企业级AI, 全渠道接待员, 动态UI生成, 参考架构, 双LLM防护, 多智能体工作流, 大模型安全, 安全架构, 实时语音流, 意图引擎, 搜索引擎查询, 文本AI, 日志审计, 有状态编排, 权限隔离, 模型上下文协议, 测试用例, 生产就绪, 纵深防御, 网络安全, 自定义脚本, 访问控制, 语音AI, 请求拦截, 边缘防御, 防提示注入, 隐私保护, 零信任架构