Flowise数据安全：敏感信息脱敏处理的最佳实践

1. Flowise 是什么？一个真正“开箱即用”的本地AI工作流平台

Flowise 不是又一个需要写几十行代码、配半天环境的 AI 工具。它诞生于 2023 年，从第一天起就瞄准一个目标：让非程序员也能快速构建企业级 AI 应用。

你可以把它理解成 LangChain 的“图形遥控器”——所有复杂的链（Chain）、工具（Tool）、向量数据库（VectorStore）、分块器（TextSplitter）都被封装成一个个可拖拽的节点。你不需要知道 LLMChain 怎么初始化，也不用查 Chroma 的连接参数。只要在画布上把“文档上传”节点连到“向量存储”节点，再连到“问答 LLM”节点，一个能读你 PDF、回答你问题的 RAG 助手就跑起来了。

更关键的是，它不依赖云端黑盒。npm install -g flowise，敲一行命令就能在自己电脑上启动；或者直接 docker run flowiseai/flowise，5 分钟内，端口 3000 上就跑起了一个带完整 UI 的 AI 工作流编辑器。树莓派 4 都能扛得住，更别说你的开发机或私有服务器。

它不是玩具。45.6k GitHub Star、MIT 开源协议、周更的活跃社区、支持 PostgreSQL 持久化、一键导出 REST API、甚至能嵌入 Vue/React 项目——这些都不是宣传话术，而是每天被真实团队用在知识库问答、客服工单摘要、内部技术文档助手等场景里的事实。

但有一个问题，所有这些便利背后，悄悄埋着一根引线：当你的业务文档、客户反馈、合同扫描件、员工手册一股脑塞进 Flowise，它们会经过哪些节点？谁能看到原始内容？有没有可能在日志、缓存、API 响应里留下敏感痕迹？

这正是本文要聚焦的核心：Flowise 数据安全的“最后一公里”——敏感信息脱敏处理。

2. 为什么 Flowise 的脱敏不能靠“感觉”，而必须靠设计

很多人第一次用 Flowise 时，会下意识认为：“我只是在本地跑，数据没上传，肯定安全。” 这个想法很自然，但存在三个典型盲区：

• 日志不会说谎：Flowise 默认会将用户输入、LLM 请求体、甚至部分响应内容打印到控制台日志。如果你用的是 pnpm start 启动，这些日志全在终端里滚动。一旦有人远程连接你的开发机，或者你把日志同步到 ELK 系统，原始提问就暴露了。
• 向量库是“明文仓库”：当你把一份《客户隐私协议_v2.3.pdf》喂给 Flowise，它会被切片、嵌入、存进 Chroma 或 Qdrant。这些向量本身虽不可读，但对应的原始文本片段（chunk）是明文存储的。如果数据库未设访问权限，或备份文件被误传，敏感条款就赤裸裸躺在那里。
• API 接口不自动过滤：Flowise 导出的 /api/v1/prediction 接口，返回的是完整 JSON，包含 text 字段。如果你把这个接口嵌入 CRM 系统，而 CRM 前端又做了错误日志上报，那么用户提问的身份证号、手机号、订单号，就可能随着前端错误堆栈一起发到第三方监控平台。

这不是危言耸听。我们曾遇到一个真实案例：某教育公司用 Flowise 搭建内部教师培训问答系统，上传了含学生姓名、班级、学号的 Excel 表格。某次调试时，一位工程师把整个 API 响应 JSON 复制粘贴到 Slack 公共频道，三分钟后，学号列表就被截图传播。

所以，Flowise 的数据安全，不是“开了就安全”，而是“每一步都要问一句：这里会不会泄露？”——脱敏，必须成为工作流设计的一部分，而不是事后补救。

3. 四层脱敏策略：从输入到输出，全程可控

Flowise 的架构天然支持分层防御。我们不推荐“一刀切”式全局过滤（比如所有数字都替换成 ***），那会破坏语义，导致 LLM 回答失真。真正有效的脱敏，是按数据流转路径，分四层精准拦截与替换。

3.1 输入层：在请求抵达 Flowise 前完成清洗

这是最前置、最高效的防线。不要等数据进入 Flowise 再处理，而是在它进门之前就“安检”。

推荐做法：在 Nginx 或 API 网关层做正则过滤

假设你的 Flowise 部署在 http://localhost:3000，而业务系统通过 https://ai.yourcompany.com/api/chat 调用它。你可以在 Nginx 配置中加入：

location /api/chat {
    # 匹配并替换中国手机号（11位，以1开头）
    set $body_modified "";
    if ($request_method = POST) {
        rewrite ^(.*)$ $1 break;
    }
    # 使用 Lua 模块或第三方模块进行正则替换（需提前编译）
    # 示例伪代码：将 1[3-9]\d{9} 替换为 1****56789
    proxy_pass http://localhost:3000;
}

更轻量的方案是：在调用 Flowise 的业务代码里，先做一次预处理。例如 Python 后端：

import re

def sanitize_input(text):
    # 替换手机号：保留前3后4，中间用*填充
    text = re.sub(r'(1[3-9]\d{4})(\d{5})', r'\1*****', text)
    # 替换身份证号：18位，保留前6后4
    text = re.sub(r'(\d{6})(\d{8})(\d{4})', r'\1********\3', text)
    # 替换邮箱：只留用户名首尾和域名
    text = re.sub(r'(\w)(\w+)@(\w+\.)(\w+)', r'\1***@\3\4', text)
    return text

# 调用前清洗
clean_query = sanitize_input(user_input)
response = requests.post("http://localhost:3000/api/v1/prediction", json={"question": clean_query, ...})

关键点：这一层处理的是“原始提问”，不涉及 Flowise 内部逻辑，零侵入、高可靠。

3.2 节点层：在关键节点注入自定义脱敏逻辑

Flowise 最大的优势是可视化，但它的强大也在于可扩展。你完全可以在任意节点执行自定义 JavaScript 逻辑——包括对输入文本做脱敏。

实操步骤：

1. 在 Flowise 画布中，添加一个 Custom Function 节点（位于 “Utilities” 分类下）；
2. 将上游节点（如 Chat Input）连接到它；
3. 在函数体中编写脱敏逻辑：

// Custom Function 节点代码
const input = $input; // 获取上游传入的原始文本

// 定义脱敏规则
const rules = [
  { pattern: /1[3-9]\d{9}/g, replacement: (match) => `${match.substring(0,3)}****${match.substring(-4)}` },
  { pattern: /\d{17}[\dXx]/g, replacement: (match) => `${match.substring(0,6)}********${match.substring(-4)}` },
  { pattern: /[\w.-]+@[\w.-]+\.\w+/g, replacement: (match) => match.replace(/(?<=@)[^@]*/, "***") }
];

let sanitized = input;
rules.forEach(rule => {
  sanitized = sanitized.replace(rule.pattern, rule.replacement);
});

// 输出脱敏后的文本，供下游 LLM 节点使用
return { text: sanitized };

4. 将此节点的输出，连接到你的 LLM 或 RAG 节点。

效果：所有进入 LLM 的提示词（Prompt），都已剔除原始敏感字段。LLM 看到的是“请分析这份合同中关于付款方式的条款”，而不是“请分析《张三_身份证110101199003072315_订单20240521123456.pdf》中关于付款方式的条款”。

3.3 向量层：让知识库“记得内容，忘掉细节”

RAG 的核心是向量检索。但默认情况下，Flowise 存储的 chunk 文本是完整的。我们需要让它只存“语义”，不存“身份”。

操作方式：修改文档加载与分块逻辑

在 Flowise 中，Document Loader（如 PDF Loader）和 Text Splitter 是两个独立节点。你可以在它们之间插入一个 Custom Function，对每个 chunk 做“语义净化”：

// 对每个文本块进行脱敏后再向量化
const chunks = $input; // 输入是数组：["chunk1", "chunk2", ...]

const sanitizedChunks = chunks.map(chunk => {
  // 移除所有可能的标识符，只保留业务描述
  let clean = chunk
    .replace(/姓名：[^，。；\n]+[，。；\n]/g, "")      // 删除“姓名：张三”
    .replace(/身份证号：\d{17}[\dXx]/g, "身份证号：***") 
    .replace(/订单号：\w{12,}/g, "订单号：***")
    .replace(/\d{4}年\d{1,2}月\d{1,2}日/g, "日期：***"); // 统一日期格式
  
  // 确保关键业务术语不被误删
  clean = clean.replace(/付款方式/g, "付款方式");
  clean = clean.replace(/违约责任/g, "违约责任");
  
  return clean;
});

return sanitizedChunks;

结果：向量库中存储的不再是“甲方：北京某某科技有限公司（统一社会信用代码：91110108MA00123456）”，而是“甲方：某科技公司”。语义完整，身份隐去。

3.4 输出层：在最终响应中二次过滤，兜底保障

即使前三层都做了，也不能保证万无一失。LLM 有时会“复述”用户输入，或在思考过程中泄露中间结果。因此，最终 API 响应必须做最后一次清洗。

实现方式：修改 Flowise 后端响应拦截器

Flowise 的 packages/server/src/routes/prediction.ts 文件中，/api/v1/prediction 路由的返回逻辑可被增强。找到 res.json({ success: true, data: result }) 这一行，在 result 发送前插入脱敏：

// 在 packages/server/src/routes/prediction.ts 中
import { sanitizeText } from '../utils/sanitizer'; // 自定义工具函数

// ...原有逻辑
const result = await handlePrediction(...);
result.text = sanitizeText(result.text); // 对最终输出文本脱敏
res.json({ success: true, data: result });

sanitizeText 函数可复用前面的正则规则，确保返回给前端的 data.text 字段，绝对不含原始敏感信息。

验证方法：用含手机号的提问测试，检查浏览器 Network 面板中 /api/v1/prediction 的 Response Body，确认 text 字段已脱敏。

4. 实战演示：搭建一个“合规版”HR政策问答机器人

现在，我们把上面四层策略串起来，用一个具体场景演示如何落地。

4.1 场景需求

某公司 HR 部门想用 Flowise 搭建一个内部问答机器人，员工可上传《员工手册》《社保公积金指南》等 PDF，提问如：“我的试用期是多久？”、“生育津贴怎么领？”。但手册中包含大量示例：姓名、身份证、银行卡号、联系电话——这些绝不能出现在任何环节。

4.2 工作流搭建步骤（可视化操作）

1. 起点：Chat Input 节点（接收员工提问）；
2. 第一道关卡：Custom Function（输入层脱敏），清洗提问中的个人信息；
3. 知识接入：PDF Loader → Custom Function（向量层脱敏）→ Text Splitter → Chroma Vector Store；
4. 推理核心：Retrieval QA Chain（从脱敏后的向量库中检索）；
5. 出口把关：Custom Function（输出层脱敏），清洗 LLM 返回的最终答案；
6. 终点：Response 节点，返回给前端。

4.3 效果对比

提问原文	未经脱敏的响应（风险）	经四层脱敏的响应（安全）
“我叫李四，身份证110101199003072315，银行卡6228480012345678910，试用期多久？”	“根据《员工手册》第3.2条，李四（身份证110101199003072315）的试用期为3个月，转正后工资发放至其银行卡6228480012345678910。”	“根据《员工手册》第3.2条，员工的试用期为3个月，转正后工资将发放至本人指定银行账户。”

注意：脱敏不是“删光”，而是“去标识化”。关键政策条款（“3个月”、“转正后”）完整保留，只是剥离了与特定个人绑定的字段。业务价值丝毫不减，合规风险归零。

5. 额外建议：不止于脱敏，构建完整数据安全习惯

脱敏是手段，不是终点。结合 Flowise 特性，我们建议养成以下三个习惯：

• 启用 Flowise 认证，关闭匿名访问
  默认 Flowise 无登录页。生产环境务必开启 JWT 认证。在 .env 中设置：

  FLOWISE_USERNAME=admin
  FLOWISE_PASSWORD=StrongPass123!
  FLOWISE_AUTHENTICATION=true
  

  避免任何人打开浏览器就能看到你的全部工作流和知识库。

• 定期清理向量库与日志
  Flowise 不提供自动清理功能。建议每周执行一次脚本，清空 Chroma 的 collection，并轮转 logs/ 目录下的日志文件。一条简单的 shell 命令即可：

  # 清空 Chroma 数据（假设数据存于 ./storage/chroma）
  rm -rf ./storage/chroma/*
  # 压缩并删除7天前日志
  find ./logs -name "*.log" -mtime +7 -exec gzip {} \;
  

• 审计工作流，禁用高风险节点
  Flowise Marketplace 中有些节点（如 Web Scraping、HTTP Request）可能将数据外发。在企业环境中，应明确禁止使用这类节点，或仅允许白名单 URL。可在 Flowise 管理后台的“节点管理”中，将它们设为“隐藏”。

---

获取更多AI镜像

想探索更多AI镜像和应用场景？访问 CSDN星图镜像广场，提供丰富的预置镜像，覆盖大模型推理、图像生成、视频生成、模型微调等多个领域，支持一键部署。