API 调用治理的三层模型：从身份到行为的全链路追溯

近期 Anthropic 更新了隐私政策：Claude 个人用户可能被要求上传身份证件并进行实时人脸比对。这条消息在技术社区引起了不少讨论。但有一个更值得关注的技术话题藏在新闻背后——AI 调用层面的"实名制"到底是什么？

把 Anthropic 的政策拆开看，它的核心诉求不是"知道你是谁"，而是当 Agent 执行复杂多步骤任务时，平台需要能追溯每次操作背后是哪个自然人在决策、能及时拦截风险行为。翻译成技术语言：可追溯、可问责、可阻断。

这三个词放在企业内部 AI 调用的场景里，同样适用，而且问题更复杂。

现状：企业 AI 调用几乎处于匿名状态

很多技术团队的实际状况是这样的：API Key 散落在项目配置文件、CI/CD 变量、同事聊天记录里。人离职了，Key 还活着。月底对账单，只能看到一个总额——哪个项目花了多少、哪个人调了什么模型、有没有异常，一概不清楚。

Anthropic 在 Consumer 端推实名制的焦虑，放在企业场景下，其实是同一个问题：调用没有归属，就谈不上治理。

三层模型：身份、调用、行为

把 AI API 调用的治理拆成三层来看：

第一层：身份实名。 Anthropic 做的事——确认操作者是一个可追溯的自然人。这层在企业里通常由 SSO 或者内部账号体系完成，不算难题。

第二层：调用实名。 这次 API 请求是谁发的？属于哪个项目？哪个环境？走的是哪个模型 Provider？一个 30 人团队同时用着多个大模型，技术负责人需要的不是身份证号，而是每次调用的归属——请求落在哪个项目上、是谁的 Key 发出的。在企业场景里，这层比身份实名重要得多。

第三层：行为实名。 调完之后呢？该不该拦？花了多少？项目本月预算是 200 美元，跑到 180 了要不要告警？凌晨三点某个 Key 突然刷了 500 次调用，是正常任务还是泄露？这层涉及预算控制、异常检测、审计追溯——Anthropic 的身份证模式完全覆盖不了。

工程实践：透明代理 + 策略引擎

解决这个问题的工程方案并不复杂，核心思路是在 API 请求链路上加一个透明治理层。

虚拟 Key 机制。 给每个开发者签发一个虚拟 Key，不具备对云厂商的直接权限。这个虚拟 Key 绑定人和项目——谁生成的、属于哪个环境、能调哪些模型、月度额度多少。真正的云厂商 Key 存在本地加密存储里，不进代码仓库。虚拟 Key 泄露了随时吊销，不影响上游凭证。

本地代理拦截。 所有 API 请求经过一个本地 HTTP 代理。代理在转发前完成校验：虚拟 Key 是否有效、调用额度是否充足、请求的模型是否在白名单内。正常请求零感知透传，只有策略被触发时才介入——告警或阻断。

# 代理拦截核心逻辑
def handle_request(req):
    # 1. 解析虚拟 Key
    vkey = req.headers.get("X-Virtual-Key")
    
    # 2. 查身份与归属
    identity = lookup(vkey)
    if not identity or identity.status == "revoked":
        return deny(403, "credential invalid")
    
    # 3. 策略引擎评估
    allowed, reason = policy.evaluate(identity)
    if not allowed:
        return deny(429, reason)
    
    # 4. 替换真实 Key，透传上游
    req.headers["Authorization"] = f"Bearer {identity.real_key}"
    resp = upstream.forward(req)
    
    # 5. 记录调用日志（本地存储）
    log_call(identity, tokens=resp.usage.total_tokens)
    return resp

数据不出域。 代理跑在本地，调用日志、Token 消耗、账单数据全部留在执行机器的本地存储或内网数据库里。和 Anthropic 把验证数据交给第三方服务商 Persona 的逻辑一样——谁处理敏感数据，谁就对数据负责。

为什么这是基础设施问题

这三层治理本质上是把"调用归属"从一个手动管理的流程问题，变成自动生效的基础设施层。开发者的代码里不写裸 Key，项目配置文件只描述意图——用哪个模型、走哪个 Provider——不包含任何密钥。

这跟服务网格（Service Mesh）在微服务架构中的定位很像：Sidecar 代理在业务代码无感知的情况下，接管了服务发现、负载均衡、mTLS、可观测性。API 调用治理走的也是同一套范式——在请求链路中插入一个轻量代理层，把认证、鉴权、计费、审计的能力沉淀到基础设施里，业务代码只关心"调什么模型"这一件事。

总结

Anthropic 这次政策更新，技术上的指向其实很明确：AI 调用的"水表"得装了。对企业来说，要装的不只是一块总表——而是每个项目、每个 Key 的独立分表。

从工程角度，这就是一个带策略引擎的本地代理。代码不复杂，但价值在于自动化：常态无感，异常介入。和 Anthropic 实名制的设计哲学，本质上是同一件事。