买方应该要求的安全控制
租户隔离
每个客户环境的数据、知识库、配置和运维访问都应隔离。
角色权限
限制谁能改提示词、批准知识、导出对话、看报表和管理渠道。
答案可追溯
每条 AI 回复都应能追踪到来源片段、模型选择和置信度。
人工升级
投诉、退款、法律、VIP 和低置信度问题应自动转人工。
审计日志
记录知识编辑、提示词修改、渠道连接、导出和管理员动作。
模型路由
根据数据敏感度和任务类型选择模型,不把所有内容交给同一条路径。
部署模式
| 模式 | 适合 | 说明 |
|---|---|---|
| SaaS 托管 | 速度优先、数据敏感度较低。 | 上线快,适合先验证流程。 |
| 私有化部署 | 客户数据敏感、合规要求高。 | 数据和日志保留在企业控制环境中。 |
| 混合模式 | 部分数据敏感、部分任务低风险。 | 按任务类型路由模型和存储。 |
关键数据流
客户消息
进入统一工作台,按权限展示和处理。
知识库检索
只从批准来源提取答案,保留引用。
AI 回复
记录模型、来源、置信度和是否转人工。
管理报表
按解决率、返工、成本和风险生成月度报告。
评估任何 AI 客服供应商时要问
| 问题 | 为什么重要 |
|---|---|
| AI 回复来自哪些来源? | 决定能否审计和修正错误答案。 |
| 客户对话是否用于训练? | 涉及数据边界和合规风险。 |
| 低置信度如何转人工? | 决定高风险问题是否会被隐藏。 |
| 谁能导出对话和报表? | 客户数据本身就是商业资产。 |