Discourse AI - 网络制品

文档 网站管理
1

什么是 AI 制品?

AI 制品是强大的工具,允许用户在 Discourse 帖子中直接创建、嵌入和交互动态的 Web 组件。这些组件可以包含自定义的 HTMLCSSJavaScript,从而实现多种用途,例如:

  • 嵌入交互式测验或表单。
  • 通过丰富的图形和动画可视化数据。
  • 集成轻量级 Web 应用程序或工具。
  • 作为学习 Web 框架、JavaScript 库等的工具。

AI 制品通过增加交互性无缝增强 Discourse 帖子,同时确保安全的浏览体验。

站点设置

管理员可以配置以下设置:

1. 启用功能

  • 设置discourse_ai_enabled
    • 确保启用此全局设置,以便 AI 制品能够正常运行。

2. 安全模式

  • 设置ai_artifact_security
    • 选项:
      • disabled:禁用制品系统。
      • lax:制品自动出现在帖子中,无需用户交互。
      • hybrid:制品默认需要点击才能运行,但帖子作者可以在嵌入标记中添加 data-ai-artifact-autorun,使特定制品立即运行。
      • strict:用户必须在浏览器中通过点击“查看”或“运行”按钮显式激活制品。此设置推荐用于注重安全的环境。(默认)

3. 制品创建者访问权限

  • 默认情况下,制品创建者代理限制为工作人员用户。此限制确保只有受信任的个人才能创建制品,从而最大限度地减少不当或恶意使用的风险。
  • 如果需要更广泛的访问权限,站点管理员需要手动配置权限。

在帖子中使用 AI 制品

制品由制品创建者代理按需自动创建。

上述制品是使用 GPT-4o 和 anime.js 库生成的

一旦创建,它们仅对您和制品创建者代理私有。能够共享 AI 对话的用户(属于 ai bot public sharing allowed groups 的用户)也可以通过共享对话将制品设为公开。

共享后,您可以使用以下 HTML 标记在帖子中渲染它:

<div class="ai-artifact" data-ai-artifact-version="3" data-ai-artifact-id="71"></div>

(其中版本和制品 ID 是您的版本化制品)

安全考虑

鉴于 AI 制品可以执行自定义编写的 HTML、CSS 和 JavaScript,Discourse 已实施严格的安全措施:

1. 在 iFrames 中沙箱化

  • 制品在隔离的 iframe 容器中渲染,并带有 sandbox 属性,以限制以下潜在不安全操作:
    • 跨站脚本攻击。
    • 访问外部站点或 API。

2. 内容安全策略 (CSP)

3. 安全模式

  • 严格模式:推荐用于制品未完全受信任的环境。用户需要在浏览器中手动激活制品后才能渲染。

4. 访问和权限

  • 制品仅对以下人员可见:
    • 其创建者。
    • 拥有查看关联帖子权限的用户(例如个人消息)。
  • 公开制品必须通过共享 AI 对话显式标记为公开。

5. 长度限制

  • 制品中的 HTML、CSS 和 JavaScript 大小分别限制为 64 KB。这确保组件保持轻量级,不会给用户或系统带来负担。

制品存储

Web 制品可以选择性地存储按用户的数据。为此,请提示制品创建者使用“使用用户存储”或类似指令。

此系统允许存储键值对:

  • 私有(仅管理员和特定用户可见)
  • 公开(所有用户包括匿名用户可见)

键值对针对制品来源的帖子进行保护,但如果您将制品公开共享,所有人都可以添加键。

要控制存储,您可以使用以下隐藏设置:

  • ai_artifact_kv_value_max_length(默认项长度最多为 5000 个字符)
  • ai_artifact_max_keys_per_user_per_artifact(默认 100)

常见问题解答

谁可以创建 AI 制品?

默认情况下,只有工作人员用户(例如管理员或版主)可以通过制品创建者代理创建制品。该代理简化了使用 HTML、CSS 和 JavaScript 设计交互式 Web 小部件的过程。

如果我点击制品会发生什么?

  • 宽松模式下,制品会自动出现。
  • 混合模式下,制品默认需要点击,但如果嵌入包含 data-ai-artifact-autorun,则可以自动运行。
  • 严格模式下,点击“运行”按钮会激活制品并允许其在浏览器中加载。

AI 制品安全吗?

是的。AI 制品在严格受控的环境中运行:

  • 它们被沙箱化,无法直接与 Discourse 应用程序或用户上下文交互,仅能通过 iframe 消息传递。
  • 严格模式让您控制激活过程。
  • 制品默认是私有的,您需要主动共享才能赋予全局访问权限。

我可以看到制品的源代码吗?

可以。当 Discourse AI 生成制品时,它将包含完整的标记、CSS 和 JavaScript。

支持哪些大语言模型?

制品可以使用您配置的任何大语言模型生成,但某些大语言模型专门针对制品创建进行了优化和微调。

我们观察到 o3、Anthropic Claude Sonnet 3.7 - 4.0、GPT-4.1、Gemini Pro 2.5 等模型效果良好。通常,更先进的模型表现更好。

制品创建过程中存在大量的试错成分,实验是关键。

23 个赞
Announcing: AI Web Artifacts
Could AI artifacts be a blueprint how to enable H5P content in discourse?
AI Artifact User storage
Improving your results from the "Web Artifact Creator" bot with the Prompt Master bot
Button to delete reply becomes one to delete topic after deleting reply
Announcing: AI Web Artifacts
3

能够对构件隐私进行更细粒度的控制,以便它们只能与特定组共享,那将是非常棒的。这与类别权限目前的工作方式非常相似 :smiley:

4

我认为如果你把群组添加到机器人的私聊中,它可能会起作用?

1 个赞
5

我会测试一下,然后在这里汇报。我有一个特殊的用例,需要工件只能由一个私有类别中的一个组访问。

1 个赞
6

所以我将 Web Artifact Creator 机器人标记在一个私有类别的新主题中,该群组可以访问该类别,以便它可以创建一个仅我与该特定群组可见的工件。但是,工件 iframe 窗口仅显示当用户无法访问某个页面时弹出的默认“糟糕!该页面不存在或为私有。”

所以我创建了一个数据探索器查询来检查谁可以查看该主题,并且根据数据库,_应该能够_查看该工件的群组中的用户确实显示为可以查看它。

所以也许这是一个 bug?

我的 SQL 查询 
-- [params]
-- int :artifact_id = 22

WITH artifact_info AS (
  SELECT
    a.id,
    a.user_id as creator_id,
    a.post_id,
    p.topic_id,
    t.category_id,
    t.archetype,
    c.read_restricted,
    t.title as topic_title
  FROM ai_artifacts a
  LEFT JOIN posts p ON a.post_id = p.id
  LEFT JOIN topics t ON p.topic_id = t.id
  LEFT JOIN categories c ON t.category_id = c.id
  WHERE a.id = :artifact_id
),
users_with_access AS (
  -- Creator always has access
  SELECT
    ai.creator_id as user_id,
    'Creator' as access_reason
  FROM artifact_info ai

  UNION

  -- Users with access to private messages
  SELECT
    tau.user_id,
    'Private Message Access' as access_reason
  FROM artifact_info ai
  JOIN topic_allowed_users tau ON ai.topic_id = tau.topic_id
  WHERE ai.archetype = 'private_message'

  UNION

  -- Group members with access to private messages
  SELECT
    gu.user_id,
    'Private Message Group Access' as access_reason
  FROM artifact_info ai
  JOIN topic_allowed_groups tag ON ai.topic_id = tag.topic_id
  JOIN group_users gu ON tag.group_id = gu.group_id
  WHERE ai.archetype = 'private_message'

  UNION

  -- Users with access to restricted categories
  SELECT
    gu.user_id,
    'Category Group Access' as access_reason
  FROM artifact_info ai
  JOIN category_groups cg ON ai.category_id = cg.category_id
  JOIN group_users gu ON cg.group_id = gu.group_id
  WHERE ai.read_restricted = true
    AND ai.archetype != 'private_message'
    AND cg.permission_type IN (1, 2) -- full access or create/reply/see

  UNION

  -- All users if topic is public (not restricted and not private message)
  SELECT
    u.id as user_id,
    'Public Access' as access_reason
  FROM artifact_info ai
  CROSS JOIN users u
  WHERE (ai.read_restricted = false OR ai.read_restricted IS NULL)
    AND (ai.archetype != 'private_message' OR ai.archetype IS NULL)
    AND u.active = true
)

SELECT
  u.id as user_id,
  u.username,
  u.name,
  u.trust_level,
  uwa.access_reason,
  ai.topic_title
FROM users_with_access uwa
JOIN users u ON uwa.user_id = u.id
CROSS JOIN artifact_info ai
WHERE u.active = true
ORDER BY u.username