很多团队第一次做企业知识库系统时,最先关注的通常是两件事:检索能不能命中;回答看起来够不够像“懂业务”。这当然重要,但如果系统一开始就要面向多个部门、多个项目组、多个客户,真正更容易把项目拖住的,往往不是召回率本身,而是另一层边界:谁能看到什么,谁不该看到什么,系统到底靠哪一层来拦。单租户演示环境里,这个问题不一定明显。文档先堆进去,搜到了就回答,效果还不错,团队自然会觉得可以继续推进。可一旦进入多租户环境,事情会立刻复杂起来:A 部门和 B 部门共用同一平台,但资料不能互相看见;甲客户和乙客户使用同一套知识库底座,但内容绝不能串;同一个部门内部,不同角色可见范围也不同;某些文档允许被摘要,但不允许返回原文;某些回答可以给结论,但不能暴露引用来源里的敏感字段。这时候如果还把权限问题理解成“登录后判断一下角色就行”,后面很容易出事故。因为在 RAG 系统里,权限并不是只发生在一个入口,而是会穿过整条链路:文档入库时怎么打标;建索引时哪些字段必须保留;检索时能不能先过滤;重排后是否还要复核;生成回答时能不能引用原文;日志、缓存、回写结果是否也带上权限边界。所以这篇文章不再讲“RAG 是什么”,而是直接解决一个更像生产问题的主题:R