零信任加密与AI双管道：构建个人健康数据管理平台的技术实践

1. 项目概述：一个面向未来的个人健康数据AI管理平台

在过去的十几年里，我接触过无数个开源项目，从简单的工具库到复杂的企业级系统，但像 Doctor Dok 这样，将个人隐私、医疗数据管理和前沿AI能力如此深度结合的项目，确实不多见。简单来说，Doctor Dok 是一个“你的健康数据保险箱+AI分析助手”。它的核心目标，是解决我们每个人都会遇到的痛点：体检报告、化验单、影像胶片散落在各个医院和App里，时间一长就找不到，更别提进行长期的趋势分析和健康管理了。

这个项目最吸引我的地方在于它的设计哲学：数据主权归你，AI能力为你服务。它不是一个SaaS服务（虽然也提供托管试用），而是一个你可以完全部署在自己环境下的开源框架。你的所有健康数据，从一张模糊的化验单照片到一份几十页的出院小结，都会在你的浏览器里被加密，然后才上传到服务器。这意味着，除了你自己，没有任何人（包括服务提供商）能解密和查看你的原始数据。这种“零信任”架构在金融和军工领域常见，但应用到个人健康数据上，其意义非同小可。

它利用AI（如ChatGPT、Llama等大模型）做了两件关键事：一是作为“超级OCR”，能从拍摄质量不佳的图片中精准提取文字和结构化数据（比如将血常规报告转换成标准的JSON字段）；二是作为“智能研究员”，你可以用自然语言和它对话，比如问它“对比我过去三年的肝功能指标变化”或“帮我翻译这份德文的诊断报告”。但请注意，项目作者反复强调，所有AI输出仅供研究和参考，绝不能替代专业医生的诊断。这既是对用户的保护，也体现了开发者在医疗AI应用上的审慎态度。

因此，Doctor Dok 更适合这几类人：有技术背景、注重隐私并想管理全家健康数据的个人开发者；想要构建合规医疗应用、需要现成安全框架的创业团队；以及任何对“AI+健康数据”应用开发感兴趣的研究者。接下来，我将深入拆解它的技术实现、实操部署以及那些在文档里不会明说的细节与坑点。

2. 核心架构与安全设计解析

Doctor Dok 的技术栈选择非常现代且务实：Next.js (React) + TypeScript 的前端，配合 SQLite 数据库。这种组合保证了开发效率、类型安全，以及极简的部署依赖。但真正让它与众不同的是其贯穿始终的安全与隐私设计理念。

2.1 零信任加密架构：你的数据，只有你能解锁

很多云盘也宣称“端到端加密”，但Doctor Dok的实现更彻底。其核心流程如下：

1. 密钥本地生成与保管：当你首次使用应用时，浏览器会在本地生成一对加密密钥（通常基于Web Crypto API）。私钥永远不会离开你的浏览器，也不会发送给服务器。公钥用于后续的分享等机制。
2. 客户端加密：在你上传任何文件（PDF、图片）或输入文本记录时，数据在发送网络请求之前，就在浏览器内使用你的私钥（或派生出的对称密钥）进行加密。服务器接收到的只是一串无法直接解读的密文。
3. 密文存储：服务器（无论是自托管还是官方服务）只负责存储这些加密后的“数据块”和必要的元数据（如加密时间、文件夹ID等）。即使数据库被拖库，攻击者得到的也只是乱码。
4. 客户端解密：当你在网页或App上查看数据时，加密的数据块被下载到浏览器，然后用本地存储的私钥解密并渲染。整个过程中，明文数据只存在于你的设备内存中。

注意：这种设计有一个重要影响——服务器完全无法对你的加密数据进行搜索、分析或提供基于内容的服务。所有“智能”功能，如AI分析、数据筛选，都必须在你授权后，将解密的数据发送给第三方AI服务（如OpenAI API）或完全在浏览器前端计算。项目通过让用户自行配置AI API Key来强化这一边界。

2.2 双AI管道设计：解析与对话分离

Doctor Dok 巧妙地将AI能力分为两个相对独立的管道，这在实际应用中非常合理：

1. 解析管道：负责将非结构化的文档（图片、PDF）转换为结构化JSON。这里可以配置使用 ChatGPT、Ollama（本地运行的Llama等模型）或开源的Tesseract OCR。对于医疗文档，包含大量专业术语和特殊格式，通用OCR效果很差，而大语言模型（LLM）在理解上下文和提取关键值对（如“白细胞计数：11.2 x10^9/L”）方面表现惊人。
2. 对话/分析管道：负责处理你的聊天提问、数据总结、翻译等任务。你可以选择与ChatGPT对话，也可以连接本地部署的Ollama模型，以确保最敏感的数据不出本地网络。

在环境变量配置中，这两个管道是分开设置的（LLM_PROVIDER_PARSE和LLM_PROVIDER_CHAT），这给了你极大的灵活性。例如，你可以用性能更强的GPT-4来解析复杂的报告以确保准确性，同时用本地部署的Llama 3进行日常问答以保护隐私和控制成本。

2.3 数据标准化：FHIR与自定义JSON的桥梁

医疗数据标准化是个世界性难题。Doctor Dok 没有强行绑定某一种标准，而是采用了务实的策略：

• 内部存储：使用自定义但结构清晰的JSON Schema。这保证了开发的灵活性和处理各类非标报告的能力。
• 对外交换：支持导入/导出FHIR（Fast Healthcare Interoperability Resources）格式。FHIR是国际医疗数据交换的主流标准。这意味着，如果你需要与其它符合FHIR标准的医院系统或健康平台交换数据，Doctor Dok可以充当一个转换枢纽。

这种设计使得它既能快速适配各种零散的个人医疗记录，又为未来融入更广阔的医疗生态系统预留了接口。

3. 从零开始：本地部署与深度配置指南

官方Getting Started虽然简单，但真要跑顺一个涉及AI、加密和文件处理的完整应用，有几个细节必须吃透。下面是我从零部署并踩过坑后的完整流程。

3.1 基础环境搭建与项目初始化

首先，确保你的开发环境符合要求：

# 推荐 Node.js 版本 >= 18.x，我实测20.x LTS版本最稳定 node --version # 包管理器使用 yarn，项目锁定了版本，用npm可能会遇到依赖问题 npm install -g yarn

克隆项目并安装依赖：

git clone https://github.com/CatchTheTornado/doctor-dok.git cd doctor-dok yarn install # 使用 yarn 而非 npm install

这里第一个坑点可能会出现：网络问题导致的依赖安装失败。因为项目包含一些原生模块，如果遇到node-gyp编译错误，通常是因为缺少系统级的编译工具。

• 在Windows上：需要安装windows-build-tools(以管理员身份运行PowerShell:npm install --global windows-build-tools) 或 Visual Studio Build Tools。
• 在macOS上：需要安装 Xcode Command Line Tools (xcode-select --install)。
• 在Linux上：需要安装build-essential,python3等。

依赖安装成功后，直接运行yarn dev理论上可以启动开发服务器（默认端口3000）。但此时只是一个“空壳”，没有AI功能，且所有数据仅存在内存或临时SQLite文件中。

3.2 核心配置详解：让AI和数据库真正工作

项目配置主要通过根目录下的.env.local文件和环境变量完成。以下是我整理的关键配置项及其深入解读：

# .env.local 示例 # 1. AI解析与对话核心配置 # 使用OpenAI GPT进行文档解析（精度高） NEXT_PUBLIC_LLM_PROVIDER_PARSE=chatgpt # 使用本地Ollama进行聊天对话（隐私好） NEXT_PUBLIC_LLM_PROVIDER_CHAT=ollama # 你的OpenAI API密钥（用于解析） NEXT_PUBLIC_CHAT_GPT_API_KEY=sk-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx # Ollama本地服务地址（确保Ollama已安装并运行） NEXT_PUBLIC_OLLAMA_URL=http://localhost:11434 # Ollama模型名称，如 llama3.1:8b, mistral 等 NEXT_PUBLIC_OLLAMA_MODEL=llama3.1:8b # 2. OCR引擎备选方案 # 首选AI解析，失败时回退到Tesseract OCR NEXT_PUBLIC_OCR_PROVIDER=tesseract # Tesseract语言包，中文需安装 `chi_sim` NEXT_PUBLIC_OCR_LANGUAGE=eng+chi_sim # 3. 隐私与功能开关 # 是否在列表中显示附件预览图（涉及图片解密加载，性能考量） NEXT_PUBLIC_DISPLAY_ATTACHMENT_PREVIEWS=true # 是否使用AI移除个人身份信息(PII)，若开启，解析时会尝试抹去姓名、身份证号等 NEXT_PUBLIC_LLM_PROVIDER_REMOVE_PII=chatgpt # 是否在AI上下文中包含一般性数据（如年龄、性别，非精确PII） NEXT_PUBLIC_PII_GENERAL_DATA=true # 4. 数据库配置（生产环境必改） # 默认使用项目内SQLite文件。生产环境建议指定绝对路径，并定期备份。 # DATABASE_URL=file:/absolute/path/to/your/prod.db

实操心得1：关于AI模型的选择

• 解析任务：强烈建议使用GPT-4或GPT-4 Turbo。虽然贵，但医疗文档结构复杂，缩写多，GPT-3.5的提取准确率明显不足，会导致后续数据混乱。你可以在OpenAI平台设置API Key的用量限制以防意外开销。
• 对话任务：如果数据敏感，Ollama + Llama 3.1 8B是绝佳选择。8B参数模型在消费级GPU（如RTX 4070）或甚至只有CPU的强服务器上都能运行。对话响应速度尚可，且完全数据不出域。
• 混合模式：像我上面配置的那样，用GPT解析（保证结构化数据质量），用Llama对话（保证隐私），这是兼顾准确性与安全性的理想方案。

实操心得2：Tesseract OCR的安装与语言包如果你将OCR_PROVIDER设为tesseract或作为回退，需要系统安装Tesseract。

# macOS brew install tesseract tesseract-lang # Ubuntu/Debian sudo apt install tesseract-ocr tesseract-ocr-eng tesseract-ocr-chi-sim # Windows (通过 Chocolatey) choco install tesseract

安装后，在项目内可能需要指定Tesseract路径，但Doctor Dok通常通过系统调用访问，所以确保tesseract命令在终端中可用。

3.3 生产环境部署考量

开发模式 (yarn dev) 不适合长期使用。以下是构建和运行生产版本的建议：

# 1. 构建优化后的生产版本 yarn build # 2. 使用Next.js自带的生产服务器运行 yarn start

• 进程管理：使用pm2或systemd来守护进程，保证应用崩溃后自动重启。

  pm2 start npm --name "doctor-dok" -- start

• 数据库：默认SQLite适用于轻量和个人使用。如果团队或多用户使用，考虑迁移到PostgreSQL，需要修改Prisma Schema和连接配置，这涉及较多改动。
• 文件存储：上传的加密附件默认存储在服务器本地文件系统。在生产环境中，你应该将其配置到独立的、有冗余备份的对象存储（如S3、MinIO）或持久化卷上。
• HTTPS：必须启用。加密数据在HTTP下传输仍有被中间人攻击的风险。可以使用Nginx反向代理并配置SSL证书。

4. 核心功能实操：上传、解析与AI对话全流程

让我们模拟一个真实场景：你有一张去年体检的血常规报告照片，想把它录入系统并问问AI一些基本问题。

4.1 创建文件夹与上传记录

1. 登录/初始化：首次访问，系统会引导你创建一个主密码（用于加密导出文件等）并在本地生成密钥对。务必妥善保管提示你备份的恢复码或密钥文件。这是你数据的唯一钥匙，丢失则数据永久无法解密。
2. 创建文件夹：点击“New Folder”，命名为“2023年度体检”。良好的文件夹管理是后续高效分析的基础。
3. 上传记录：
   • 点击“Add Record”，选择“File Upload”。
   • 拖入或选择你的血常规报告照片（JPG/PNG）或扫描件（PDF）。
   • 在“Record Type”下拉菜单中，选择“Blood Test Results”。这会给AI解析器一个重要的上下文提示。
   • 点击上传。

4.2 后台解析过程揭秘

此时，后台会触发一个多步骤的管道：

1. 文件预处理：如果是PDF，先转换为图片；如果是图片，进行角度校正、去噪等基本处理。
2. 内容提取：根据你的配置，调用LLM_PROVIDER_PARSE（例如ChatGPT）。
   • 系统会将图片以Base64编码或文字描述的形式，连同提示词（如“这是一份血常规报告，请提取所有检测项目、结果、单位、参考范围，并以结构化JSON输出”）发送给AI。
   • AI返回一个结构化的JSON对象。Doctor Dok的解析器内置了针对数十种医疗报告（从血常规到MRI报告）的模板，它会尝试将AI的输出匹配到最合适的模板上。
3. 数据存储与加密：生成的JSON结构与你原始的文件附件一起，在浏览器内被加密，然后才发送到服务器保存。
4. 前端展示：页面刷新，你会看到这条记录已经变成一个清晰的表格，各项指标、结果、是否在正常范围（通常用颜色标识）一目了然。

注意：AI解析不是100%准确，尤其是面对手写体、特殊格式或质量极差的图片。上传后必须人工核对！系统通常提供“编辑”功能，让你可以修正提取错误的字段。养成“AI提取，人工复核”的习惯至关重要。

4.3 与你的健康数据对话

这是最能体现项目价值的环节。在记录列表页或详情页，找到“AI Chat”按钮。

1. 选择上下文：你可以选择“仅当前记录”或“本文件夹所有记录”作为聊天的上下文。如果你选择了多年体检报告的文件夹，AI就能看到你几年的数据趋势。
2. 开始提问：
   • 基础查询：“我的血红蛋白指标正常吗？”
   • 趋势分析：“把我过去三年甘油三酯的变化画成趋势图。”（AI会尝试用文字描述趋势，或生成可绘制图表的数据结构）
   • 跨指标关联：“我的肝功能指标（ALT，AST）和体重变化有关系吗？”
   • 翻译：“将这份报告翻译成日语。”
   • 解释说明：“用通俗易懂的语言解释一下‘淋巴细胞百分比偏高’可能意味着什么？”

实操心得3：如何提出有效的问题AI的表现很大程度上取决于提示词（Prompt）。Doctor Dok 已经内置了针对医疗场景优化的系统提示，但你仍可以优化你的提问方式：

• 具体化：不要问“我的指标怎么样？”，而是问“我的低密度脂蛋白胆固醇是3.5mmol/L，相对于参考范围，这个值处于什么水平？有哪些生活建议？”
• 结构化：对于复杂分析，可以分步：“第一步，列出我所有超出正常范围的指标。第二步，针对每一个异常指标，给出可能的原因列表（分常见和罕见）。第三步，建议下一步应该咨询哪个科室的医生。”
• 利用上下文：在选择了多年数据后，可以问：“对比我2022年和2023年的空腹血糖和糖化血红蛋白，分析我的血糖控制情况是否有变化。”

5. 高级功能与API集成探索

除了核心的C端功能，Doctor Dok 作为开发框架的潜力更值得关注。

5.1 安全分享功能

你可以为任何一个文件夹生成一个“分享密钥”。这个密钥本质是一个加密的、有时效性或使用次数的访问令牌。你可以将密钥发送给家人或医生。他们需要在另一个Doctor Dok实例中导入该密钥，才能解密并查看该文件夹内的数据。分享过程，原始数据始终加密，密钥不通过Doctor Dok服务器中转，实现了点对点的安全共享。

5.2 完整的REST API

项目提供了覆盖所有功能的REST API（详见/docs），并采用JWT认证。这意味着你可以：

• 批量导入/导出：写脚本将你散落在各处的电子报告（如CSV、HL7格式）批量转换并加密导入Doctor Dok数据库。
• 构建自动化工作流：例如，连接你的智能手表API，定期将心率、睡眠数据加密后存入特定文件夹。
• 开发定制前端：如果你不喜欢默认的UI，可以用React、Vue甚至移动端框架，基于API重新构建一个完全定制化的健康数据应用。
• 与企业系统集成：作为医院内部一个安全的中转站，将不同科室的非标报告标准化为FHIR格式后，再推送给主EHR系统。

API的使用示例（获取文件夹列表）：

curl -X GET 'http://your-doctordok-instance/api/folders' \ -H 'Authorization: Bearer YOUR_JWT_TOKEN'

5.3 个人身份信息（PII）处理

医疗记录包含大量敏感信息。Doctor Dok 提供了两种PII处理方式：

1. AI擦除：在解析文档时，可以调用AI（配置LLM_PROVIDER_REMOVE_PII）识别并抹去姓名、身份证号、电话号码等。处理后的数据再用于分析和存储。注意：此功能依赖AI的识别能力，可能存在遗漏，敏感场景下慎用或需二次复核。
2. 黑名单过滤：在设置中定义需要全局查找并替换的关键词（如你的特定身份证号）。这是一个简单但有效的补充手段。

6. 常见问题、故障排查与避坑指南

在实际部署和使用中，我遇到了不少问题，这里总结一份速查表。

最后的忠告：Doctor Dok 是一个强大且理念先进的开源项目，但它本质上是一个开发框架和生产力工具，而非一个通过医疗认证的成熟产品。正如作者所警告的，绝对不要将其AI输出视为医疗建议。它的正确使用方式是：作为你个人健康数据的私有化、结构化归档中心，以及一个帮助你初步整理问题、生成易于与医生沟通的健康摘要的智能助手。它的真正潜力，在于为开发者提供了一个兼具顶级隐私安全和AI能力的起点，让你可以在此基础上，构建下一个符合特定区域法规、满足特定需求的数字健康应用。