本文提出SurrogateShield，一种客户端代理机制，旨在解决LLM助手将用户查询明文传输给第三方API端点导致的PII泄露问题。传统的占位符删除方法虽然能抑制PII，但会破坏语义连贯性，导致查询结构退化及响应质量下降。SurrogateShield在传输前，通过三级级联检测流水线（PatternScan、EntityTrace、ContextGuard）识别22种PII类型及基于k-匿名框架的准标识符组合，并用本地生成的类型一致的替代值替换真实PII，随后在响应中恢复原始值。整个过程中，真实PII不跨越网络边界。替代值与原始值的映射存储在AES-256-GCM加密的逐会话ShadowMap中，且永不离开设备。实验基于1,124条查询的语料库，检测流水线总体F1得分达98.87%。语义效用方面，替代替换显著优于占位符删除，BERTScore（roberta-large）从81.59%提升至94.85%，提升13.26个百分点。在100条查询的对抗性试验中，提示LLM敌手无法从替代消息中恢复任何原始值。该方法适合隐私保护要求高的LLM应用场景。