خط الأساس للوكلاء الآمنين

لا يجب عليك تأليف قاعدة جدار حماية واحدة للحصول على الحماية. ضبط الاستقلالية — المعروف أيضاً بخط الأساس للوكلاء الآمنين — يطبّق موقف انعدام ثقة كامل على مساحة عملك في معاملة واحدة: جدار الحماية وحواجز الحماية، معاً، مع التراجع بنقرة واحدة. هذا هو أسرع مسار لموقف أمان ذي معنى. أنشئ قواعد لاحقاً لضبطه؛ ابدأ من هنا.

خط الأساس للوكلاء الآمنين هو ضبط الاستقلالية — لا يوجد كائن “خط أساس” منفصل. تطبيق مستوى استقلالية يكتب بشكل ذري سياسة جدار حماية وحاجز حماية (مُسمَّيَان بالمستوى) ويجعلهما الموقف الحي لمساحة عملك، في معاملة واحدة. يمكنك فتحهما وتحريرهما بعد ذلك. التراجع بنقرة واحدة يستعيد الحالة السابقة من لقطة تدقيق.

1. ما يفعله ضبط الاستقلالية

ثلاثة مستويات، كل منها يغطي نفس الطبقتين:

المستوى	موقف جدار الحماية	حواجز الحماية	وضع Observe
`tight`	حجب افتراضي؛ shell المدمّر وخروج SSRF مرفوضان	PII Shield + الأسرار مُطبَّقان	مطفأ
`balanced`	تدقيق افتراضياً؛ shell المدمّر مرفوض	PII Shield بوضع تدقيق فقط (يُعلّم PII)	مطفأ
`permissive`	لا سياسة مُطبِّقة	لا حواجز حماية	مفعّل — كل استدعاء أداة يُسجَّل كثغرة تغطية

balanced هو الموقف الابتدائي الموصى به. يُدقَّق في كل ما يفعله وكلاؤك ويُعلَّم PII، بينما يرفض الإجراءات الأكثر تدميراً (shell المدمّر) — حتى ترى السلوك الحقيقي لوكلائك قبل قرار ما يجب تقييده بعد ذلك. لتمريرة لا تحجب شيئاً، ابدأ من permissive. tight هو الهدف الصحيح بمجرد فهم السلوك الطبيعي لوكيلك. يطبّق موقف حجب افتراضي خارج الصندوق: shell المدمّر مرفوض، خروج SSRF مرفوض، وكلا حاجزَي PII Shield والأسرار نشطان (يفحصان طلباتك لـ PII والأسرار). permissive يطفئ كل التطبيق لكن يُبقي وضع observe مفعّلاً، لذا كل استدعاء أداة لا يزال يُسجَّل. استخدمه لتدقيق وكيل جديد تماماً دون مخاطر حجب عرضية — ثم انتقل إلى balanced أو tight بمجرد معرفة ما يفعله.

2. كيف تطبّق مستوى

معاينة التغيير (اختياري لكن موصى به)

محاكاة المستوى قبل تطبيقه. عرض Simulate في وحدة التحكم (تحت Firewall ← Posture) أو واجهة برمجية تُظهر بالضبط أي القواعد وحواجز الحماية ستكون نشطة — لا شيء يتغير.

# محاكاة tight — تُعيد فارق السياسة الكامل، لا شيء يُطبَّق
GET /api/workspace/firewall/simulate?level=tight

الدور: Member (للقراءة فقط، لا تغيير).

اختر مستوى في وحدة التحكم

اذهب إلى Firewall ← Posture في وحدة التحكم. اختر balanced أو tight أو permissive من ضبط مستوى الاستقلالية وأكّد. التغيير يحدث أثره في استدعاء الأداة التالي — لا إعادة نشر.الدور: Developer+ مطلوب للتطبيق.

أو طبّق عبر واجهة برمجية

POST /api/workspace/firewall/autonomy
Content-Type: application/json

{ "level": "balanced" }

تتضمن الاستجابة audit_id — احتفظ به. تحتاجه للتراجع.الدور: Developer+.

راقب الأحداث والمطابقات

بعد التطبيق، اذهب إلى Firewall ← Events / Runs لرؤية أحكام استدعاء الأداة وGuardrails ← Matches لرؤية نجاحات سياسة المحتوى. كلتا التغذيتَين تحدّثان في الوقت الفعلي. إذا أُطلق شيء لم تتوقعه، راجعه قبل مزيد من التشديد.

تراجع إذا لزم

يمكن التراجع عن أي تغيير في الاستقلالية باستدعاء واحد. التراجع يستعيد الحالة السابقة بالضبط — السياسات والقواعد وحواجز الحماية والإعدادات — من لقطة التدقيق، وليس إعادة تعيين عامة.

POST /api/workspace/firewall/autonomy/undo/:audit_id

الدور: Developer+.يُعاد audit_id عند تطبيق المستوى (الخطوة 3) ومرئي أيضاً في Firewall ← Audit.

3. المسار الموصى به

ابدأ balanced ← محاكاة tight ← راقب ← شدّد.

طبّق balanced — تحصل على مسار تدقيق كامل؛ فقط shell المدمّر مرفوض، كل شيء آخر مُدقَّق. شغّل وكلاءك بشكل طبيعي يوماً أو يومين.
محاكاة tight — شغّل GET /api/workspace/firewall/simulate?level=tight وقارن ما سيُرفض مقابل ما رأيته في تغذية Events. إذا كانت استدعاءات shell المدمّر أو الطلبات الصادرة بأسلوب SSRF جزءاً من حركة مرورك الطبيعية، أصلح ذلك في الوكيل أولاً.
راقب Events وMatches — Firewall ← Events يُظهر كل حكم استدعاء أداة؛ Guardrails ← Matches يُظهر نجاحات سياسة المحتوى. كلاهما قابل للتصفية حسب الحكم والأداة والتشغيل والجلسة.
طبّق tight — بمجرد أن لا يحتوي مخرج المحاكاة على مفاجآت، طبّق tight. التراجع باستدعاء واحد إذا انكسر شيء في الإنتاج.
اضبط بقواعد — استخدم قواعد جدار الحماية لنحت استثناءات أو إضافة ضوابط لا تغطيها مستويات الإعداد المسبق. مستوى الاستقلالية هو أرضيتك؛ القواعد المخصصة تضيف دقة.

4. متطلبات الأدوار

الإجراء	الدور الأدنى
محاكاة مستوى (`GET .../simulate`)	Member
قراءة مسار التدقيق	Member
عرض Matches لحواجز الحماية	Member
عرض Events & Runs لجدار الحماية	Developer+
تطبيق مستوى استقلالية	Developer+
التراجع عن تغيير استقلالية	Developer+

5. ما هذا ليس

ليس صندوقاً أسود. تطبيق مستوى استقلالية يكتب سياسة جدار حماية حقيقية وحاجز حماية (مُسمَّيَان بالمستوى) ويجعلهما الموقف الحي لمساحة عملك. يمكنك فتحهما وفحصهما وتحريرهما بعد ذلك — إنه نقطة بداية سريعة، وليس إعداداً مسبقاً مُقفلاً.
قابل للتراجع، ضمن حدود. التراجع بنقرة واحدة يستعيد حالة Firewall وGuardrails السابقة من لقطة التدقيق. لمساحة عمل كبيرة جداً يتجاوز لقطتها حد حجم سجل التدقيق، يستمر التطبيق لكن التراجع غير متاح لذلك التغيير — تُعيد تطبيق المستوى الذي تريده بدلاً من ذلك. نادر، لكن يستحق المعرفة.
ليس بديلاً عن المفاتيح المحددة النطاق. ضبط الاستقلالية يحدد الموقف الافتراضي لمساحة العمل. مفاتيح API الفردية لا تزال يمكن ربطها بسياسات محددة للتحكم الدقيق. انظر حواجز الحماية مقابل جدار الحماية لكيفية تركّب الطبقات.

صُمّم ضبط الاستقلالية للـ 30 دقيقة الأولى — احصل على الحماية بسرعة، افهم السلوك الحقيقي لوكلائك، ثم شدّد من موضع رؤية وليس تخمين.

البدء السريع

إعداد انعدام ثقة كامل في 5 دقائق، بما في ذلك المفاتيح المحددة النطاق وحواجز الحماية.

جدار الحماية

التفاصيل على مستوى القاعدة — الأحكام والأسطح ومحمولات الوسائط وموافقة HITL.

النطاق والمفاتيح البدء السريع

​1. ما يفعله ضبط الاستقلالية

​2. كيف تطبّق مستوى

​3. المسار الموصى به

​4. متطلبات الأدوار

​5. ما هذا ليس