مرجع Guardrail API

عندما تريد إدارة حواجز الحماية كـكود — إنشاء سياسة PII في CI، أو مقارنة نسختين قبل إصدار، أو سحب تغذية التطابقات إلى لوحة تحكّمك الخاصة — تتحدّث إلى مسارات /api/guardrail/*. هذه الصفحة هي مرجع guardrail api مساراً بمسار: كل نقطة نهاية، ودور مساحة العمل الذي تتطلبه، والمصادقة التي تتوقعها. لمعرفة ما هو حاجز الحماية وكيف تتألّف القواعد، اقرأ حواجز الحماية. هذه الصفحة هي المرافق على مستوى السلك.

1. المصادقة والنطاق

كل مسار /api/guardrail/* هو مستوى إدارة: يصادق بـجلسة وحدة التحكم أو رمز الوصول (نفس الهوية التي تسجّل بها الدخول إلى وحدة التحكم)، لا مفتاح ترحيل.

مفتاح الترحيل sk-orca-... لديك يصادق استدعاءات النموذج /v1/* — وهو لا يعمل على /api/guardrail/*. مسارات الضبط تستخدم رمز جلسة/وصول مستخدمك، ضمن نطاق مساحة العمل النشطة.

المسارات ضمن نطاق مساحة العمل — لا ترى أبداً سوى حواجز حماية مساحة العمل النشطة. لا شيء يعبر حدود مستأجر.
كل مسار مُقيَّد بـ RBAC حسب دور مساحة عملك (Viewer / Developer / Admin / Owner). القراءات مفتوحة لـ Viewer+؛ صندوق الرمل وكل الكتابات تتطلب Developer+؛ نقاط نهاية الإيجابية الكاذبة تتطلب Admin (Admin أو Owner).

معظم الفرق لا تستدعي هذه المسارات مباشرة أبداً — وحدة التحكم تقود كلها. لجأ إلى سطح REST عندما تريد حواجز الحماية في التحكّم بالمصدر، أو في CI، أو موصولة بأدواتك الخاصة.

2. استدعاء واحد ملموس — اسرد حواجز حمايتك

القراءة أبسط مكان للبدء. مُصادَقاً كأي عضو مساحة عمل (Viewer+):

curl https://api.orcarouter.ai/api/guardrail/ \
  -H "Authorization: Bearer <your-access-token>" \
  -H "X-Workspace-Id: <workspace-id>"

تستعيد حواجز حماية مساحة العمل مع أعداد المفاتيح المرتبطة بها. لفحص أول طلب لك من البداية إلى النهاية بدلاً من ذلك — أنشئ سياسة، اربط مفتاحاً، أرسل استدعاءً — اتبع البدء السريع في 5 خطوات، الذي يفعل كل ذلك من وحدة التحكم.

3. نموذج الأدوار في جدول واحد

الإجراء الذي تتخذه، لا المسار، يختار الطبقة.

الإجراء	الدور الأدنى
القراءة (سرد/جلب، تاريخ، تطابقات، تشغيلات تقييم)، تشغيل تقييم	Viewer+
تشغيل اختبار صندوق رمل	Developer+
إنشاء، تحديث، حذف، استرجاع، رفع/حذف مجموعة نصوص	Developer+
تعليم / إلغاء تعليم تطابق كإيجابية كاذبة	Admin

تنطبق القراءات على صلاحية guardrails:read (يملكها Viewer فأعلى)؛ وتنطبق الكتابات على guardrails:write (Developer فأعلى). تعليم إيجابية كاذبة يتطلب إضافةً دور Admin. انظر النطاق والمفاتيح والسياسات لكيفية تركيب الأدوار والصلاحيات.

4. المسارات حسب المجال

حواجز الحماية (CRUD + صندوق رمل)

الطريقة والمسار	الدور
`GET /api/guardrail/`	Viewer+
`GET /api/guardrail/meta`	Viewer+
`GET /api/guardrail/my-permissions`	أي عضو
`GET /api/guardrail/:id`	Viewer+
`GET /api/guardrail/:id/tokens`	Viewer+
`POST /api/guardrail/test`	Developer+
`POST /api/guardrail/`	Developer+
`PUT /api/guardrail/`	Developer+
`DELETE /api/guardrail/:id`	Developer+

تعيد meta مفردات المحرك — أنواع القواعد، والمراحل، والإجراءات، وكيانات PII، والإعدادات المسبقة، وفئات الإعدادات المسبقة — حتى تستطيع أداة بناء نموذج دون ترميز التعدادات بشكل صلب. تشغّل test السياسة الحالية على نص عينة في صندوق رمل: لا شيء يُحفظ، لا شيء يذهب للأعلى.

تاريخ الإصدارات

الطريقة والمسار	الدور
`GET /api/guardrail/:id/history`	Viewer+
`GET /api/guardrail/:id/history/diff`	Viewer+
`GET /api/guardrail/:id/history/:version`	Viewer+
`POST /api/guardrail/:id/revert`	Developer+

كل إنشاء وتحديث وحذف يكتب صف تاريخ في نفس المعاملة. تنسخ revert نسخة قديمة قُدُماً كنسخة جديدة — لا يُعدَّل التاريخ أبداً.

التقييم ومجموعات النصوص

الطريقة والمسار	الدور
`POST /api/guardrail/:id/eval`	Viewer+
`GET /api/guardrail/:id/eval/runs`	Viewer+
`GET /api/guardrail/eval/runs/:run_id`	Viewer+
`GET /api/guardrail/eval/corpora`	Viewer+
`POST /api/guardrail/eval/corpora`	Developer+
`GET /api/guardrail/eval/corpora/:id`	Viewer+
`DELETE /api/guardrail/eval/corpora/:id`	Developer+

شغّل حاجز حماية مقابل مجموعة نصوص فريق أحمر مدمّجة أو مجموعة JSONL مخصّصة ترفعها، ثم اقرأ الإخفاقات لكل عينة. مفيد لضبط معيار محكِّم أو إثبات أن سياسة تصطاد هجمات معروفة قبل أن تشحن.

تغذية التطابقات

الطريقة والمسار	الدور
`GET /api/guardrail/match`	أي عضو
`GET /api/guardrail/match/grouped`	أي عضو
`GET /api/guardrail/match/stats`	أي عضو
`GET /api/guardrail/match/export`	أي عضو
`GET /api/guardrail/match/cap-status`	أي عضو
`GET /api/guardrail/match/:id`	أي عضو
`POST /api/guardrail/match/:id/mark-fp`	Admin
`DELETE /api/guardrail/match/:id/mark-fp`	Admin

يسجّل التطابق نوع القاعدة، والإجراء، والمرحلة، وسلسلة تفاصيل — بالإضافة إلى السلسلة الفرعية المطابقة فقط إذا كان “Log raw content” مفعّلاً لذلك حاجز الحماية (مطفأ افتراضياً). لا تحمل مسارات القراءة وسيطة صلاحية إضافية، فيستطيع أي عضو مساحة عمل نشط الوصول إليها؛ ومساري mark-fp لـ Admin فقط (Admin أو Owner) ومحدودا المعدل.

5. الحل: أي حاجز حماية ينطبق

تدير المسارات أعلاه السياسات؛ ويقرر الحل أيّها يعمل على استدعاء ترحيل بعينه. إنه نموذج صريح-أو-افتراضي بلا تراجع صامت على ربط صريح:

guardrail_id صريح على المفتاح ← ينطبق ذلك حاجز الحماية، إن كان موجوداً ومفعّلاً. الربط المعطّل هو مفتاح الإطفاء — وهو لا يتراجع.
لا ربط ← حاجز الحماية الافتراضي المفعّل لمساحة العمل (is_default).
لا هذا ولا ذاك ← لا فرض. الطلب متطابق بايت ببايت مع مساحة عمل لم تفعّل الميزة أبداً.

هذا هو السلوك الوحيد المختلف عن جدار الحماية: سياسة جدار حماية مرتبطة معطّلة تتراجع إلى افتراضي مساحة العمل، بينما حاجز حماية مرتبط معطّل يُحَل إلى لا شيء. انظر حواجز الحماية مقابل جدار الحماية.

اضبط guardrail_id على مفتاح عبر محرّر المفاتيح أو واجهة الرموز؛ 0/null يعني “لا ربط صريح”.

6. ماذا يعيد الحجب

عندما تُطلق قاعدة بإجراء block، يعيد استدعاء الترحيل (/v1/*، على مفتاح ترحيلك) — لا مسارات الإدارة هذه:

الحقل	القيمة
حالة HTTP	`400`
رمز الخطأ	`guardrail_blocked`
تكلفة الحصة	حجب مرحلة الإدخال يُطلق قبل الاستهلاك المسبق، فلا تُحمَّل أي حصة
إعادة المحاولة	معلَّم skip-retry

تسمّي الرسالة حاجز الحماية والقاعدة التي أُطلقت. لكتالوج الرموز الكامل ومسارات الفرز، انظر رموز الأخطاء و لماذا حُجب طلبي؟.

7. الإجراءات والمراحل وأنواع القواعد في لمحة

يعيد مسار meta هذه كتعدادات؛ وها هي للمرجع السريع.

الإجراءات: block (رفض، HTTP 400)، mask (نقّح التطابق، مرّر النص المنظَّف)، flag (سجّل فقط — راقب دون تغيير حركة المرور)، annotate (غير حاجب — سجّل التطابق واحقن ملاحظة قابلة للقراءة البشرية للأعلى حتى يُخبَر النموذج عنها قبل أن يجيب)، spotlight (غير حاجب — لفّ المقطع غير الموثوق المطابق بمحدّدات وأخبر النموذج بمعاملته كبيانات، لا تعليمات؛ دفاع ضد حقن المطالبة، في مرحلة الإدخال عملياً).
المراحل: input (الطلب)، output (استجابة النموذج)، أو both.
أنواع القواعد: keyword، regex، pii، max_chars، external، llm_judge، grounding.

تُفرض قواعد مرحلة الإخراج على كلتا الاستجابتين المتدفّقة وغير المتدفّقة: block يقطع البث، وmask يعيد كتابة المقاطع المطابقة في النطاق مع تدفّق المقاطع. على بثّ، لا يمكن سحب البايتات المُفرَّغة بالفعل، فلا يُتصرَّف بناءً على تطابق إلا بعد أن يُخزَّن مؤقتاً ما يكفي منه — لأقوى ضمان، افحص على مرحلة input، التي تطهّر الطلب قبل أن يراه النموذج أبداً. أثبت تركيبة المرحلة/البث الدقيقة لديك في صندوق الرمل أولاً.

لتجاوزات PII لكل كيان، والكيانات المخصّصة، ومحكِّم LLM، وحقول الترسيخ السياقي، انظر المرجع العميق في حواجز الحماية.

8. مراجع ذات صلة

Firewall API

نظير مستوى الإجراء — /api/workspace/firewall/* ومسارات البوابة.

Compliance API

/api/compliance/* — الحزم، والتقارير المُوقَّعة، والإقامة، والجاهزية.

رموز الأخطاء

كل رمز *_blocked، وحالة HTTP له، وماذا تفعل حياله.

حواجز الحماية (غوص عميق)

أنواع القواعد، وكيانات PII، والإعدادات المسبقة، والتقييمات، وتغذية التطابقات بالكامل.

انظر أيضاً حواجز الحماية مقابل جدار الحماية، كيف يفحص OrcaRouter حركة المرور، والمسرد.

​1. المصادقة والنطاق

​2. استدعاء واحد ملموس — اسرد حواجز حمايتك

​3. نموذج الأدوار في جدول واحد

​4. المسارات حسب المجال

​5. الحل: أي حاجز حماية ينطبق

​6. ماذا يعيد الحجب

​7. الإجراءات والمراحل وأنواع القواعد في لمحة

​8. مراجع ذات صلة

Firewall API

Compliance API

رموز الأخطاء

حواجز الحماية (غوص عميق)

1. المصادقة والنطاق

2. استدعاء واحد ملموس — اسرد حواجز حمايتك

3. نموذج الأدوار في جدول واحد

4. المسارات حسب المجال

5. الحل: أي حاجز حماية ينطبق

6. ماذا يعيد الحجب

7. الإجراءات والمراحل وأنواع القواعد في لمحة

8. مراجع ذات صلة