الانتقال إلى المحتوى الرئيسي
عندما تقرأ حدث جدار حماية أو تطابق حاجز حماية، يخبرك الصف بما قرّرته البوابة — deny أو sanitize أو [EMAIL]. هذه الصفحة هي جدول البحث لتلك الكلمات: ماذا تعني كلٌّ منها، وماذا تفعل بالاستدعاء، وأين تذهب للآليات الكاملة. أبقها مفتوحة بينما تؤلّف القواعد أو تفرز تغذية الأحداث. مستويا تحكّم ينتجان مفردتين. يحكم جدار الحماية إجراءات الأدوات ويصدر حكماً. تفحص حواجز الحماية نص المطالبة والاستجابة وتصدر إجراءً بالإضافة إلى، على إخفاء، وسم إخفاء مُصنّف. لا تتشاركان كلمة أبداً — حاجز الحماية لا يقول deny أبداً، وجدار الحماية لا يقول mask أبداً.
هذا فهرس مرجعي، لا دليل كيفية. لحالة الاستخدام خلف كل تحكّم انظر حواجز الحماية مقابل جدار الحماية؛ ولأجسام HTTP انظر رموز أخطاء الأمان.

1. مسرد أحكام جدار الحماية

تحلّ قاعدة جدار حماية (أو default_verdict للسياسة) كل استدعاء أداة إلى أحد هذه الأحكام الستة بالضبط. يجتاز المحرك القواعد بترتيب الأولوية، أول مطابقة تفوز، ويتراجع إلى الافتراضي إذا لم يطابق شيء.
يمضي الاستدعاء إلى الأداة. لا يزال يُسجَّل كحدث جدار حماية فيظهر في Runs وتغذية الأحداث. هذا ما تريده للأدوات التي يُوثَق بالوكيل صراحةً لاستخدامها.
حركة مرور مطابقة لـ allow، لكن مُعلَّمة كشيء أردت مراقبته. إنه default_verdict الموصى به: راقب كل شيء، احجب لا شيء، حتى تُضبط قواعدك. مستوى الاستقلالية balanced يشحن حاجز حماية PII Shield كعلامة فقط (audit)، فتُسجَّل PII دون تعليق الاستدعاء.
لا يصل الاستدعاء إلى الأداة أبداً. على سطح inbound يعيد هذا HTTP 400 firewall_blocked؛ وعبر بوابة MCP يعود كـخطأ أداة (firewall deny: <reason>) فيستطيع النموذج التفاعل بدلاً من الانهيار. معلَّم skip-retry. لا يكلّف رموز نموذج.
يستبدل السلاسل الفرعية المطابقة (الأسرار، PII) في وسائط استدعاء الأداة برمز [redacted:<preset>]، ثم يمرّر الاستدعاء بالوسائط المنظَّفة. ينقّح الوسائط فقط — لا المحتوى الذي تعيده أداة. على سطح inbound، حيث لا توجد بعد وسائط وقت الاستدعاء، يتصاعد sanitize إلى deny.
يُدرَج الاستدعاء في طابور المراجعة ويحصل الوكيل على استجابة مُعلَّقة تحمل معرّف موافقة (HTTP 400 firewall_approval_pending). يحلّها مراجِع في وحدة التحكم أو عبر استدعاء webhook راجع مُوقَّع بـ HMAC؛ يستطلع الوكيل المعرّف ويعيد التقديم مرة بترويسة موافقة أحادية الاستخدام. انظر الموافقة البشرية.
مؤلَّف كقاعدة بسقف سنتات لكل قاعدة. يُحَل إلى allow بينما يكون تشغيل الوكيل تحت الميزانية وإلى deny بمجرد أن يتجاوز الإنفاق المتراكم السقف — فيُظهر حدث allow أو deny، لا الكلمة الحرفية cap_cost. قاطع دائرة لحلقات الانفلات.
في وضع الظل، تُخفَّض deny / sanitize / pending_approval جميعها إلى audit ويُسبَق السبب بـ [shadow] would …. يسجّل الحدث الحكم الذي كان سيُطلق، لكن حركة المرور بلا تغيير — تلك هي الفكرة كلها من طرح آمن.

الحكم الافتراضي

default_verdict يقبل الأحكام الثلاثة غير التفاعلية فقط:
القيمةالمعنى عندما لا تطابق أي قاعدة
allowاسمح باستدعاءات الأدوات غير المغطّاة صامتاً.
auditاسمح لكن سجّل — الافتراضي.
denyاحجب أي شيء لا تسمح به قاعدة صراحةً (موقف الحجب الافتراضي).
مستوى الاستقلالية tight يضبط default_verdict: deny؛ وbalanced والافتراضي المشحون يستخدمان audit.

2. إجراءات حاجز الحماية

تطلق قاعدة حاجز حماية أحد خمسة إجراءات. إنها مكافئ مستوى النص للأحكام — وقاعدة حاجز حماية لا تنتج حكم جدار حماية أبداً.
الإجراءماذا يفعلالحصة
blockارفض الطلب كله بـ HTTP 400 guardrail_blocked.لا شيء — حجب الإدخال يُطلق قبل القياس؛ وحجب الإخراج يُرجِع.
maskنقّح كل تطابق إلى وسم مُصنّف (انظر §3) ومرّر النص المنظَّف.عادية — يمضي الاستدعاء.
flagسجّل فقط. يسجّل تطابقاً؛ لا يغيّر شيئاً في حركة المرور.عادية.
annotateغير حاجب. يرفق ملاحظة قابلة للقراءة البشرية بالطلب (مُحقونة للأعلى كإشعار أمني) دون إخفاء النص أو حجبه.عادية.
spotlightغير حاجب. يلفّ النص (غير الموثوق) المطابق بمحدّدات ويخبر النموذج بمعاملة المنطقة المحدَّدة كبيانات، لا تعليمات أبداً — دفاع “spotlighting” ضد حقن المطالبة.عادية.
طلب حاجز حماية محجوب معلَّم skip-retry — إعادة تشغيل نفس المطالبة مقابل قناة أخرى ستحجب مجدداً فحسب.
استخدم flag لقياس قاعدة جديدة مقابل حركة المرور الحقيقية قبل أن تبدّلها إلى block أو mask. تُظهر تغذية Matches ما الذي كان سيُصطاد بصفر أثر على حركة المرور — نظير حاجز الحماية لوضع ظل جدار الحماية.
تستطيع قاعدة pii واحدة تطبيق إجراءات مختلفة على كيانات مختلفة بـ entity_actions — أخفِ البريد والهواتف، لكن احجب على credit_card وssn، من قاعدة واحدة. يجب أن تكون المفاتيح كياناً مفعّلاً على القاعدة؛ ويجب أن تكون القيم block / mask / flag / annotate.

3. مسرد وسوم الإخفاء

على إجراء mask، يُستبدل كل كيان مطابق في النطاق بوسم مُصنّف — [<UPPERCASE_ENTITY_NAME>] — حتى يرى النموذج (مرحلة الإدخال) أو المستدعي (مرحلة الإخراج) شكل البيانات دون القيمة. يعمل الإخفاء على كلتا المرحلتين، متضمناً الاستجابات المتدفّقة: ماسح بثّ مدرك للرموز يخفي التطابقات التي تتخطّى حدود المقاطع قبل أن تصل إلى العميل.
الكيانالوسم
email[EMAIL]
phone[PHONE]
credit_card[CREDIT_CARD]
ssn[SSN]
ip[IP]
iban[IBAN]
mac_address[MAC_ADDRESS]
jwt[JWT]
aws_access_key[AWS_ACCESS_KEY]
api_key_openai[API_KEY_OPENAI]
bitcoin_address[BITCOIN_ADDRESS]
ثلاثة معرّفات إقليمية تُشحن فوق المجموعة الأساسية:
الكيانالوسمالمنطقة
jp_mynumber[JP_MYNUMBER]اليابان
kr_rrn[KR_RRN]كوريا الجنوبية
cn_resident_id[CN_RESIDENT_ID]الصين
الكيانات المخصّصة تتبع نفس العُرف. كيان مخصّص اسمه employee_id يُخفى إلى [EMPLOYEE_ID] ما لم تضبط بديل mask_with صريحاً. حتى 25 كياناً مخصّصاً لكل قاعدة، كلٌّ منها regex بنمط RE2 مع مجموع تحقّق luhn اختياري. انظر كشف PII.

4. مثال واحد مُعالَج

استدعاء أداة db.query واحد، يُقرأ من أعلى لأسفل، يلمس كلتا المفردتين: 
firewall verdict : sanitize        # secret stripped from the SQL argument
guardrail action : mask            # an email in the prompt redacted
masking tag      : [EMAIL]         # what the model actually receives
نظّف sanitize جدار الحماية وسائط الأداة؛ ونظّف mask حاجز الحماية نص المطالبة؛ ووسم [EMAIL] هو ما يراه النموذج بدلاً من العنوان. نفس الطلب، ثلاث طبقات مختلفة، ثلاث كلمات من هذا المسرد.

5. كلمات الموقف التي ستراها إلى جانب الأحكام

هذه ليست أحكاماً أو إجراءات، لكنها تقرّر ما إذا كان حكم يُفرض أصلاً — فتظهر في نفس عروض الأحداث والإعدادات.
الكلمةالمستوىالمعنى
Shadow modeجدار الحمايةعلامة لكل سياسة. تخفّض كل حكم فارض إلى audit، وتُسبق السبب بـ [shadow] would ….
Observe modeجدار الحمايةإعداد مساحة العمل. عندما لا تُحَل أي سياسة، يسمح بالاستدعاء لكنه يسجّله كثغرة تغطية (الأدوات المكتشفة).
Enforceجدار الحمايةالظل مطفأ + سياسة مرتبطة: تأخذ الأحكام أثرها.
Fail-openحواجز الحمايةالافتراضي للقواعد المتقدّمة (llm_judge، grounding، external) — يُرصَد انتهاء المهلة، ويستمر الطلب. اقلب إلى fail-closed لكل قاعدة.
Log raw contentحواجز الحمايةمطفأ افتراضياً. عند إطفائه، يسجّل تطابق أن قاعدة أُطلقت لكن ليس السلسلة الفرعية المطابقة.
للتمييز العميق بين deny وaudit والظل، انظر أوضاع الفرض.

6. أين تُعرَّف كل كلمة

السطحالمفرداتالصفحة الأم
سياسة جدار الحمايةallow audit deny sanitize pending_approval cap_costجدار الحماية
مطابقة قاعدة جدار الحمايةtool_name_glob، args_match، egress، sequenceقواعد جدار الحماية
قاعدة حاجز الحمايةblock mask flag annotate spotlightحواجز الحماية
PII حاجز الحمايةأسماء الكيانات + وسوم الإخفاءحواجز الحماية
MCP والمهاراتنطاقات مخاطر المهارة، وضعا quarantine / blockFirewall MCP، مهارات جدار الحماية
أجسام أخطاء HTTPguardrail_blocked، firewall_blocked، firewall_approval_pendingرموز الأخطاء
كل مصطلح هنا يظهر أيضاً في مسرد المفاهيم الأوسع، الذي يضيف مصطلحات الهوية والنطاق والتهديد. هذه الصفحة هي الشريحة الضيّقة المركّزة على القرار — الأحكام والإجراءات ووسوم الإخفاء فقط.

7. قراءة ذات صلة

لماذا حُجب هذا؟

تتبّع استدعاءً مرفوضاً واحداً إلى القاعدة والحكم الدقيق الذي أوقفه.

أوضاع الفرض

كيف يترابط audit والظل والمراقبة والفرض — وكيف تطرح بأمان.

حواجز الحماية مقابل جدار الحماية

أي مستوى يملك أي قرار، ولماذا يمكن لطلب المرور عبر كليهما.

استدعاءات الأدوات الخطرة

التهديد الذي يوجد حكما deny وsanitize لإيقافه.