メインコンテンツへスキップ
AI エージェントはチャットボットではありません。信頼されていない Web ページを読み、 ツールを呼び出し、費用を支払い、内部ホストに到達し、実行時に見つけたケイパビリティを ロードします。それらのひとつひとつが現実世界への影響を持つアクションであり、 そのほとんどは人間が介在せずに発生します。 OrcaRouter はエージェントとそれが呼び出すすべてのモデルの間のパス上に位置するため、 すべてのリクエストとレスポンス — そしてエージェントがゲートウェイを経由してルーティング するすべてのツール呼び出しとアウトバウンド宛先 — をプロバイダに関わらず見ることができる 唯一の場所です。そのチョークポイントがゼロトラスト強制の置き場所です。ワークスペースで 一度設定すれば、エージェントは引き続き https://api.orcarouter.ai/v1 を以前と全く 同様に呼び出し続けます。

1. 脅威:エージェントはチャットするだけでなくアクションを取る

プロンプトレベルの安全性はチャット向けに作られました。モデルがテキストを生成し、 人間がそれを読むと仮定しています。エージェントはその仮定を壊します:
  • 信頼されていないコンテンツを取り込みます — Web ページ、取得されたドキュメント、 ツール結果 — これらは指示(プロンプトインジェクション)を運ぶことができます。
  • ツールを呼び出しますshell.execdb.query、決済 API — これらは 不可逆な操作を行います。
  • ネットワークに到達します — 攻撃者が内部サービスや持ち出しエンドポイントへ 誘導できる URL を取得します。
  • 自己拡張します — 一度も確認していないスキル、プラグイン、MCP サーバーを インストールします。
これらはいずれも、プロンプトを読むだけのコンテンツフィルターには見えません。 エージェントを保護するということは、アイデンティティ、コンテンツ、アクション、 ネットワークを統制し、すべての監査証跡を保持することを意味します。

2. コントロールスタック

OrcaRouter はすべてのリクエストに 4 つのレイヤーを適用します。各レイヤーは独立しており、 ワークスペーススコープで、コード変更なしに API キーにアタッチされます。

スコープキー

最小権限のアイデンティティ。特定のモデル、IP、支出上限、有効期限、および適用される ガードレールとファイアウォールポリシーにバインドされます。

ガードレール

コンテンツ制御。プロンプトとレスポンスをスクリーニング — PII、シークレット、 インジェクション、安全でない出力を block、mask、または flag します。

エージェントファイアウォール

アクション制御。ツールの許可リスト、ツール呼び出し引数の検証とサニタイズ、 承認のための保留、egress とコストの上限。

監査

帰属。すべてのマッチ、判定、承認がログに記録され、それを引き起こした エージェント実行に関連付けられます。
リクエストはこの順序で流れます:キーが呼び出しが許可されるかどうかとどのポリシーが バインドされるかを決定し、ガードレールが入力テキストをスクリーニングし、モデルが 実行され、ファイアウォールがすべてのツール呼び出しとアウトバウンド宛先を判断し、 ガードレールが出力をスクリーニングし、すべての決定が監査証跡に記録されます。 完全なパスについては コントロールスタックを参照してください。

3. 「ゼロトラスト」とは何か

ゼロトラストとは、リクエストがどこから来たかによって信頼されないことを意味します。 ツール呼び出しは、自分のエージェントが発行したという事実ではなく、それが何であるかで 判断されます — エージェントが信頼されていないページから読み取ったインジェクションされた 指示に基づいて行動している可能性があるからです。OrcaRouter は、重要なアクションに 対してデフォルト deny を、意図したアクションに対して明示的な許可リストを使用して これを強制します。 AI エージェントがゼロトラストを必要とする理由が モデルを詳しく説明しています。

4. すべてはゲートウェイに存在する

コントロールスタックはワークスペースで設定され、アプリケーションではなくゲートウェイで 強制されます:
  • 一度アタッチすれば、どこにでも適用されます。 ガードレールとファイアウォール ポリシーを API キーにバインドします。そのキーが行うすべての呼び出しがスクリーニング されます。ポリシーを編集すると、アタッチされたすべてのキーが次のリクエストで 変わります。
  • 再デプロイ不要、SDK 変更不要。 エージェントは同じ OpenAI 形式の呼び出しを 発行し続けます。ルールが発火するまで強制は見えません。
  • プロバイダに依存しません。 同じポリシーが GPT、Claude、Gemini、その他の上で 動作します — テキストとアクションをスクリーニングするのであり、モデル選択ではありません。
設定はワークスペース内でロールゲートされています。 ポリシーと設定の読み取りは すべてのメンバーに開放されています。ファイアウォールの Events および Runs フィードには Developer ロールが必要です。ガードレール、ファイアウォールポリシー、 キーの作成または変更には Developer が必要です。コンプライアンスと ゲートウェイキーの変更には Admin が必要です。これらのドキュメント全体で、 各設定ステップに必要なロールが記載されています。

5. 高速パス:ひとつのスイッチ

保護を受けるためにルールを作成する必要はありません。自律性レベルは ワンクリックの取り消しとともに、ひとつのステップでワークスペース全体のファイアウォール およびガードレールの姿勢を設定します:
レベル内容
tightデフォルト deny;破壊的ツールと SSRF egress をブロック;PII + シークレット ガードレールをオン。
balancedデフォルト audit、破壊的シェルを deny、PII を flag。推奨される開始姿勢。
permissive何も強制しないが、すべて観察するためエージェントの動作は引き続き見えます。
これがセキュアエージェント ベースラインです — まずそこから始め、エージェントが実際に何をするかを観察し、それから強化します。

6. 次のステップ

クイックスタート

5 分でゼロトラストをオンにする。

ゼロトラストの理由

設計の背後にある脅威モデル。

ガードレール vs. ファイアウォール

どのレイヤーがどの脅威を捕捉するか。

あなたの責任

ゲートウェイが保護するものと、あなたが管理するもの。