Przejdź do głównej treści
Masz klucz, którego twój agent używa na api.orcarouter.ai, i chcesz, by każde wywołanie narzędzia, które ten klucz robi, było zarządzane — zablokowane, audytowane, oczyszczone lub wstrzymane do zatwierdzenia — bez dotykania kodu agenta. To dwukrokowa konfiguracja firewalla agentowego: utwórz politykę firewalla raz, potem skieruj na nią klucz. Od następnego wywołania każde narzędzie, które klucz wystawia, jest sprawdzane wobec polityki w bramie. Ta strona to ścieżka utwórz-i-przypnij. Dla pełnego modelu polityki (powierzchnie, werdykty, rozwiązywanie) zobacz Przegląd Firewall; dla gramatyki reguł zobacz Reguły Firewall.
Cała konfiguracja polityk i kluczy odbywa się w konsoli (lub na trasach zarządzania /api/workspace/firewall/*, które używają twojej sesji / tokenu dostępu — nie klucza relay sk-orca-…). Tylko wywołania /v1/* twojego agenta używają klucza relay. Tworzenie i przypinanie polityki to akcja Developer+.

1. Konfiguracja firewalla agentowego w skrócie

Polityka firewalla to nazwany obiekt w zakresie przestrzeni roboczej: uporządkowana lista reguł plus werdykt domyślny dla wszystkiego, czego żadna reguła nie dopasuje. Klucz przystępuje do polityki przez swoje pole firewall_policy_id. Nic innego w twoim stosie się nie zmienia.

Utwórz politykę

Nazwij ją, wybierz werdykt domyślny, dodaj reguły — albo zasiej z poziomu autonomii / presetu i edytuj.

Przypnij klucz

Ustaw firewall_policy_id klucza na politykę albo oznacz politykę jako domyślną dla przestrzeni roboczej, aby każdy nieprzypięty klucz ją dziedziczył.

2. Utwórz politykę w konsoli

  1. Otwórz Security → Firewall → Policies i wybierz New policy.
  2. Nazwij ją (unikalnie w przestrzeni roboczej) i zostaw Enabled włączone.
  3. Wybierz werdykt domyślny — zobacz §3.
  4. Dodaj reguły w edytorze reguł albo zacznij pusto i pozwól, by Wykryte narzędzia napędzały autorowanie z prawdziwego ruchu później.
  5. Zapisz. Polityka istnieje, ale niczym nie zarządza, dopóki klucz na nią nie wskaże lub nie uczynisz jej domyślną dla przestrzeni roboczej.
Nie chcesz najpierw ręcznie pisać reguł? Zastosuj poziom autonomii (balanced to rekomendowany start) — materializuje rzeczywiste, edytowalne wiersze polityki i guardrail, które potem możesz stroić. Albo zacznij regułę od wbudowanego presetu i edytuj ją. Tak czy inaczej trafiasz w to samo miejsce: nazwaną politykę, którą przypinasz do klucza.

3. Wybierz werdykt domyślny

Werdykt domyślny to to, co polityka robi, gdy żadna reguła nie pasuje do wywołania narzędzia. To podłoga twojej postawy. Przyjmuje dokładnie trzy wartości:
default_verdictGdy żadna reguła nie pasuje…
audit (domyślny)Zezwól na wywołanie, ale je zarejestruj. Obserwuj wszystko, nie blokuj nic — bezpieczne miejsce na start.
allowZezwól i zaloguj, bez rekordu przeglądu.
denyZablokuj wszystko, czego reguła wyraźnie nie zezwala — postawa default-deny, którą łączysz z regułami allow.
deny to default-deny: każde wywołanie narzędzia, którego twoje reguły wyraźnie nie zezwalają, jest blokowane. Potężne, ale zatrzyma wywołania, których zapomniałeś dodać do listy dozwolonych. Wytocz politykę default-deny najpierw w trybie cienia i obserwuj strumień zdarzeń, zanim ją wyegzekwujesz.
Werdykty, które reguła może produkować (allow, audit, deny, sanitize, pending_approval, cap_cost), są omówione w Werdyktach — werdykt domyślny jest ograniczony do trzech powyższych.

4. Przypnij politykę do klucza

Klucz przystępuje do polityki przez swoje firewall_policy_id. W konsoli:
  1. Otwórz Keys, edytuj klucz, którego używa twój agent.
  2. Ustaw Firewall policy na utworzoną przez ciebie politykę (to zapisuje firewall_policy_id).
  3. Zapisz. Następne wywołanie, które ten klucz robi, jest zarządzane.
Powiązanie żyje na kluczu, w bramie — twój agent dalej wysyła to samo Authorization: Bearer sk-orca-… i to samo ciało żądania. Nie ma żadnej zmiany w kodzie wywoływania narzędzi twojego agenta. 
# Your agent's relay call is unchanged. The attached policy is enforced
# at the gateway before any tool call in the response is dispatched.
curl https://api.orcarouter.ai/v1/chat/completions \
  -H "Authorization: Bearer sk-orca-..." \
  -H "Content-Type: application/json" \
  -d '{
    "model": "gpt-4o",
    "messages": [{"role": "user", "content": "delete the staging table"}],
    "tools": [{"type": "function", "function": {"name": "db.query"}}]
  }'
Jeśli reguła odmawia wywołania narzędzia na powierzchni inbound, to wywołanie wraca jako HTTP 400 z kodem firewall_blocked, nazywając narzędzie i powód — zobacz jak wygląda block.

5. Rozwiązywanie: przypięta → domyślna przestrzeni roboczej

Dla dowolnego wywołania narzędzia brama rozwiązuje, która polityka ma zastosowanie, w tej kolejności:
Jeśli firewall_policy_id wywołującego klucza wskazuje na politykę, która istnieje i jest włączona, ta polityka ma zastosowanie.
W przeciwnym razie stosuje się włączona polityka is_default przestrzeni roboczej (jeśli jakaś jest ustawiona). Co najwyżej jedna polityka na przestrzeń roboczą może być domyślna; promowanie nowej domyślnej degraduje starą w tej samej transakcji.
Brak powiązania i brak domyślnej oznacza brak polityki. Przy trybie obserwacji włączonym wywołanie jest dozwolone i logowane jako luka w pokryciu; przy wyłączonym wywołanie jest po cichu dozwolone.
Wyłączona przypięta polityka wraca do domyślnej przestrzeni roboczej — nie wyłącza egzekwowania. (To różni się od guardrails, gdzie wyłączone powiązanie rozwiązuje się do braku.) Aby wyjąć klucz z zakresu firewalla, odepnij go (ustaw firewall_policy_id na 0), nie tylko wyłącz jego politykę.
Aby uczynić politykę domyślną dla każdego nieprzypiętego klucza, edytuj ją i ustaw jako domyślną dla przestrzeni roboczej, zamiast przypinać klucze pojedynczo — zobacz Zarządzanie politykami.

6. Zweryfikuj, że weszło w życie

Zanim na niej polegniesz, potwierdź, że polityka odpala tak, jak oczekujesz:
  • Przetestuj ją — piaskownicowa zakładka Test robi dry-run polityki wobec przykładowego wywołania narzędzia i zwraca werdykt, dopasowaną regułę i powód. Nic nie jest dyspozytowane ani persystowane. Zobacz Testowanie reguł.
  • Obserwuj strumień zdarzeń — gdy klucz weźmie ruch na żywo, Events pokazuje każdą ewaluację, filtrowalną po werdykcie, powierzchni, narzędziu i uruchomieniu.
Wytocz każdą egzekwującą politykę najpierw za trybem cienia: ewaluuje i loguje dokładnie tak, jak robiłaby to na produkcji, ale degraduje każdy egzekwujący werdykt do audit i poprzedza powód przedrostkiem [shadow] would …. Przełącz tryb cienia, gdy strumień zdarzeń pokazuje, że odpala na tym, czego oczekujesz, i niczym, czego nie chcesz.

Dokąd dalej

Autorowanie reguł

Pełny język dopasowania — globy narzędzi, klauzule argumentów, listy egress, sanityzatory.

Lista dozwolonych narzędzi

Połącz werdykt domyślny deny z wyraźnymi regułami allow.

Zarządzanie politykami

Domyślne, włącz/wyłącz, wersjonowanie i przywracanie.

Dlaczego zero trust

Dlaczego zarządzanie akcjami — nie tylko tekstem — ma znaczenie dla agentów.
Dla zagrożeń, które polityka ma zatrzymać, zobacz niebezpieczne wywołania narzędzi i nadmierną sprawczość.