跳轉到主要內容
稽核師的第一個問題從不是「你有政策嗎?」——而是「逐條條款給我看哪個控制項滿足它,並證明它執行過。」一個控制矩陣正好回答那一點:每條範圍內條款一列、它對應的平面、強制執行它的即時政策物件,以及該控制項是否被涵蓋(covered)、仍在觀察(observe)中、是一個已揭露的缺口(gap),或被擁有者證明(attested)。OrcaRouter 從你安裝的套件為你建立這個矩陣——就是那個驅動簽署報告的同一個對應,因此就緒度檢視與證據永遠不會漂移。 本頁展示如何讀取與組裝你工作區的 AI 合規控制矩陣,並走完一條具體條款的端到端。關於一個套件實際包含什麼,請循末尾的連結。

1. 此處的 AI 合規控制矩陣是什麼

矩陣是每個框架兩個清單的聯集:
  • 一個已安裝套件涵蓋的條款——每條都接合到安裝所具現化的確切防護欄或防火牆政策;
  • 那些永遠無法被閘道自動化的條款——人員訓練、商業夥伴協議、實體存取——被撰寫為誠實的缺口,因此矩陣揭露它們而非暗示虛假的 100%。
矩陣是一個檢視,而非第二個引擎。每一個被涵蓋的列都指向一條你已經擁有的真實、可編輯的 防護欄 規則或 防火牆 政策——開啟它、讀取它、調校它。矩陣只記錄哪一個回答哪條條款。
每條條款恰好對應到兩個平面之一:

防護欄平面

內容條款——機密 PII、密鑰、必要揭露——對應到帶有 blockmaskflag 動作的 防護欄 規則。

防火牆平面

動作條款——過度自主、危險工具呼叫、egress——對應到在 inbound、response、mcp 或 egress 介面上帶有 allow / audit / deny 裁決的 防火牆 規則。

2. 一列可攜帶的就緒度狀態

每個矩陣列攜帶一個狀態。這些是稽核師讀到的字眼,因此它們的意思正是它們所說的:
狀態它的意思
covered一個套件控制項已安裝並正在強制執行該條款。
observe已安裝但僅記錄——收集本來會封鎖的證據,尚未強制執行。
gap沒有已安裝控制項涵蓋該條款(或它是組織性的且無法涵蓋)。
attested一條組織性條款,Admin 已以擁有者身分證明而非自動化。
一個 gap 不是失敗——它是誠實。一條像 HIPAA 45 CFR §164.308(a)(5) 人員訓練這樣的組織性條款永遠無法被代理伺服器強制執行,因此矩陣把它呈現為一個已揭露的缺口(或在 Admin 證明擁有權後呈現為 attested),而非假裝閘道涵蓋它。
還有一個 drift 疊加:如果一個已安裝套件的對應落後於目前的目錄版本,它的列會渲染為 drift,讓你知道在依賴證據之前要重新安裝。

3. 讀取矩陣(一次具體呼叫)

就緒度端點回傳整個矩陣——每框架涵蓋百分比、視窗內排名最前的風險,以及每條條款一筆 coverage_rows 條目。瀏覽就緒度對每個工作區 Member 開放且是免費的,因此你的安全與稽核審查者能夠在沒有寫入權限的情況下觀看矩陣。主控台在你的工作階段下驅動這條管理路由——你絕不把中繼 sk-orca-… 金鑰交給一條合規路由: 
GET /api/compliance/readiness?window=30d
Authorization: Bearer <your console session>
一個被涵蓋的單列看起來像這樣——條款、平面、狀態,以及它接合到的即時政策 id: 
{
  "framework": "soc2",
  "control_id": "soc2.confidentiality",
  "clause": "TSC CC6.1 Logical access controls",
  "reference": "https://www.aicpa-cima.com/resources/...",
  "plane": "guardrail",
  "state": "covered",
  "guardrail_id": 41,
  "observe_count": 0,
  "organizational": false
}
guardrail_id(或防火牆平面上的 firewall_policy_id)是那個承重的欄位:它把條款直接繫到一個你能在主控台開啟並像任何其他物件一樣編輯的物件。那就是稽核師走訪的沿襲——條款 → 控制項 id → 強制執行的政策 → 它產生的匹配。
讀取矩陣是一個免費的 Member 能力。建立它——安裝一個套件以讓它的控制項填入這些列——是一個付費方案上的工作區 Admin 動作,且伺服器強制兩者。檢視者或免費工作區無法透過直接呼叫 API 來具現化涵蓋。參見 方案門檻

4. 為你的框架組裝矩陣

你透過安裝套件來建立矩陣。每次安裝把它的控制項合併進一個防護欄與一個防火牆政策(以套件的來源標記),而它的條款開始填入 coverage_rows
  1. 挑選你的框架。 安裝以工作區 Admin 身分從主控台的 Compliance → Catalog 執行。目錄涵蓋安全與 AI 治理法規(soc2iso_27001iso_42001nist_ai_rmfeu_ai_actowasp_llm)、產業法規(hipaapci_dssglbanist_800_53),以及一系列廣泛的區域隱私法(gdpruk_gdprccpa 等)。在 框架 上瀏覽即時集合。
  2. 先以觀察模式安裝。 一個全新安裝落在觀察模式——防護欄動作被強制為 flag,防火牆政策處於影子——因此每個新列以 observe 開始,並在它強制執行之前產生本來會封鎖的證據。
  3. 觀看列填滿。 在一個真實視窗內重新取得就緒度。被涵蓋的列顯示它們的 observe_count;缺口保持已揭露;組織性條款等待證明。
  4. 上線。 當列讀起來乾淨時,工作區 Admin 上線,而 observe 列翻轉到 covered 強制執行。
LLM 應用的 OWASP Top 10 以 owasp_llm 套件存在於目錄中——它的條款(例如 LLM05:2025 Supply Chain)以與其他每個框架相同的方式落入矩陣,對應到即時控制項或揭露為缺口。參見 OWASP LLM Top 10

5. 從矩陣到簽署證據

你在主控台讀取的矩陣就是報告序列化的同一份涵蓋資料——因此當你產生證據時,稽核師看見相同的逐條款狀態,外加每個控制項本期產生的強制執行計數。一條封鎖了 4,000 個請求的條款與一條零匹配的條款讀起來非常不同,而報告兩者都顯示。報告以 SHA-256 雜湊、Ed25519 簽署,且可公開驗證。
一個套件具現化的確切防護欄與防火牆物件,以及每條條款如何接合到強制執行它的政策——參見 套件內容
為何每個列以觀察開始、它記錄什麼,以及上線如何翻轉它——參見 觀察 vs 強制執行
矩陣如何為稽核師渲染,帶有逐條款狀態與強制執行計數——參見 簽署報告

6. 下一步去哪裡

安裝一個套件

填入矩陣的完整安裝流程——選擇控制項、觀察模式與上線。

所有框架

那些你能把其條款建進矩陣的框架的即時目錄。

防護欄 vs 防火牆

一個矩陣列可對應到的兩個平面,以及解析器如何把它們一起執行。

共同責任

為何有些條款是閘道可強制執行的而其他仍是你的——每個缺口列反映的邊界。
一個控制矩陣是法規檢查清單與你運作中閘道之間的橋樑:每條條款一列、接合到強制執行它的即時控制項、對代理伺服器無法涵蓋的東西誠實,並且與你交給稽核師的簽署證據一模一樣。