跳轉到主要內容
一個合規套件是一個框架——SOC 2、HIPAA、GDPR、ISO 27001、OWASP LLM Top 10——對應到滿足它的閘道控制項。當你安裝一個合規套件時,OrcaRouter 不只是把框架加入書籤:它把套件的控制項具現化成一個真實、可編輯的 防護欄(內容平面)與一個真實的 防火牆政策(工具呼叫平面),並以套件的來源標記,因此每條既有的強制執行、附加與歷史路徑都不變地運作。 安裝落在觀察模式——防護欄標記而非封鎖,防火牆以影子模式執行——因此你能在任何東西影響即時流量之前收集「本來會封鎖」的證據。你稍後刻意地從主控台將它上線。
瀏覽目錄與檢查就緒度對任何工作區成員免費。安裝一個套件是工作區 Admin 動作,且需要一個付費方案——閘道在伺服器端強制兩者,因此直接 API 呼叫無法繞過門檻。

1. 「安裝一個合規套件」實際上做什麼

一次安裝呼叫會原子性地把三樣東西寫入你的工作區:
套件的內容平面控制項合併進一個命名的防護欄——<Pack> (Compliance)(例如 SOC 2 (Compliance))。在觀察模式下,每個動作(與每個逐實體動作)都被強制為 flag,因此它標註匹配而不封鎖或遮罩真實流量。
套件的工具呼叫控制項合併進一個命名的防火牆政策——<Pack> (Compliance — tools)(例如 SOC 2 (Compliance — tools))——建立時開啟 shadow_mode,因此它評估並把每個已涵蓋的呼叫記錄為 [shadow] would …,但永不拒絕。
一筆工作區合規套件列連結這兩個具現化的政策、釘住目錄版本、記錄你選擇了哪些控制項,並蓋印是誰安裝的——外加一筆稽核日誌條目。
因為安裝產生的是標準防護欄與防火牆物件,你之後可以在主控台開啟它們、讀取每條規則、調校它們,並透過 firewall_policy_id 把防火牆政策附加到一個金鑰上——就像任何你親手撰寫的政策一樣。

2. 從主控台安裝一個合規套件

合規設定使用你的主控台工作階段(UserAuth),而非中繼金鑰。在主控台中執行:
1

開啟合規目錄

前往工作區主控台中的 Compliance。瀏覽目錄並開啟你需要的框架——例如 SOC 2soc2)或 OWASP LLM Top-10owasp_llm)。每個套件列出它的控制項、每個控制項落在哪個平面,以及官方參考。
2

挑選控制項(或全部納入)

安裝整個框架,或選擇一個控制項子集。空選擇會安裝套件中的每一個控制項。
3

安裝

以付費方案上的工作區 Admin 身分,點擊 Install。套件立即以觀察模式具現化。重新安裝一個已安裝的套件是冪等的——它回傳既有記錄,而非一個重複項。
4

觀看證據,然後上線

讓影子防護欄與防火牆累積本來會封鎖的匹配。當姿態看起來合適時,把套件上線以翻開宣告的動作,並(可選擇地)把政策晉升為你的工作區預設值。參見 觀察 vs 強制執行
如果你不確定從哪裡開始,先安裝 OWASP LLM Top-10 套件——它直接對應到本文件區涵蓋的威脅(注入、不安全輸出處理、敏感資訊揭露、系統提示洩露與過度自主),並給你一個具體的姿態可供觀察。

3. 底層呼叫

主控台驅動一個端點。它在此記錄,好讓你看見其形狀、稽核它,或腳本化一個內部供應流程——但閘道需要一個工作區 Admin 工作階段權杖與一個付費方案才能觸及它: 
POST /api/compliance/packs/{key}/install
Authorization: Bearer <your-console-session-token>
Content-Type: application/json

{ "controls": ["owasp.llm01_injection", "owasp.llm08_excessive_agency"] }
空的主體會安裝套件中的所有控制項: 
POST /api/compliance/packs/owasp_llm/install
回應是安裝記錄——套件鍵、釘住的版本、mode: observe,以及具現化的 guardrail_idfirewall_policy_id 的 id,因此你可以立刻開啟它們。
一個格式錯誤的(非空但無法解析的)主體會被拒絕,而非被悄悄當作「安裝全部」處理——因此一個客戶端序列化錯誤永遠無法悄悄把部分安裝擴大成完整框架。送出有效的 JSON,或什麼都不送。

4. 安裝之後

接著在哪裡
看看套件裡有什麼套件內容
把它上線觀察 vs 強制執行
產生簽署證據簽署報告
安裝是廉價、可逆的第一步:它不耗費即時流量、它是冪等的,而解除安裝會乾淨地移除兩個具現化平面。刻意的步驟是上線——那是宣告的 block/mask/deny 動作開啟的地方。
為何安裝而不只是強制執行就要付費方案?把一個框架具現化成即時可編輯的政策才是價值時刻——閘道在安裝時門檻它,並在上線時再門檻一次,好讓升級邊界明確,永遠不會在推行途中冒出意外的 403。

5. 相關

方案門檻

確切哪些合規動作免費,以及哪些需要付費方案。

觀察 vs 強制執行

觀察模式如何收集證據,以及上線時有什麼改變。

控制矩陣

每個框架控制項如何對應到閘道防護欄與防火牆規則。

OWASP LLM Top 10

對應到本區段代理安全威脅的套件。

防護欄參考

安裝所具現化的內容平面——規則、PII、動作。

代理防火牆參考

安裝所具現化的工具呼叫平面——裁決與介面。
關於你擁有哪一側相對於閘道的更大圖景,參見 共同責任;框架目錄請參見 框架