跳轉到主要內容
一份框架檢查清單是一列條款。一個合規套件是同一份檢查清單,但每條條款都接上一個實際在閘道上執行的控制項。當你安裝一個套件時,OrcaRouter 會讀取它的條款到控制項對應,並在你的工作區中具現化真實、可編輯的政策物件——於是「SOC 2 CC6.1」不再是試算表中的一行,而成為一個在機密 PII 抵達模型之前就封鎖它的防護欄。 本頁解釋一個 AI 合規套件包含什麼、它的兩個強制執行平面如何對應回條款,以及讓稽核師能把任何條款一路追溯到強制執行它的確切政策的來源沿襲。安裝流程與簽署報告請循末尾的連結。

1. 套件是條款到控制項的對應,而非新的強制執行

套件不附帶新的執行期引擎。它攜帶的每個控制項都重用你已經手動設定的同一套 防護欄防火牆 機制——套件是那個被撰寫出來的對應,它說明哪個既有控制項滿足哪條條款。 每個套件橫跨兩個強制執行平面:

防護欄平面

文字/資料控制項——關於機密資料、PII 洩露、注入防禦或必要揭露的條款,對應到帶有 blockmaskflag 動作的 防護欄 規則(piiregexllm_judge 等)。

防火牆平面

工具呼叫控制項——關於過度自主、危險動作或 egress 的條款,對應到在 inbound、response、mcp 或 egress 介面上帶有 allow / audit / deny 裁決的 防火牆 規則。
安裝套件會把它選定的控制項合併進一個防護欄與一個防火牆政策,並以套件的來源標記,因此它們透過正常的 解析器 共同強制執行,且每條既有的附加與歷史路徑都持續運作。
一個套件只涵蓋閘道可強制執行的控制項。組織性條款——人員訓練、商業夥伴協議、實體存取——永遠無法由代理伺服器強制執行,因此報告把它們揭露為缺口(或為擁有者所證明),而非主張虛假的涵蓋。參見 控制矩陣

2. 一條條款,端到端——一個具體例子

以 SOC 2 套件為例。它把三條 Trust Services 條款對應到三個即時控制項:
條款平面控制項
CC6.1 邏輯存取guardrail封鎖提示中的機密 PII
CC7.2 系統監控guardrail把每個防護欄決策記錄為證據
CC7.2 異常偵測firewall稽核每一次工具派發
你從主控台安裝它——Compliance → Catalog → SOC 2 → Install——這僅限工作區 Admin,並在你的主控台工作階段下為你呼叫 POST /api/compliance/packs/soc2/install。你絕不會把中繼 sk-orca-… 金鑰交給設定路由;內容與政策完全存在於你的主控台登入背後。 安裝後,CC6.1 那一列不再是散文——它是一個你可以開啟、讀取並像任何其他規則一樣調校的防護欄規則。

3. 來源沿襲——條款到強制執行的政策

一個套件可被稽核的原因,是條款與強制執行它的政策之間的連結被記錄下來,而非暗示。套件具現化的每個控制項都攜帶:
一個穩定的 control_id(例如 soc2.confidentiality)與逐字的條款文字(TSC CC6.1 Logical access controls),加上一個官方來源連結,讓稽核師讀的是法規本身,而不只是我們的轉述。
控制項落在 guardrail 還是 firewall 平面,以及安裝所具現化的確切防護欄或防火牆政策的 id。那個 id 就是把報告中的一列繫回你工作區中一個即時、可編輯物件的東西。
coveredobservegapattested——以及在報告期間,該控制項實際觸發了多少次。一條零匹配的條款與一條封鎖了 4,000 個請求的條款,對稽核師而言讀起來不同,而報告兩者都顯示。
每個套件攜帶一行 MappedBy——誰撰寫了條款到控制項的對應、它的版本,以及誠實的免責聲明:它只涵蓋閘道可強制執行的控制項,本身並非一份認證。那一行會被蓋印到 簽署報告 封面上。
合起來,這就是稽核師走訪的沿襲:條款 → 控制項 id → 強制執行的防護欄或防火牆政策 → 它本期產生的匹配 → 誰撰寫了對應。 沒有任何一步是推斷出來的。
同一個涵蓋矩陣同時驅動主控台與報告,因此兩者永遠不會悄悄漂移。一條框架預期但沒有任何已安裝套件涵蓋的條款,在兩個介面上都一律呈現為一個已揭露的缺口。

4. 先觀察,然後強制執行

一個套件不會在你安裝它的那一刻就開始封鎖流量。安裝落在觀察模式:防護欄動作被強制為 flag,而防火牆政策以影子模式(僅記錄)執行。套件會產生「本來會封鎖」的證據,讓你能在它動作之前,看見它對照真實流量本來會做什麼。 當你滿意時,工作區 Admin 呼叫上線,這會還原控制項宣告的動作(mask / block / deny),並可選擇性地把具現化的政策晉升為工作區預設值。這就是 觀察 vs 強制執行 中描述的同一套先觀察後強制紀律。
瀏覽目錄、已安裝套件與就緒度對每個工作區成員開放且免費。安裝一個套件與上線是工作區 Admin 動作,需要付費方案——伺服器強制兩道門檻,因此檢視者或免費工作區無法透過直接呼叫 API 來具現化強制執行。產生報告也是 Admin:免費方案包含一份 PDF 報告,而 CSV/JSON 匯出與額外報告需要付費方案。設定資料駐留地也是工作區 Admin,但其本身並不在付費牆之後。

5. 套件不包含什麼

為了讓邊界誠實:
  • 沒有認證。 套件把你的閘道控制項對應到一個框架的條款並產生簽署證據。它不是一次稽核、不是對你整個組織的證明,也不是法律建議。
  • 沒有組織性控制項。 人員與流程條款被呈現為已揭露的缺口或擁有者證明,絕不作為自動化涵蓋。
  • 沒有魔法目錄。 目錄中的框架是那些有撰寫好的對應的——SOC 2、HIPAA、GDPR / UK GDPR、EU AI Act、ISO 27001 / 42001、NIST AI RMF、PCI DSS、OWASP LLM Top 10,以及區域隱私法。在 框架 上瀏覽即時集合。

6. 下一步去哪裡

安裝一個套件

完整的安裝流程——選擇控制項、觀察模式與上線。

簽署報告

Ed25519 簽署的證據報告包含什麼,以及沿襲如何為稽核師呈現。

控制矩陣

每條條款、它的平面,以及它是被涵蓋、被觀察、是缺口還是被證明。

防護欄 vs 防火牆

套件寫入的兩個平面,以及解析器如何把它們一起執行。
一個合規套件是法規語言與閘道強制執行之間的橋樑:它把每條條款對應到一個真實控制項、把該控制項具現化成一個你擁有並可調校的政策,並記錄沿襲,好讓證據能經得起檢視。