跳转到主要内容
你选择一个框架不是为了阅读一份营销清单。你选择一个是为了证明 ——向审计员、客户、监管者——它所要求的控制确实运行在你的智能体 所用的路径上。OrcaRouter 以可安装包的形式交付一个框架目录,且 该目录中的每个框架都映射到你工作区其余部分运行的同一套防护栏 和防火墙机制,外加一份快照所捕获内容的签名报告。 本页列出真实的框架注册表,并展示每一个如何变成证据。关于安装 到上线的弧线,请从 合规概览 开始。

1. 目录中的 AI 合规框架

目录是实时注册表——在 Compliance → Catalog 下浏览它,而不要 硬编码一个数量,因为包会随时间添加。在撰写本文时,它横跨通用 安全和 AI 治理标准、行业法规,以及一组广泛的区域隐私法律。控制台 把它们分组到五个类别标签:aiprivacysecurityfinancialhealthcare
eu_ai_act · nist_ai_rmf · iso_42001 · owasp_llm · colorado_ai。OWASP LLM Top 10 以一个真实的可安装包 (owasp_llm)形式交付,而不仅是一个控制映射视图——参见 OWASP LLM Top 10
soc2 · iso_27001 · nist_800_53 · cmmc。映射到内容和 动作平面的通用信任和信息安全标准。
pci_dss · glba · dora_eu。支付、银行和运营韧性法规 ——PAN 掩码、密钥卫生、危险工具控制和 egress 证据。
hipaa · hitrust。PHI 脱敏、去标识化和传输安全 egress 守卫。
gdpr · uk_gdpr · ccpa · china_pipl · appi_jp · pipa_kr · lgpd_br · pipeda_ca · dpdp_in · privacy_au · pdpa_sg · vcdpa_va · cpa_co · ctdpa_ct · ucpa_ut · tdpsa_tx · ferpa · coppa。每一个都携带为该司法辖区调整的数据最小化、特殊类别 处理和处理记录控制。
每个包都携带一个生效日期和它的控制映射上次审阅的月份,两者都 呈现在目录和报告上——于是审计员可以看出映射有多新,而不只是 它存在。

2. “证据”对一个框架意味着什么

安装一个包会在你的工作区中实体化两个真实、可编辑的对象,它们 就是报告所读取的:
  • 一个 防护栏——框架在请求和响应上 所期望的内容平面控制(PII、PHI、密钥、不安全输出);
  • 一条或多条 防火墙 策略规则——动作平面 控制(哪些工具调用、MCP 派发和 egress 目的地被允许或审计)。
因为这些对象是真实的,框架的证据就不是一份自我证明——它是你的 流量已经穿越的控制的实时状态和匹配历史。一份报告在生成时跨八个 证据章节快照那个状态(覆盖、执行、同意、变更日志、管理员 访问、缺口、子处理者和访问审查),于是即便日志老化淘汰,制品 仍保持自包含。
证据章节它捕获什么
覆盖哪些范围内的控制被一个已安装的包满足
执行每个控制是实时的还是仍在观察模式
变更日志控制背后策略编辑的版本化历史
报告还快照同意、管理员访问和缺口章节;一个包铺设的控制的完整 地图参见 包内容
一个框架的范围内清单是包覆盖控制与组织性条款(员工培训、BAA、 DPIA、物理访问)的并集,后者永远无法被网关自动化。那些 组织性项目始终渲染为一个带指引的被披露 ⚠ Gap——于是完整性 是诚实的,绝不静默地 100%。

3. 一个具体流程:SOC 2

假设你需要 SOC 2 证据。作为付费套餐上的工作区 Admin,从 控制台的 Compliance → Catalog 下安装该包。控制台用你的会话 (而非中继密钥)为你驱动管理路由: 
POST /api/compliance/packs/soc2/install
Authorization: Bearer <your console session>
soc2 包实体化一个掩码机密 PII 并记录防护栏决策的防护栏,外加 一条审计每一次工具派发的防火墙规则——映射到 TSC CC6.1CC7.2。它落在观察模式,于是在你观察匹配和事件信息流时, 你的智能体所做的任何事都不会被打断。当信息流看起来干净时, 上线并生成报告: 
POST /api/compliance/packs/soc2/golive
报告产出为 Ed25519 签名SHA-256 哈希的,可导出为 CSV、 JSON 或 PDF,且公开可验证——你的审计员用 OrcaRouter 的公钥确认 它,无需账户。组织性的 SOC 2 条款(变更管理、风险评估)显示为 带指引的被披露缺口,因为它们存在于你的流程中,而非网关。
浏览目录、已安装的包和就绪度对每个工作区 Member 开放且 免费。只有负责推广的 Admin 才需要安装、上线和驻留地——所以 你的审计审查者无需写权限就能观察就绪度。

4. 以编程方式阅读注册表

目录和就绪度读取对 Member 开放,所以一个审查者或一个 CI 作业 可以在无写权限的情况下拉取当前框架列表和按控制状态。控制台为 这些管理路由使用你的会话: 
GET /api/compliance/catalog      # the live framework registry
GET /api/compliance/readiness    # per-control satisfied / gap status
不要把一个框架数量或列表硬编码进你自己的工具。目录是真相之源 且随时间增长。读取 /api/compliance/catalog,并以框架 keysoc2hipaaeu_ai_act、…)为锚点,而非一个名称字符串。

5. 从框架到底层的控制

一个框架是你也可以直接配置的控制的一个视图。如果你想理解或调优 一个包铺设的内容——或手动构建同样的覆盖——深度参考是:

防护栏

内容平面参考——PII 和 PHI 实体、密钥、不安全输出,以及一个包 使用的 block / mask / flag 动作。

智能体防火墙

动作平面参考——工具、MCP 和 egress 规则,以及一个包的防火墙 策略背后的 audit / deny / sanitize 判定。

一个包包含什么

每个框架实体化的确切防护栏和防火墙对象。

控制矩阵

跨框架映射的每一个控制,在一张网格中。

6. 各框架页面

拥有各自专题页面的框架:

SOC 2

HIPAA

GDPR

EU AI Act

ISO 27001

ISO 42001

NIST AI RMF

OWASP LLM Top 10

PCI DSS

CCPA

7. 这一切的归属

观察 vs 执行

先让每个包落在观察模式;在上线之前阅读信号。

签名报告

一份报告如何被哈希和签名,以及审计员验证什么。

责任共担

网关保护什么、什么仍归你——任何框架主张背后那条诚实的边界。

执行模式

观察、审计和执行——上线背后的共享词汇。
目录会增长,但形态从不改变:挑选一个框架、安装它的包、观察它 捕获什么、上线,并交给你的审计员一份逐条款映射到你的流量实际 穿越的控制的签名报告。