跳转到主要内容
一个合规包就是一个框架——SOC 2、HIPAA、GDPR、ISO 27001、 OWASP LLM Top 10——映射到满足它的网关控制。当你安装一个合规 包时,OrcaRouter 不只是给这个框架加书签:它把包的控制实体化 为一个真实、可编辑的 防护栏(内容平面) 和一条真实的 防火墙策略(工具调用平面), 并打上包的溯源标签,于是每一条现有的执行、附加和历史路径都 保持原样工作。 安装落在观察模式——防护栏标记而非拦截,防火墙以影子模式 运行——这样你就能在任何东西影响实时流量之前收集”本会拦截”的 证据。你之后再从控制台有意地把它上线。
浏览目录和检查就绪度对任何工作区成员免费。安装一个包是 工作区 Admin 动作,并需要付费套餐——网关在服务端执行 两道门控,所以直接的 API 调用无法绕过该门。

1. “安装一个合规包”实际做了什么

一次安装调用原子地向你的工作区写入三样东西:
包的内容平面控制合并到一个命名的防护栏—— <Pack> (Compliance)(例如 SOC 2 (Compliance))。在观察模式 下,每个动作(以及每个按实体的动作)都被强制为 flag, 所以它标注匹配而不拦截或掩码真实流量。
包的工具调用控制合并到一条命名的防火墙策略—— <Pack> (Compliance — tools)(例如 SOC 2 (Compliance — tools))——在创建时开启 shadow_mode, 于是它评估并把每一次被覆盖的调用记录为 [shadow] would … 但从不拒绝。
一条工作区合规包行链接这两个实体化策略、钉住目录版本、 记录你选了哪些控制,并戳印谁安装了它——外加一条审计日志 条目。
因为安装产生的是标准的防护栏和防火墙对象,你之后可以在控制台 打开它们、阅读每一条规则、调优它们,并通过 firewall_policy_id 把防火墙策略附加到一个密钥上——就像你手动编写的任何策略一样。

2. 从控制台安装一个合规包

合规配置使用你的控制台会话(UserAuth),而非中继密钥。 在控制台中操作:
1

打开合规目录

在工作区控制台中转到 Compliance。浏览目录并打开你需要的 框架——例如 SOC 2soc2)或 OWASP LLM Top-10owasp_llm)。每个包都列出它的控制、每个控制落在哪个 平面,以及官方参考。
2

挑选控制(或全选)

安装整个框架,或选择控制的一个子集。空选择会安装包中的 每一个控制。
3

安装

作为付费套餐上的工作区 Admin,点击 Install。包立即 以观察模式实体化。重新安装一个已安装的包是幂等的——它返回 现有记录,而非一个副本。
4

观察证据,然后上线

让影子防护栏和防火墙积累”本会拦截”的匹配。当姿态看起来 合适时,把包上线以翻开声明的动作,并(可选地)把策略 晋级为你的工作区默认。参见 观察 vs 执行
如果你不确定从哪里开始,先安装 OWASP LLM Top-10 包——它直接 映射到本文档章节所涵盖的威胁(注入、不安全输出处理、敏感信息 泄露、系统提示词泄漏和过度自主权),并给你一个可观察的具体 姿态。

3. 底层调用

控制台驱动一个端点。这里把它记录下来,方便你看清它的形态、 审计它,或编写一个内部供应脚本——但网关要求一个工作区 Admin 会话令牌和一个付费套餐才能触达它: 
POST /api/compliance/packs/{key}/install
Authorization: Bearer <your-console-session-token>
Content-Type: application/json

{ "controls": ["owasp.llm01_injection", "owasp.llm08_excessive_agency"] }
一个空 body 会安装包中的所有控制: 
POST /api/compliance/packs/owasp_llm/install
响应是安装记录——包键、被钉住的版本、mode: observe,以及 实体化的 guardrail_idfirewall_policy_id 的 id,让你可以 立刻打开它们。
一个格式错误的(非空但不可解析的)body 会被拒绝,而不是被 静默地当作”安装所有”处理——所以客户端序列化的 bug 永远不会 悄悄把一次部分安装扩大为整个框架。发送有效的 JSON,或者干脆 什么都不发。

4. 安装之后

接下来在哪里
看包里有什么包内容
把它上线观察 vs 执行
生成签名证据签名报告
安装是廉价、可逆的第一步:它不耗费任何实时流量,它是幂等的, 而卸载会干净地移除两个实体化平面。有意为之的步骤是上线 ——那才是声明的 block/mask/deny 动作开启的地方。
为什么安装而不仅仅是执行就需要付费套餐?把一个框架实体化为 实时可编辑的策略才是价值时刻——网关在安装时和上线时各门控一次, 让升级边界明确,绝不会在推广中途突然冒出一个 403。

5. 相关

套餐门控

究竟哪些合规动作免费,哪些需要付费套餐。

观察 vs 执行

观察模式如何收集证据,以及上线时有什么变化。

控制矩阵

每个框架控制如何映射到网关防护栏和防火墙规则。

OWASP LLM Top 10

映射到本章节中智能体安全威胁的那个包。

防护栏参考

一次安装所实体化的内容平面——规则、PII、动作。

智能体防火墙参考

一次安装所实体化的工具调用平面——判定和执行面。
关于哪一侧由你拥有、哪一侧由网关拥有的全局视角,参见 责任共担;关于框架 目录,参见 框架