跳转到主要内容
你正把一个 AI 智能体对齐到 NIST AI 风险管理框架,而你的审查者 想看到 Govern / Map / Measure / Manage 功能由确实运行的东西支撑 ——而非一张意图的电子表格。NIST AI RMF 包把框架的风险功能 映射到真实的网关防护栏、一次调用就把它们实体化到你的工作区, 并让你在任何东西执行之前先以观察模式运行它们。 本页是建立在共享合规流程之上的 NIST AI RMF 专属落地页。关于每个 包共有的机制——先观察、套餐门控、签名报告——请从 合规概览 开始。

1. NIST AI RMF 对齐在网关上覆盖什么

nist_ai_rmf 包(NIST AI Risk Management Framework 1.0,司法辖区 US)把三个框架功能映射到内容平面防护栏。每一个都是一条 真实、可编辑的规则,从你可以手动编写所针对的同一个预设库构建 ——像其他任何防护栏一样打开它、阅读它、调优它。
在请求上检测并标记提示注入尝试。从 Prompt-Injection Basics 预设构建——一条关键词规则,在输入阶段标注常见越狱短语 (ignore previous instructionsreveal your system prompt) 供审查,而不拦截用户。这是包推荐的控制。
标记自残 / 不安全内容。从 Self-Harm Keywords 预设构建, 它拦截询问如何自残的输入阶段提示词。把它与你自己的升级 工作流配对,于是一个被拦截的请求带着求助热线信息呈现给 人工审查者。
把防护栏决策记录为治理证据。从 Compliance Logger (observe-only) 预设构建——它跨输入和输出记录 PII 出现和 策略决策,而不拦截或修改流量。
这些是网关能够承担的风险功能义务:对输入的检测、一个安全 拦截,以及一条决策记录。该框架还要求网关无法执行的组织性工作 ——你的 GOVERN 1.1 策略和问责结构——包把它作为一个 Organizational: true 行携带,由你在网关之外提供证据。参见 责任共担

2. 一个具体例子:安装、观察、上线

包工作使用你的控制台会话(UserAuth)——而非中继 sk-orca-… 密钥。浏览目录和检查就绪度对任何工作区 Member 免费; 安装是付费套餐上一个工作区 Admin 动作,在服务端执行, 所以直接的 API 调用无法绕过该门。
1

浏览并检查就绪度(Member,免费)

打开 Compliance → Frameworks 并选择 NIST AI RMF。就绪度 在你承诺任何事之前展示这三个控制如何映射到你当前的策略。
2

安装包(Admin,付费)

从控制台安装会发出 POST /api/compliance/packs/nist_ai_rmf/install。一次调用就把 控制实体化为一个带包溯源标签的真实、可编辑防护栏——以观察 模式创建,于是它标记而非拦截,且你在实时流量上收集”本会 拦截”的证据而不影响它。
POST /api/compliance/packs/nist_ai_rmf/install
3

观察匹配

Guardrails 匹配信息流(GET /api/guardrail/match, Member)中审视 MANAGE 和 MEASURE 控制会捕获什么。在控制台中 调优任何规则——它是一个标准防护栏,所以每一条编辑、版本和 回退路径都保持原样工作。
4

把它上线并附加

当证据看起来合适时,把防护栏翻出观察模式,然后通过在密钥上 设置 guardrail_id(或把它设为工作区默认)把它附加到你的 智能体所用的密钥上。现在 MEASURE 2.6 自残拦截在计量之前于 请求上执行。
绝不把一个中继 sk-orca-… 密钥交给配置路由。/api/compliance/*/api/guardrail/* 路由用你的控制台会话认证,而非中继密钥 ——只有 /v1/* 模型调用使用 sk-orca-…。安装、上线、报告和 设置驻留地是受门控的 Admin 动作。
来自 MEASURE 2.6 控制的一个 guardrail_blocked 结果是一个不耗费 配额的 HTTP 400——一个输入阶段的拦截在计量之前被捕获,且它 被标记为跳过重试,于是一个被拦截的不安全提示词永远不会消耗 花费或循环。

3. 交付一份签名、可验证的报告

当你在执行时,生成合规报告:一个 Ed25519 签名、SHA-256 戳记 的制品,你可以导出为 CSV、JSON 或 PDF 并交给审查者。任何人都能 在无账户的情况下验证它。
每个控制行携带它的状态——coveredobservegapattested——以及它在周期内实际触发了多少次。一个标记了 2,000 次注入尝试的 MANAGE 2.1 控制,在审查者看来读起来不同 于一个零匹配的,而报告会把两者都显示出来。
每个实体化的控制记录它的 control_id(例如 nistai.injection)、逐字条款(NIST AI RMF MANAGE 2.1)、 平面,以及执行它的实时防护栏的 id——于是审查者走 功能 → 控制 → 执行策略 → 匹配,没有推断步骤。
GET /api/public/compliance/pubkey 获取签名公钥、把报告 提交到 POST /api/public/compliance/verify,或在 GET /api/public/compliance/share/:token 打开一个限定的审查者 共享链接。无需账户。
封面到页脚布局参见 签名报告,验证演练参见 验证一份报告

4. 为你的 NIST AI RMF 证据加区域戳记

报告在你声明的数据驻留区域(us / eu / uk / ap / cn / global)下被戳记和存储;报告只在匹配的区域下提供服务, 且跨区域读取被扣留。一位工作区 Admin 通过 PUT /api/compliance/residency 设置它。
驻留地是合规报告制品的区域,而非推理运行位置的地理钉定。 它控制你的签名证据存放在哪里、谁能读它,而非模型流量被路由到 哪里。参见 数据驻留跨区域
请求日志默认 30 天保留(服务端钳制到 180 天硬性最大值),而 一次用户删除运行一个 30 天宽限窗口然后是一次 PII 清除——两者 都在审查者询问你的保留姿态时相关。参见 保留被遗忘权

5. NIST AI RMF 与你项目的其余部分并行

AI RMF 很少单独出现。同样的安装流程涵盖相邻的 AI 治理和 LLM 安全框架,每一个都实体化它自己的可编辑控制:
框架
iso_42001ISO/IEC 42001 AI 管理系统
eu_ai_act欧盟人工智能法案
owasp_llmOWASP Top 10 for LLM Applications

ISO 42001

AI 管理系统证据。

EU AI Act

禁止性做法、透明度、记录保存。

OWASP LLM Top 10

作为一个包的高信号 LLM 安全风险。
MANAGE 2.1 提示注入控制是网关针对你的安全策略已经跟踪的同样 威胁的防御。如果你想独立于合规包加固它,防护栏参考会讲得更深。

6. 接下来去哪里

安装一个包

完整的安装机制,跨每个框架共享。

观察 vs 执行

观察模式如何有意地变成实时执行。

防护栏参考

NIST AI RMF 包所构建自的内容平面控制。

提示注入

MANAGE 2.1 控制所防御的威胁。
以观察模式安装、观察 Map/Measure/Manage 控制会捕获什么、在你 智能体的密钥上把它们上线,然后交付一份签名报告。那就是作为 一项配置而非一个项目的 NIST AI RMF 对齐。