跳转到主要内容
你不必编写一条防火墙规则就能获得保护。自治控制——也称为 安全智能体基线——在一个事务中对你的工作区应用完整的零信任 姿态:防火墙防护栏,在一起,支持一键撤销。 这是通往有意义安全姿态的最快路径。之后编写规则来调优; 从这里开始。
安全智能体基线就是自治控制——没有单独的”基线”对象。应用一个 自治级别会原子性地写入一个防火墙策略和一个防护栏(以级别命名), 并使它们成为你工作区的实时姿态,在一个事务中。之后你可以打开并 编辑它们。一键撤销从审计快照恢复到先前状态。

1. 自治控制做什么

三个级别,每个覆盖相同的两个层:
级别防火墙姿态防护栏观察模式
tight默认拒绝;破坏性 shell 和 SSRF 出站被拒绝PII Shield + Secrets Blocker 被执行关闭
balanced默认审计;破坏性 shell 被拒绝PII Shield 仅审计模式(flag PII)关闭
permissive无执行策略无防护栏开启——每次工具调用都作为覆盖缺口被记录
balanced 是推荐的起始姿态。 它审计你的智能体做的一切并 flag PII,同时仍然拒绝最具破坏性的动作(破坏性 shell)——因此 你在决定还要限制什么之前就能看到智能体的真实行为。对于不拦截任何东西 的通过,从 permissive 开始。 tight 是一旦你了解了智能体正常行为后的正确目标。它开箱 就执行默认拒绝姿态:破坏性 shell 被拒绝,SSRF 出站被拒绝, PII Shield 和 Secrets Blocker 防护栏都处于活跃状态(筛查你的 请求中的 PII 和密钥)。 permissive 关闭所有执行但保持观察模式开启,因此每次工具 调用仍然被记录。使用它在没有意外拦截风险的情况下审计一个全新 的智能体——然后一旦你知道它做什么就转向 balancedtight

2. 如何应用一个级别

1

预览变更(可选但推荐)

在应用之前模拟该级别。控制台 Simulate 视图(在 Firewall → Posture 下)或 API 精确显示哪些规则和防护栏会 处于活跃状态——什么都不会改变。
# 模拟 tight——返回完整策略差异,什么都不应用
GET /api/workspace/firewall/simulate?level=tight
角色:Member(只读,无变更)。
2

在控制台中选择一个级别

在控制台中前往 Firewall → Posture。从自治级别控件选择 balancedtightpermissive 并确认。变更在下一次 工具调用时生效——无需重新部署。角色:需要 Developer+ 才能应用。
3

或通过 API 应用

POST /api/workspace/firewall/autonomy
Content-Type: application/json

{ "level": "balanced" }
响应包含一个 audit_id——保存好它。你撤销时需要它。角色:Developer+
4

观察事件和匹配

应用后,前往 Firewall → Events / Runs 查看工具调用 判定,以及 Guardrails → Matches 查看内容策略命中。 两个信息流都实时更新。如果有你没有预期的东西触发了, 在进一步收紧之前先检查它。
5

如需撤销

任何自治变更都可以通过一次调用撤销。撤销恢复确切的 先前状态——策略、规则、防护栏、设置——来自审计快照, 而不是通用重置。
POST /api/workspace/firewall/autonomy/undo/:audit_id
角色:Developer+audit_id 在你应用级别时返回(步骤 3),也在 Firewall → Audit 中可见。

3. 推荐路径

balanced 开始 → 模拟 tight → 观察 → 收紧。
  1. 应用 balanced——你得到完整的审计追踪;只有破坏性 shell 被拒绝,其他一切被审计。正常运行你的智能体一两天。
  2. 模拟 tight——运行 GET /api/workspace/firewall/simulate?level=tight 并将会被拒绝的内容与你在 Events 信息流中看到的内容进行比较。 如果破坏性 shell 调用或 SSRF 风格的出站请求是你正常流量的一部分, 先在智能体中修复它们。
  3. 观察 Events 和 Matches——Firewall → Events 显示每次工具调用 判定;Guardrails → Matches 显示内容策略命中。两者都可以按 判定、工具、运行和会话过滤。
  4. 应用 tight——一旦模拟输出没有意外,应用 tight。如果 生产中有东西出问题,撤销只需一次调用。
  5. 用规则调优——使用防火墙规则来划出 例外或添加预设级别不覆盖的控制。自治级别是你的基准;自定义规则 增加精确度。

4. 角色要求

动作最低角色
模拟一个级别(GET .../simulateMember
读取审计追踪Member
查看防护栏 MatchesMember
查看防火墙 Events & RunsDeveloper+
应用自治级别Developer+
撤销自治变更Developer+

5. 这不是什么

  • 不是黑盒。 应用自治级别会写入一个真实的防火墙策略和防护栏 (以级别命名),并使它们成为你工作区的实时姿态。之后你可以打开、 检查和编辑它们——这是一个快速起点,而不是锁定的预设。
  • 可逆,有限制。 一键撤销从审计快照恢复先前的防火墙和防护栏 状态。对于快照超出审计日志大小限制的非常大的工作区,应用仍然 成功但对该变更撤销不可用——你重新应用你想要的级别即可。罕见, 但值得了解。
  • 不能替代限定范围的密钥。 自治控制设置工作区的默认姿态。 单个 API 密钥仍然可以附加到特定策略以进行更精细的控制。参见 防护栏 vs. 防火墙 了解层如何组合。
自治控制是为前 30 分钟设计的——快速获得保护,了解智能体的真实 行为,然后从可见性的位置而不是猜测来收紧。

快速开始

在 5 分钟内完整零信任设置,包括限定范围的密钥和防护栏。

防火墙

规则级别详情——判定、执行面、参数谓词和 HITL 审批。