1. 两列划分
下表按领域组织责任。左侧的每一行都是客户可观察的保证—— 你可以通过读取日志、合规报告或控制台来验证的东西。右侧的 每一行是只有你才能做的决定,因为它取决于你的数据、你的 基础设施和你的策略。| 领域 | OrcaRouter 处理 | 你处理 |
|---|---|---|
| 身份 | 颁发和验证 API 密钥;执行绑定到每个密钥的模型、IP 和消费上限范围;工作区 RBAC(读取/Developer/Admin)。 | 创建具有适当范围的密钥;管理工作区成员资格和角色分配;按你自己的节奏轮换你自己的上游或提供商密钥。 |
| 内容 | 通过防护栏筛查提示词和响应文本——在每个穿越网关的请求上拦截、脱敏或 flag PII、密钥、注入模式和不安全输出。 | 编写和调优防护栏策略(网关执行你配置的内容,而不是默认意见);对你自己的数据敏感性进行分类,以选择覆盖哪些 PII 实体和模式。 |
| 动作 | 对照你的防火墙策略评估穿越网关的每一次工具调用、MCP 派发和出站目的地——允许、拒绝、净化、挂起等待审批或封顶成本。 | 配置防火墙策略;将模型中介的工具和 MCP 服务器通过网关路由,以便防火墙能看到它们;审查被挂起的审批。 |
| 网络 | 对工具通过网关报告的出站目的地执行出站规则;在你的策略说的情况下拦截 SSRF 和数据外泄目的地。 | 在网关路径之外保护你自己的基础设施和网络边界;处理完全在进程内运行、不向网关报告出站流量的工具。 |
| 凭证 | 加密存储连接服务凭证;在读取时遮盖它们;永不在日志或控制台中暴露明文。 | 提供凭证并决定连接哪些集成;在上游提供商需要时轮换它们。 |
| 审计 | 生成每一次策略匹配、防火墙判定和审批决策的审计追踪,关联到触发它的智能体运行;合规报告经 Ed25519 签名,可公开验证。 | 审查审计追踪并对其采取行动;设置你自己的保留和审查节奏。 |
| 合规 | 区域标记的合规证据——签名报告按你声明的区域(us / eu / uk / ap / cn / global)存储和提供;30 天删除宽限期,然后进行 PII 清洗。 | 声明合规居住区域;在你的合规义务需要时触发删除。 |
2. 最重要的单一边界
防火墙仅对穿越网关的调用执行。 你的智能体完全在其自己进程
内执行的工具——永远不调用
https://api.orcarouter.ai,也不报告
出站目的地的工具——在网关的视野之外。这不是执行上的缺口;这是
对范围的精确说明:网关是受审计的路径,而不是内核级别的系统调用
拦截器。实际含义:将重要的调用通过网关路由。通过防火墙 MCP 网关
的 MCP 派发和通过
evaluate hook
评估的工具调用都受到治理。你的智能体直接运行、不接触网关的
shell 脚本,是你在基础设施层面保护的责任。3. 如何最大化网关能为你做的事情
四件事将最多的覆盖从”你的”列转移到”网关处理”列:-
通过网关路由 MCP 服务器和模型中介的工具。
在防火墙 → MCP 服务器下注册你的
MCP 服务器,并将你的智能体指向
https://api.orcarouter.ai/api/v1/firewall/mcp。模型发出的每一次tools/call都会穿越网关,并受到你的防火墙策略约束。你的智能体 在进程内运行、从不穿越网关的工具仍然在执行之外——将它们路由进来 或添加你自己的控制。 - 给每个智能体一个限定范围的密钥。 为每个智能体身份颁发一个 API 密钥,绑定到它合法使用的模型、它运行的 IP、一个消费上限, 以及一个明确的防火墙策略。在智能体之间共享的密钥使审计变得 模糊,使最小特权变得不可能。
-
从安全智能体基线开始。 先应用
balanced自治级别——它在 一步内审计危险动作并 flag PII,支持一键撤销。观察防火墙事件和 防护栏匹配信息流一周,看看你的智能体实际做什么,然后向tight收紧重要的执行面。参见 保护 AI 智能体。 - 声明你的合规居住区域。 签名合规报告按区域标记和存储,报告 只在匹配的声明区域下提供。在合规设置中设置它以匹配你的义务。
4. 下一步去哪里
OrcaRouter 如何检查请求
详细的执行路径——网关看到什么、何时,以及按什么顺序。
智能体防火墙
动作层参考——策略、规则、判定和 MCP 网关。
防护栏
内容层参考——PII、密钥、注入和外部供应商。
控制栈
所有四个层——密钥、防护栏、防火墙和审计——作为一张图。