TOOL GOVERNANCE · 最强护城河

让 Agent 能办事,
但每一步都过闸、可审计、可叫停

让 Agent 真正"够得到"你的业务接口,又不至于越权、误删、资损——四道闸 + 请求签名 + 高风险审批意图,把每一次调用都钉进可追溯的总账。

这正是 OWASP 在 agentic 安全方向反复强调、却还没被通用大厂开箱内置的环节
中枢负责 · reach

"Agent 够得到什么"

哪些业务接口能被注册成工具、能被哪类任务调用、调用频率上限多少——这些边界由中枢统一治理,与模型无关。

业务裁决 · authority

"这个人此刻能不能做"

具体到某个用户、某个时刻、某条数据的权限判定,永远回到你的业务系统裁决——中枢不替业务做主。

FOUR GATES

一次调用,过四道闸

Agent 发起的每一次工具调用,按序穿过四道闸;任一道不通过即拦截。

闸 1
白名单
这工具准不准被调
闸 2
风险分级
低危直行 / 高危转审
闸 3
限流
频率 / 配额上限
闸 4
逐次审计
每次调用都留痕

白名单

只有显式注册进工具插座的接口才可被 Agent 调用;未登记的一律不可见、不可达。

风险分级

按动作和参数打风险标签:查询类直行,资损 / 删除类暂停并形成审批意图。

限流

按工具 / 会话 / 接入方设频率与配额,挡住失控循环与放大攻击。

逐次审计

每次调用的入参、决策、结果都 append-only 落账,可逐条回溯。

REQUEST SIGNING

把"谁、为哪个任务"
钉进每一次签名

调用凭证不是一把万能 Key,而是带主体与任务上下文的请求签名(v3:On-Behalf-Of 主体 + Job-Id 一并钉进 HMAC)。即便提示词被注入,也无法伪造一个"换了人、换了任务"的合法调用。

凭证可绕过提示词约束,但绕不过签名校验。

signed-request.json
{
  "tool": "order.refund",
  "on_behalf_of": "user#1042",
  "job_id": "job_a3f1c8",
  "args_hash": "sha256:7e9b…",
  "sig": "v3:hmac-sha256:9f2c…a14e"
}
 
// 换了 on_behalf_of 或 job_id,sig 即失效
// 注入提示词,改不了已签名的主体
HUMAN-IN-THE-LOOP

高风险,先暂停并交给人裁决

资损、删除等高风险动作不会被 Agent 直接放行。中枢暂停调用、固化调用快照,并把审批意图交给业务侧流程;控制台只作为演示和兜底入口。

审批意图 · 待裁决
#A-204
Agent 请求执行:订单退款
toolorder.refund
orderSO-20260623-018
amount¥ 8,640.00
on_behalf_ofuser#1042
待审批高风险动作已暂停,等待业务审批人裁决
已批准 · 已执行业务审批通过后,中枢只放行已批准的调用快照并写入总账
已驳回 · 已拦截审批驳回,调用被拦截,未触达业务接口
AUDIT LEDGER

每一次调用,append-only 落账

总账只追加、不可改,是唯一真值;出了任何事都能逐条回溯到"谁、为哪个任务、过了哪几道闸"。

TSTOOLOPERATOR / TASKGATESRESULT
06-23 14:02:11order.queryuser#1042 · 查单1·2·3·4✓ 执行
06-23 14:02:48address.updateuser#1042 · 改址1·2·3·4✓ 执行
06-23 14:03:09order.refunduser#1042 · 退款1·2·⏸⏸ 待审
06-23 14:05:33order.refundapprover#7 · 业务审批通过1·2·3·4✓ 执行
06-23 14:07:50invoice.deleteuser#2210 · 删票✕ 越权✕ 拦截
POSITIONING

不是又一个 API 网关

API 网关治理"已知服务",百灵治理"不可信的 Agent 调用"——这是两类问题。

维度
传统 API 网关
LLM 直连 / FC
百灵工具治理
调用发起方
已知服务
Agent(无约束)
Agent(视为不可信)
谁能调
IP / Key 白名单
模型自行决定
白名单 + 风险分级 + 限流
高风险动作
无差别放行
无人工卡点
暂停并转人工裁决
调用凭证
一把 API Key
提示词约束(可绕过)
请求签名(谁 / 为何任务)
可追溯性
访问日志
难审计
逐次审计 · append-only 总账
业务裁决
"这个人能不能做"由业务裁决

让 Agent 安全地办事,从治理开始

看工具源文档 ← 回首页