让 Agent 真正"够得到"你的业务接口,又不至于越权、误删、资损——四道闸 + 请求签名 + 高风险审批意图,把每一次调用都钉进可追溯的总账。
哪些业务接口能被注册成工具、能被哪类任务调用、调用频率上限多少——这些边界由中枢统一治理,与模型无关。
具体到某个用户、某个时刻、某条数据的权限判定,永远回到你的业务系统裁决——中枢不替业务做主。
Agent 发起的每一次工具调用,按序穿过四道闸;任一道不通过即拦截。
只有显式注册进工具插座的接口才可被 Agent 调用;未登记的一律不可见、不可达。
按动作和参数打风险标签:查询类直行,资损 / 删除类暂停并形成审批意图。
按工具 / 会话 / 接入方设频率与配额,挡住失控循环与放大攻击。
每次调用的入参、决策、结果都 append-only 落账,可逐条回溯。
调用凭证不是一把万能 Key,而是带主体与任务上下文的请求签名(v3:On-Behalf-Of 主体 + Job-Id 一并钉进 HMAC)。即便提示词被注入,也无法伪造一个"换了人、换了任务"的合法调用。
凭证可绕过提示词约束,但绕不过签名校验。
资损、删除等高风险动作不会被 Agent 直接放行。中枢暂停调用、固化调用快照,并把审批意图交给业务侧流程;控制台只作为演示和兜底入口。
总账只追加、不可改,是唯一真值;出了任何事都能逐条回溯到"谁、为哪个任务、过了哪几道闸"。
API 网关治理"已知服务",百灵治理"不可信的 Agent 调用"——这是两类问题。