Tool Gateway Safety Harness:工具网关安全边界实验¶
生成时间:2026-06-13T20:30:00+08:00
数据分类:synthetic_internal_demo。样例为合成工具、合成用户和合成输出,用于验证工具网关 contract,不代表真实员工、客户、合同或系统记录。
实验定位¶
这个实验验证 MCP / Connector 不能直接暴露给 Agent 自由调用。真实工具进入 runtime 前,必须先经过统一 Tool Gateway,在代码层完成 allowlist、schema hash、权限范围、审批、外连边界、输出净化和审计记录。
汇总结果¶
- Case 数:9
- 通过数:9
- 失败数:0
- 通过率:100%
| Case | 期望 | 实际 | 结果 | 说明 |
|---|---|---|---|---|
allow_readonly_docs_search |
allow | allow | pass | 只读 docs.search 在 team scope、schema hash 匹配时允许执行。 |
deny_unknown_dynamic_tool |
deny | deny | pass | 动态出现但未在 allowlist 固定的工具必须拒绝。 |
deny_schema_hash_mismatch |
deny | deny | pass | 工具 schema 漂移或被替换时,即使 tool_id 相同也必须拒绝。 |
deny_scope_violation |
deny | deny | pass | team 用户不能直接调用 finance scope 的预算查询工具。 |
require_approval_for_r4_merge |
require_approval | require_approval | pass | R4 merge 类高风险动作无人工确认时不能直接执行。 |
allow_r4_merge_after_approval |
allow | allow | pass | 同一 R4 工具在 schema、scope 和人工确认都满足后才允许执行。 |
downgrade_r3_write_to_draft_only |
draft_only | draft_only | pass | CRM 正式状态变更先降级为草稿路径,不让 agent 直接写源系统。 |
deny_private_metadata_egress |
deny | deny | pass | fetch 类工具不能访问云元数据、内网或非 allowlist 域名。 |
sanitize_sensitive_output_and_warn_prompt_injection |
allow | allow | pass | 工具输出进入模型和审计前必须脱敏,并标记 prompt injection 文本。 |
当前结论¶
- Tool Gateway 必须是 MCP / Connector 之前的硬边界,不能依赖提示词或模型自觉遵守权限。
- schema hash 固定能拦住动态工具列表、工具描述漂移和错误版本工具被调用。
- R3/R4 写操作需要拆开:可撤销、可 review 的动作先走 draft-only;合并、付款、删除、外发等 R4 动作必须等待人工确认。
- 工具输出进入模型前必须先净化;审计日志也不能保存原始 token、cookie、password 或 private key。
- URL / egress 检查需要前置,否则 fetch 类工具很容易变成 SSRF 或内部元数据探测入口。
当前没证明什么¶
- 这不是源系统权限模型实现;真实 GitHub、财务、CRM、企微仍要按各自系统权限二次校验。
- 这不是完整 MVC;它只是 Tool Policy 和审计层的最小 safety harness。
- 这没有覆盖并发、限流、timeout、OAuth token 轮换、审批消息回调和真实 MCP server。
已完成的后续接入¶
SearchConnector 已新增本地 Tool Gateway adapter,把 context.search、context.get_document、context.report_gap 三个检索工具纳入 schema hash、scope 和输出过滤链路。详见:SearchConnector Tool Gateway。
Knowledge Card Tool Gateway 已把 reviewed/promoted knowledge card 的 search、reindex 和本地 reindex queue 纳入同一安全边界。详见:Knowledge Card Tool Gateway。
External Connector Action Gateway 已把合成企微、GitHub 和业务系统 action 纳入同一边界,验证外部响应不能直接进入模型,允许执行或 draft-only 后只写安全 writeback event。详见:External Connector Action Gateway。
Connector Callback Ledger 继续验证外部系统回调进入 Framework 前的签名、时间窗、必填字段、幂等和安全 ledger 边界。详见:Connector Callback Ledger。
下一步¶
- 把真实企微通讯录、消息投递和回调 adapter 接到 External Connector Action Gateway 与 Connector Callback Ledger,而不是绕过 Tool Gateway。
- 扩展 permission leak test:审计事件、worker retry 事件和真实增量 adapter 状态不能泄漏无权限对象。
- 增加真实 MCP server adapter 的 contract test,验证 tool schema、timeout、错误码和输出 schema。
- 把审批请求与企微/Web runtime 打通,让
require_approval不只是本地决策,而能进入真实人工确认流。