关键词

AI治理安全策略Cerbos访问控制策略即代码

项目简介

GlassTape AI策略生成MCP服务器是一个开源应用,旨在帮助开发者和安全团队将自然语言编写的AI安全要求,自动转换为结构化的Cerbos YAML策略。这些策略经过自动化验证、测试和红队分析,确保合规性和安全性,为AI代理和应用提供强大的策略即代码(Policy-as-Code)治理能力。

主要功能点

  • 自然语言转策略: 使用简单的英语描述安全需求,自动生成Cerbos策略,支持使用Claude或AWS Q。
  • 自动化验证与测试: 利用Cerbos CLI(命令行工具)对生成的策略进行语法检查和逻辑测试,确保策略的有效性。
  • 红队分析: 对策略执行6点安全分析,识别潜在的安全漏洞,并提供自动改进建议。
  • 模板库: 提供多种内置策略模板,涵盖财务、医疗、AI安全等领域,加速策略开发。
  • 主题治理: 支持基于内容的40多种主题分类和安全评级,实现细粒度的策略控制。
  • 合规性支持: 内置SOX、HIPAA、PCI-DSS和欧盟AI法案等合规框架模板,简化合规策略的创建。

安装步骤

  1. 安装Cerbos命令行工具 (必需):
    • macOS用户请运行: 'brew install cerbos/tap/cerbos'
    • Linux用户请运行: 'curl -L https://github.com/cerbos/cerbos/releases/latest/download/cerbos_Linux_x86_64 -o /usr/local/bin/cerbos && chmod +x /usr/local/bin/cerbos'
    • 安装完成后,请通过 'cerbos --version' 验证是否成功安装。
  2. 安装GlassTape策略构建器:
    • 首先,克隆仓库到您的本地: 'git clone https://github.com/glasstape/glasstape-policy-builder-mcp.git'
    • 然后,进入项目目录: 'cd glasstape-policy-builder-mcp/agent-policy-builder-mcp'
    • 执行基础安装: 'pip install -e .'
    • 可选: 如果您的MCP客户端不支持LLM(大型语言模型)功能,需要服务器端进行自然语言处理,请根据您使用的LLM提供商进行额外安装:
      • Anthropic Claude支持: 'pip install -e ".[anthropic]"'
      • OpenAI GPT支持: 'pip install -e ".[openai]"'
      • 或安装所有LLM提供商支持: 'pip install -e ".[llm]"'

MCP客户端配置

MCP服务器通过JSON-RPC协议与您的AI助手或IDE(如Claude Desktop, Cursor, Zed)等MCP客户端通信。您需要配置客户端以连接到此服务器。

以下是一个Claude Desktop客户端的配置示例(配置路径通常是 '~/Library/Application Support/Claude/claude_desktop_config.json')。请将以下JSON片段添加到您的客户端配置文件中:

{
  "mcpServers": {
    "glasstape-policy-builder": {
      "command": "glasstape-policy-builder-mcp",
      "args": [],
      "env": {
        // 以下为可选配置,仅当您的MCP客户端无法直接处理自然语言请求时启用。
        // 服务器端LLM模式出于安全考虑不被推荐,优先使用客户端LLM。
        // "LLM_PROVIDER": "anthropic",
        // "ANTHROPIC_API_KEY": "您的Anthropic API Key" 
      }
    }
  }
}
  • 'glasstape-policy-builder': 这是您为该MCP服务器定义的名称,客户端将使用此名称来识别和连接。
  • 'command': 指定启动MCP服务器的可执行命令。在您完成上述安装后,'glasstape-policy-builder-mcp' 命令将自动可用。
  • 'args': 启动命令的额外参数,此处为空数组表示没有额外参数。
  • 'env': 环境变量,如果您的MCP客户端不具备LLM处理能力,或者您需要通过服务器端LLM进行自然语言处理,可以在此配置LLM提供商及其API Key。但请注意,为保障安全性和合规性,官方强烈建议使用客户端LLM模式。

对于其他MCP兼容的IDE(如Cursor或Zed),请查阅其文档,在相应的MCP设置或插件配置中添加类似的服务器信息。配置完成后,请重启您的MCP客户端以应用更改。

基本使用方法

配置完成后,您可以在您的MCP客户端(例如Claude Desktop或兼容IDE)中直接使用以下工具:

  • 生成策略: 通过提供自然语言描述,让客户端调用 'generate_policy' 工具,服务器将返回生成的Cerbos YAML策略及其测试套件。

    Create a payment policy for AI agents:
- Allow payments up to $50
- Block sanctioned entities
- Limit to 5 transactions per 5 minutes

  • 列出可用模板: 查询内置的策略模板,获取灵感或快速开始新策略的编写。

    list_templates

  • 验证策略: 提交Cerbos YAML策略进行语法和结构验证。

    validate_policy with policy_yaml: "<您的Cerbos YAML策略内容>"

  • 建议改进: 对现有Cerbos YAML策略进行安全分析,并获取改进建议。

    suggest_improvements with policy_yaml: "<您的Cerbos YAML策略内容>"

信息

分类

开发者工具

访问项目