Перейти до основного вмісту
Кожен виклик інструменту проходить перевірку політики перед виконанням. Перевірка порівнює виклик з вашими правилами та вирішує: дозволити, запитати або заблокувати.

Позиція за замовчуванням

Дві позиції залежно від того, чи цілі записи — це додаток, репозиторій або сховище (з відомою областю) або необроблена файлова система комп’ютера. Kazzle поставляється з розумними налаштуваннями за замовчуванням, щоб ШІ працював одразу.
КатегоріяЗа замовчуваннямЕфект
Команди терміналудозволитиУсі команди дозволені, крім винятків
Навігація браузеромдозволитиУсі URL-адреси дозволені; додайте користувацькі правила для обмеження
Записи файлів (додаток/репозиторій/сховище)дозволитиЗаписи обмежені відомим корінням, завжди дозволені
Записи файлів (комп’ютер)дозволити, крім чутливих шляхів.env*, .ssh/*, *.pem, *.key заблоковані
Деструктивні діїзапитатиВидалення файлів, публікація/видалення додатків, видалення баз даних, ризиковані SQL
Зміни безпекизапитати (завжди, одноразово)Не можуть бути автоматично схвалені через “Завжди дозволити”
Записи до додатків, репозиторіїв і сховищ дозволені за замовчуванням, оскільки їхні шляхи обмежені відомим корінням. Записи на комп’ютер дозволені, крім чутливих шляхів, зазначених вище.

Типи правил

Команди терміналу

Правила відповідають префіксу команди. git push відповідає git push origin main. Винятки за замовчуванням, які потребують схвалення: git push та sudo. Блокування за замовчуванням: git push --force.

URL-адреси браузера

Навігація браузером дозволена за замовчуванням на всіх URL-адресах. Додайте користувацькі правила на полі браузера url, щоб обмежити або потребувати схвалення для конкретних сайтів.

Шляхи файлів

Правила відповідають шаблону glob. *.pem відповідає файлам сертифікатів будь-де. Блокування за замовчуванням при записах на комп’ютер: .env*, .ssh/*, *.pem, *.key. Правила шляхів файлів можуть бути обмежені конкретним комп’ютером. Правило з “Усіма комп’ютерами” застосовується скрізь. Правило, обмежене одним комп’ютером, застосовується лише тоді, коли ШІ працює на цій машині. Правила, специфічні для комп’ютера, мають пріоритет над глобальними.

Схвалення інструментів

Окремі інструменти та дії можна встановити на дозволити, запитати або заблокувати. За замовчуванням fs delete, app publish, app delete та db delete запитують схвалення. Запити до баз даних (db exec) запитують схвалення для ризикованого SQL і автоматично дозволяють низькоризикові твердження.

Зміни безпеки

Зміни до самих політик або обмежень завжди потребують одноразового схвалення і ніколи не можуть бути постійно автоматично схвалені. Перегляд політик і обмежень не потребує схвалення.

Як розв’язуються правила

Коли ШІ викликає інструмент, маршрутизатор знаходить усі відповідні правила і вибирає найбільш специфічне — правила з більшою кількістю умов, що збігаються, перемагають ширші правила. Якщо два правила збігаються з однаковою специфічністю, заборона перемагає дозвіл. Користувацькі правила (з Параметрів) замінюють значення за замовчуванням з тим самим шаблоном.

Налаштування

Відкрийте Параметри > Безпека ШІ, щоб керувати правилами для кожного простору. Додавайте шаблони, змінюйте політики, обмежуйте шляхи файлів конкретними комп’ютерами. Зміни вступають у силу негайно.