概述
AI Agent 安全网关是面向大模型场景的智能化安全中枢,提供模型资产管理、MCP 安全防护、MCP Server 快速封装三大核心能力,助力企业实现 AI 基础设施的安全可控与高效部署。
本文将为您介绍如何快速配置 AI Agent 安全网关,整体接入流程如下:
AI Agent 安全网关作为智能体平台防护的神经中枢,具备以下典型接入场景:
模型统一接入:对企业内外部大模型 API 进行统一管理和安全防护。
MCP 封装/代理:将业务 API 封装为 MCP 服务,或代理已有的 MCP 服务,并提供安全检测能力。
部署拓扑如下:
前提条件
已登录 AI Agent 安全网关控制台 完成 个人实名认证 或 企业实名认证。
已购买 AI Agent 安全网关实例,购买时需选择对应的 VPC 和子网,根据业务实际需求确定网关实例部署位置。详情请参见 购买方式 进行实例配置。
已打通对应 VPC 的网络访问。
场景一:模型统一接入
步骤1:新建模型接入
1. 登录 AI Agent 安全网关控制台,在左侧导航栏中,选择模型 > 模型管理。
2. 在模型管理页面,单击新建模型。
3. 在新建模型接入页面,填写模型参数信息。
说明:
如果模型凭据需要认证,请先前往鉴权配置 > 凭据中新建凭据,再进行模型接入配置。
4. 单击确定,完成模型接入网关。
步骤2:新建模型 API
1. 登录 AI Agent 安全网关控制台,在左侧导航栏中,选择模型 > 模型 API。
2. 在模型 API 页面,单击新建模型 API,关联已接入的后端模型。
步骤3:设置安全规则
1. 在高级配置中,设置 token 控制、内容安全、提示词注入等安全规则。
2. 单击保存,完成模型 API 配置。配置完成后将自动生成调用路径,可提供给外部调用方使用。
步骤4:新建应用
1. 登录 AI Agent 安全网关控制台,在左侧导航栏中,选择应用。
2. 在应用页面,单击新建应用,填写应用配置信息。
3. 关联已创建的模型 API,关联时可设置流量控制和 token 控制策略。
4. 单击确定,完成应用创建。
步骤5:生成调用密钥
1. 登录 AI Agent 安全网关控制台,在左侧导航栏中,选择应用。
2. 在应用列表中,找到目标应用,单击密钥数列的生成,生成调用密钥。
3. 单击复制,并关闭弹窗。
说明:
密钥生成后不可再进行查询,请保存好 APIKey。
场景二:MCP 封装(MCP 工具防护)
步骤1:创建业务 API
您可以根据业务需要导入 API 信息,用于后续封装 MCP 服务。
1. 登录 AI Agent 安全网关控制台,在左侧导航栏中,选择 API > API 列表。
2. 在 API 列表页面,单击新建 API。
3. 在基础信息页面,填写 API 基本信息,单击下一步。
4. 在前后端配置页面,根据不同的后端服务类型,配置相关参数:
Restful:填写对应 Restful 前后端服务信息。
数据库:填写对应数据库前后端服务信息。
Mock:填写对应 Mock 测试的前后端服务信息。
5. 单击保存,完成 API 创建。
步骤2:封装 MCP
1. 登录 AI Agent 安全网关控制台,在左侧导航栏中,选择 MCP。
2. 在 MCP 页面,单击新建封装 MCP。
3. 在基础信息页面,选择当前封装 MCP 所属的应用,输入 MCP 信息。
4. 单击下一步,在 API 列表中选择需要导入的 API。
5. 单击导入工具,在高级配置中选择需要启用的检测规则和高级配置,并设置相应的处置动作。
6. 单击保存,根据请求路径进行调试。
步骤3:配置检测规则
AI Agent 安全网关支持对 MCP 安全检测规则的统一管理,包括安全检测规则、敏感检测规则和内容安全规则。
3.1 安全检测规则
1. 在左侧导航栏中,选择 MCP 安全 > 安全检测规则。
2. 在安全检测规则页面,根据实际业务需要,选择对应的规则进行配置。
3. 单击对应的规则的 MCP 规则配置,管理当前规则下的 MCP Server 配置情况。
4. 在 MCP 规则配置中,选择对应的 MCP Server 进行规则状态更改以及处置动作更改。
5. 在特殊情况下,可开启一键 ByPass,开启后当前规则下所有的应用及 MCP 不再进行相关规则的检测。
说明:
一键 ByPass 仅适用于临时应急场景,不建议长期开启。
3.2 敏感检测规则
1. 在左侧导航栏中,选择 MCP 安全 > 敏感检测规则。
2. 在敏感检测规则页面,根据实际业务需要,选择对应的规则进行配置。当前支持身份证、手机号、邮箱等关键数据字段的检测,并对敏感数据进行脱敏处理。
3. 单击对应的规则的 MCP 规则配置,管理当前规则下的 MCP Server 配置情况。
4. 在 MCP 规则配置中,选择对应的 MCP Server 进行规则状态更改以及处置动作更改。
5. 在特殊情况下,可开启一键 ByPass,开启后当前规则下所有的应用及 MCP 不再进行相关规则的检测。
说明:
一键 ByPass 仅适用于临时应急场景,不建议长期开启。
步骤4:创建应用
1. 登录 AI Agent 安全网关控制台,在左侧导航栏中,选择应用。
2. 单击新建应用,输入应用配置信息。
3. 单击创建应用,完成应用创建。创建后可关联对应的 MCP 或 API。
4. 应用创建完成后,可查看应用详情信息。
步骤5:查看安全日志
AI Agent 安全网关默认提供攻击安全日志功能,详细记录安全规则被触发的时间、安全规则类型等信息。安全日志支持基于 SQL 的原始日志和统计图表两种查看方式。
1. 登录 AI Agent 安全网关控制台,在左侧导航栏中,选择安全日志。
2. 在安全日志页面,选择要检索的日志所属实例。
3. 在检索框中添加检索条件与日志时间范围,对数据进行筛选。
4. 在原始日志页签,支持对字段进行快速统计分析,无需编写查询语句即可快速查看字段值的分布、时间变化趋势及数值统计。
场景三:MCP 代理
MCP 代理场景与封装模式操作步骤基本一致,区别在于创建 MCP 时选择代理模式。具体步骤如下:
1. 登录 AI Agent 安全网关控制台,在左侧导航栏中,选择 MCP。
2. 在 MCP 页面,单击新建代理 MCP。
3. 在基础信息页面,选择当前代理 MCP 所属的应用,输入 MCP 信息。
4. 单击下一步,获取当前 MCP 协议下的工具信息。
5. 单击下一步,在高级配置中选择需要启用的检测规则和高级配置,并设置相应的处置动作。
6. 单击保存,根据请求路径进行相关调试。
