/<org-slug>/audits (thanh bên → analyze → audits), được kiểm soát bởi các quyền audits:read / audits:write.
Cách một lần chạy hoạt động
Mỗi lần chạy có hai lớp — nền xác định và điều tra agentic.1. Lượt kiểm tra chính sách (xác định)
Trước khi bất kỳ model nào chạy, audit thực hiện một danh mục nhỏ kiểm tra chính sách SQL trên cửa sổ: các truy vấn tổng hợp có giới hạn đánh dấu các mẫu xấu đã biết và báo cáo bao nhiêu sự kiện / phiên nào trùng khớp — không bao giờ là văn bản đã trùng khớp. Danh mục bao gồm:- Rò rỉ bí mật / thông tin xác thực trong tải trọng sự kiện — AWS access keys,
sk-…API keys, PEM private keys, JWT / bearer tokens, vàKEY=…credential assignments. - Dấu hiệu injection prompt — “ignore previous instructions”, “reveal your system prompt”, và các dấu hiệu tương tự.
- PII — các số có hình dạng SSN (heuristic).
- Từ chối quyền tool và vòng lặp tool-call chạy trốn.
policy) luôn xuất hiện (chúng không bao giờ bị cắt bởi giới hạn mỗi lần chạy), và chúng được giao cho agent AI dưới dạng những dẫn chứng khởi đầu. Vì lớp này không cần model, audit vẫn tạo ra những tín hiệu bảo mật quan trọng nhất ngay cả khi agent AI không khả dụng.
2. Điều tra agentic (AI)
Audit sau đó chạy một agent đáng tin cậy tự chủ (dịch vụ Agents SDK Claude giống như cái cung cấp trợ lý dashboard, với prompt cụ thể cho audit). Với phạm vi của audit (agent đã chọn × môi trường) và cửa sổ thời gian, agent:- chạy các truy vấn SQL chỉ đọc trên bảng phân tích của bạn,
- đọc một số phiên transcript đại diện,
- tùy chọn viết và chạy các script Python ngắn trong sandbox in-pod bị khóa (không network, không filesystem access, secrets đã scrubbed) cho phân tích mà SQL không thể biểu diễn — clustering errors, computing distributions, sweeping payloads nó đã fetch,
- và ghi lại mỗi cải tiến có bằng chứng tốt mà nó tìm thấy.
- một khuyến nghị (thay đổi cụ thể cần thực hiện — một tweak prompt, một fix schema tool, một retry policy, một guardrail, coverage eval nhiều hơn),
- một tác động dự kiến và ước tính effort (low / medium / high),
- một magnitude —
big(một operator nên được thông báo),medium(thuộc về report lần chạy), hoặcsmall(dashboard context), - một fingerprint ổn định (từ category + scope của issue, không sessions của lần chạy này) để vấn đề tương tự được theo dõi từ lần chạy này sang lần chạy khác ngay cả khi bằng chứng thay đổi,
- và, khi một watcher xác định đơn giản có thể bắt sự lặp lại, một alert được đề xuất bạn có thể tạo trong một lần nhấp.
Lớp AI là optional-but-recommended. Nếu không có agent AI được định cấu hình cho pipeline audit, các lần chạy vẫn thực hiện, vẫn duy trì các findings chính sách, và thành thật báo cáo “analysis unavailable” cho lớp agentic thay vì im lặng trôi qua.
Chế độ lỗi
Cải tiến được phân loại vào catalog chế độ lỗi bền chặt của tổ chức bạn (hoặc đề xuất một chế độ mới). Modes cung cấp một danh tính ổn định các mẫu trên các lần chạy và theo dõi recurrence horizon dài.Vòng đời triage
Trên trang finding (/audits/<id>/findings/<finding-id>):
| Hành động | Hiệu ứng |
|---|---|
| acknowledge | Giữ cho finding hiển thị nhưng giảm nửa ưu tiên của nó. |
| resolve | Đánh dấu đã được sửa. Nếu mẫu thực sự quay trở lại sau này, nó tái mở dưới dạng new — vì vậy một regression là rõ ràng, không được im lặng gộp vào lịch sử. |
| mute / dismiss | Durable suppression: fingerprint của mẫu được ghi nhớ và không bao giờ xuất hiện lại, ngay cả trên các lần chạy. Sử dụng mute cho “known, accepted”; dismiss cho “not useful”. |
| reopen | Xóa suppression / resolution và xếp hạng mẫu lại. |
top_k) trên các cải tiến agentic. Policy findings bỏ qua giới hạn (chúng liên quan đến bảo mật và luôn được hiển thị). Bất cứ thứ gì bị cắt bởi giới hạn được tính trong thống kê của lần chạy — không có gì được im lặng bỏ qua.
Lập lịch
- Cadence (
schedule_interval_secs): từng giờ đến hàng tuần; daily là mặc định. Audits được cố ý là thô hơn alerts — một điều tra agentic quét cả cửa sổ và chạy trong vài phút. - Window: hoặc là một lookback rolling cố định (ví dụ “mỗi lần chạy quét 7 ngày cuối cùng”) hoặc since-last-run (mặc định) — mỗi lần chạy chọn từ nơi lần chạy thành công trước đó kết thúc, với một overlap nhỏ để các sự kiện biên không bao giờ bị bỏ lỡ.
- Lần chạy tiếp theo được lên lịch một interval đầy đủ sau khi lần chạy trước đó hoàn thành, vì vậy một lần chạy chậm không bao giờ xếp chồng một lần chạy đồng thời thứ hai cùng một audit.
- Run now trên trang audit làm cho nó đến hạn ngay lập tức.
Lựa chọn model
Khi tạo audit, bạn có thể chọn model nào điều tra sử dụng, từ danh sách các model mà operator của bạn đã định cấu hình cho dịch vụ agent. Với một model được định cấu hình, picker hiển thị nó dưới dạng một chú thích; với nhiều, bạn chọn. Để nó unset sử dụng mặc định được định cấu hình.Thông báo
Khi một lần chạy xuất hiện new findings, audit thông báo cho các kênh được định cấu hình của tổ chức bạn — cổngalerts.enabled_channels giống nhau và cài đặt mà pipeline alerts sử dụng:
- Slack — một tóm tắt các mục new significant (
big) với deep link. - Email — một audit report được thiết kế liệt kê các cải tiến new (severity cao nhất, khuyến nghị mỗi item, deep link), được gửi khi audit có một email channel đính kèm và có ít nhất một finding new.
Tham chiếu cấu hình
Các định nghĩa audit được quản lý trong dashboard (/audits/new) hoặc qua API. Cài đặt mỗi audit bao gồm cadence lịch trình và window, phạm vi ({"environments": [...], "agent_ids": [...]}), sensitivity (low / medium / high), các kênh thông báo, giới hạn findings mỗi lần chạy (top_k), và model (qua llm_budget.model). Cài đặt server cấp operator (timeouts, sandbox, URL dịch vụ agent) được tài liệu trong deployment.md.
API
Tất cả endpoints được scoped org và tuân theo auth bearer-key tiêu chuẩn (xem api-keys.md).| Endpoint | Permission | Mục đích |
|---|---|---|
GET /audits · POST /audits | audits:read / audits:write | Liệt kê / tạo định nghĩa audit. |
GET / PUT / DELETE /audits/:id | read / write / write | Kiểm tra, chỉnh sửa, xóa một audit. |
POST /audits/:id/run | audits:write | Làm audit đến hạn ngay lập tức. |
GET /audits/:id/runs | audits:read | Lịch sử chạy (window, status, stats, finding counts). |
GET /audits/findings | audits:read | Org-wide findings, có thể lọc theo audit_id, status; sắp xếp theo ưu tiên. |
GET /audits/findings/:fid | audits:read | Chi tiết finding đầy đủ (khuyến nghị, bằng chứng, ưu tiên). |
POST /audits/findings/:fid/status | audits:write | Triage: {"action": "ack" | "mute" | "dismiss" | "resolve" | "reopen" | "assign"}. |

