信任中心
AI 能寫軟體。更難的問題是:你敢不敢批准它。
ObjectOS 為演示成功之後的採購、安全與 IT 評審而設計。它讓業務資料留在客戶控制之下,讓 Agent 的許可權在後設資料與執行時執行中保持顯式。
AI 編寫後設資料 物件、許可權、流程、工具
人 審閱 diff 業務許可權、資料訪問、審批
執行時 執行策略 UI、API、審計、MCP、動作
- 自託管
- 執行在你的 VPC、伺服器或隔離網路中
- 使用者級
- Agent 繼承登入使用者的許可權
- 可審計
- 讀、寫、工具呼叫、審批與 schema 變更
安全評審材料包
籤核之前,評審者應該拿到什麼
一個受治理的 AI 應用應當帶著架構邊界、物件許可權圖、審批策略、審計計劃、整合清單、模型路由與回滾方案一起到達。ObjectStack 後設資料的結構化設計,讓這些材料可以從同一份源定義生成。
- 部署邊界:執行時、資料庫、檔案、身份與模型分別跑在哪裡。
- 許可權圖:物件、記錄、欄位、流程、動作與 AI 工具的許可權。
- 審計計劃:對人、Agent、API 與審批分別記錄什麼。
- 變更計劃:後設資料變更如何評審、晉級與回滾。
邊界
敏感業務資料留在受控基礎設施內
ObjectOS 可以作為自託管執行時執行。除非你顯式配置外部服務,業務記錄、提示詞、檔案、審計日誌與憑據都留在你控制的基礎設施裡。
資料駐留
連線客戶控制的資料庫與儲存。ObjectOS 不要求把應用記錄複製進供應商的工作區。
無強制遙測
開源執行時不需要 license 回撥或產品遙測通道即可執行。
模型可選
按工作流與部署的敏感程度選用雲端模型、私有端點或本地模型。
許可權
AI 通過受治理的工具行動,而不是裸資料庫訪問
在 AI 工具讀寫資料之前,執行時會先評估身份、角色、行級規則、欄位規則、審批策略與動作契約。
繼承登入使用者
AI 看到的就是使用者能看到的,行動也不越出使用者許可權——除非顯式配置了經批准的服務角色。
敏感寫入先審批
退款、合同變更、升級、匯出、許可權更新這類高風險動作,都可以要求人工批准。
欄位級控制
敏感欄位可以隱藏、只讀、脫敏,或從 AI 工具暴露中排除——即便記錄本身可見。
決策面
改什麼、誰來審、跑什麼
| 評審領域 | 現已可用 | 企業版材料包 |
|---|---|---|
| 部署 | 自託管開源執行時 | VPC、私有網路、隔離部署說明 |
| 身份 | 專案身份與許可權後設資料 | SSO、SCIM、管理員角色、會話策略對映 |
| AI 治理 | MCP 工具、物件許可權、審批 | 模型路由策略與提示詞/資料邊界報告 |
| 審計 | 執行時審計設計與後設資料評審 | 可匯出的審計留存與調查工作流 |
評審清單
安全評審清單
- 每類業務資料分別存放在哪裡?
- 哪些模型端點會收到提示詞或檢索出的記錄?
- 哪些物件、欄位與動作暴露給了 AI 工具?
- 哪些寫入需要人工批准?
- 審計中如何區分使用者動作與 Agent 動作?
- 一次糟糕的後設資料變更如何回滾?
FAQ
這一頁應該回答的問題
ObjectOS 會用客戶資料訓練模型嗎?
自託管部署由客戶完全控制。雲端與企業版的資料使用以相應商業協議為準;產品方向是:除非客戶明確同意,客戶資料不進入通用模型訓練。
ObjectOS 能在無網際網路環境執行嗎?
執行時為自託管與隔離部署模式而設計。具體執行方式取決於包映象、模型路由、身份系統與客戶基礎設施。
下一步