§ DOCUMENTATION
Agent Governance Suite
Gestufte Autonomie, Echtzeit-Kostenkontrolle, eine Agentenregistrierung, Berechtigungs-Drift-Erkennung, MCP-Tool-Supply-Chain-Governance, Eval-zu-Richtlinien-Vorschläge und Datenzugriffs-Lineage — die Kontrollen, die Execlave zu einer KI-Agent-Management-Plattform machen.
Jede Funktion auf dieser Seite ist additiv und rückwärtskompatibel. Jede wird hinter einem organisationsweiten Feature-Flag veröffentlicht und schrittweise ausgerollt, sodass die Aktivierung einer Funktion das Verhalten Ihrer bestehenden Agenten, Richtlinien oder SDK-Aufrufe nie verändert.
Gestufte Governance-Vorlagen
Deklarieren Sie ein einziges autonomy_level pro Agent, und Execlave wendet ein sorgfältig zusammengestelltes Paket von Kontrollen für diese Stufe an. Jede Richtlinie, die nicht zur Stufe passt, wird als transparente “Stufenüberschreibung” mit Prüfpfad gekennzeichnet — uneinheitliche Governance ist die häufigste Ursache für das Scheitern von Agentenprojekten, daher erhält jede Stufe genau die Kontrollen, die sie tatsächlich benötigt.
| Stufe | Zweck | Repräsentative Kontrollen |
|---|---|---|
observe | Nur-Lese-Zugriff, leichtgewichtig | Injection-Scan, PII-Zugriff (Warnung) |
advise | Nur-Lese-Zugriff + Qualitätsgates | + Qualitätsschwellenwert, Ausgabe-Klassifikator |
act_with_approval | Schreibzugriff, menschlich genehmigt | + Aktionsgenehmigung, Zugriffskontrolle (Blockierung) |
autonomous | Schreibzugriff + Schutzmaßnahmen | + Kosten- und Budgetobergrenzen, Limits für externe Aufrufe & Datensatzanzahl |
# Pythonexe.register_agent(agent_id="support-bot", autonomy_level="act_with_approval") // TypeScriptexe.registerAgent({ agentId: 'support-bot', autonomyLevel: 'act_with_approval' });Real-Time Cost Circuit Breaker
1m / 1h / 1d / 1mo Fenster fest. Burn-Rate-Alarme warnen Sie, bevor eine Obergrenze erreicht wird. Sollte der Cache, der die Zähler unterstützt, nicht verfügbar sein, öffnet der Schalter im Fehlerfall, sodass er legitimen Datenverkehr nie blockiert.POST /api/v1/cost-budget-rules{ "scope": "agent", // org | agent | user | workspace "scopeId": null, // null = applies per-entity (per agent here) "window": "1h", // 1m | 1h | 1d | 1mo "capUsd": 10, // dollars "action": "block", // warn | block | pause_agent "warningThresholdPct": 80, "burnRateAlertEnabled": true}| Aktion | Verhalten |
|---|---|
warn | Zeigt die Regel in Warnungen an; Anfrage wird fortgesetzt. |
block | Verweigert die Anfrage und protokolliert cost_circuit_breaker.tripped. |
pause_agent | Blockiert und markiert den Agenten zur Pausierung. |
Agenten-Registry & Lebenszyklus
Ein vollständiges Inventar jedes Agenten mit seinem Lebenszyklusstatus (draft → testing → production → deprecated → retired), Versionshistorie mit Diff und Ein-Klick-Rollback sowie automatische Erkennung von Shadow-Agenten (Aufrufe der API ohne Registrierung) und verwaisten Agenten (registriert, aber inaktiv). Die Versionierung erfolgt automatisch bei jedem Erstellen/Aktualisieren — Ihre bestehenden Aufrufe bleiben unverändert. Optional können Deployments aus der CI markiert werden:
# Python — optional, additiveexe.report_agent_metadata(agent_id="bot-1", version_label="v2.1.0", git_commit="abc123") // TypeScriptexe.reportAgentMetadata({ agentId: 'bot-1', versionLabel: 'v2.1.0', gitCommit: 'abc123' });Berechtigungs-Drift-Erkennung
Erfassen Sie eine Baseline der effektiven Berechtigungen jedes Agenten und lassen Sie Execlave kontinuierlich auf Drift überwachen — prüfungstaugliche Nachweise für Least-Privilege-Compliance gemäß HIPAA, DSGVO und CCPA.
| Drift-Typ | Was erkannt wird |
|---|---|
privilege_added | Neues Tool, neue Datenquelle oder neue Domain seit der Baseline (kritisch bei Lösch- oder PII-Berechtigungen). |
privilege_removed | Eine Berechtigung ist verschwunden — meist beabsichtigt. |
unused_detected | Gewährt, aber innerhalb von N Tagen nie aufgerufen — übermäßige Berechtigung. |
anomalous_access | Der Agent hat auf eine Ressource zugegriffen, die er zuvor noch nie genutzt hat. |
Offene Ereignisse erscheinen im Drift-Dashboard und fließen in Compliance-Berichte ein; hohe und kritische Ereignisse können Ihre konfigurierten Kanäle benachrichtigen.
Eval-zu-Richtlinien-Vorschläge
Beobachtungen — Kostenspitzen, wiederholte PII-Lecks, neue externe Domains, Eval-Fehler — werden zu vorgeschlagenen Richtlinien, bewertet nach Konfidenz. Sie behalten die Kontrolle: Überprüfen Sie Begründung und Nachweise, dann akzeptieren, anpassen-und-akzeptieren oder ablehnen. Nichts wird jemals automatisch angewendet, und jede Entscheidung wird protokolliert. Übermitteln Sie eigene Eval-Fehler über POST /api/v1/policy-suggestions/eval-failure.
Data Access Lineage
// TypeScript — annotate what data a run touched (metadata only, never values)trace.dataAccess = [{ source: 'postgres://prod/customers_db', resourcePath: 'users', fields: ['email', 'phone'], classifications: ['pii.email', 'pii.phone'], recordCount: 42, purpose: 'answer support question',}];MCP Tool Integrity
Pinnen Sie eine agentenspezifische Baseline genehmigter (server, tool, descriptor hash)-Tupel und vergleichen Sie den Live-Deskriptor bei jedem Enforce-Aufruf. Ein geänderter Hash, ein nicht genehmigtes Tool oder ein vergifteter Descriptor wird blockiert (oder zur Genehmigung weitergeleitet) sobald es auftritt — die Verteidigung, die für Tool Poisoning, den wirkungsstärksten MCP-Angriff des Jahres 2026, konzipiert wurde. Aktiviert mit dem tool_integrity-Richtlinientyp; durch das FF_TOOL_INTEGRITY-Flag gesteuert und fail-open, sodass es bei einem internen Fehler niemals legitimen Datenverkehr blockiert.
| Ereignistyp | Was erkannt wird | Schweregrad |
|---|---|---|
unapproved_tool | Ein Tool oder Server, der nicht in der gepinnten Baseline vorhanden ist, wurde präsentiert. | high → critical |
descriptor_drift | Der Descriptor-Hash eines gepinnten Tools hat sich seit der Baseline geändert. | high → critical |
poisoning_suspected | Eine Beschreibung entsprach Injection- / Exfiltrations-Mustern. | critical |
unused_tool | Ein Baseline-Tool wurde im Beobachtungszeitraum nie in einem Tool-Aufruf gesehen. | low |
# Python — pin the approved MCP tool descriptors for an agentexe.report_tool_baseline(agent_id="ops-agent", descriptors=[ exe.tool_descriptor(server="github", tool="read_file", descriptor=tool_def),]) // TypeScript — enforce diffs the live descriptor against the pinned baselineawait exe.enforcePolicy({ agentId: 'ops-agent', toolDescriptors: [exe.toolDescriptor({ server: 'github', tool: 'read_file', descriptor: liveDef })],}); // throws ToolIntegrityError if the descriptor drifted or the tool is unapprovedDrift-Ereignisse erscheinen im /dashboard/governance/tool-integrity-Dashboard mit einem Ein-Klick-Re-Pin nach einem geprüften Update und fließen in die OWASP-Agentic Tool-Missbrauch-Posture in Compliance-Berichten ein. Siehe die Tool Integrity Übersicht für das Bedrohungsmodell und den Vergleich mit MCP-Gateways und Prompt-Firewalls.
Incident Response & SIEM
Richtlinienverstöße sind erstklassige Trace-Status, die in Ihren Security-Stack gestreamt werden: Splunk (HEC + SPL Saved-Search-Paket), Microsoft Sentinel (Logs Ingestion API + KQL Analytics-Regeln) oder ein beliebiges OTLP-Backend. Das vollständige Detect-Triage-Contain-Evidence-Runbook ist im Incident-Response-Workflow dokumentiert.
IAM Binding — Workload Identity Federation
Federieren Sie die Agentenidentität aus Microsoft Entra ID: Ein Azure-Workload tauscht sein Entra-ausgestelltes Token gegen ein kurzlebiges Execlave-Agenten-Credential aus, sodass kein langlebiges Execlave-Secret mit dem Agenten ausgeliefert wird und Ihr IdP- Lebenszyklus die Ausstellung steuert. Setup, der Exchange-Flow und das Sicherheitsmodell sind in IAM Binding dokumentiert.
Rollout & Verfügbarkeit
Diese Funktionen sind pro Organisation freigeschaltet und werden im Rahmen eines schrittweisen Rollouts aktiviert. Wenn ein Governance-Dashboard oder eine API 404 zurückgibt, ist die Funktion für Ihre Organisation noch nicht aktiviert — kontaktieren Sie den Support, um am Rollout teilzunehmen. SDK-Ergänzungen (autonomy_level, report_agent_metadata, dataAccess) können jetzt sicher übernommen werden: Ältere Server ignorieren sie einfach.