§ DOCUMENTATION

Runtime-Guardrails

Agentenspezifische Richtlinien zur Werkzeug-Aufrufsteuerung, PII- und Injection-Scan von Werkzeugausgaben sowie Agent-zu-Agent-Credential-Authentifizierung — Durchsetzung, die zur Aufrufzeit greift, nicht erst bei der Richtliniendefinition.

§ 01

Die zwei Laufzeit-Richtlinientypen

Execlave ergänzt zwei neue Richtlinientypen, die die Agentenausführung zur Laufzeit kontrollieren — nicht erst bei der Trace-Aufnahme. Beide werden über POST /api/v1/policies mit dem entsprechenden policyType-Wert erstellt.

policyType	Was geschützt wird	Wann aktiv
tool_invocation	Welche Werkzeuge ein Agent aufrufen darf — Erlaubnis/Sperre nach Werkzeugname	Vor der Werkzeugausführung
tool_output_scan	Die Ausgabe, die ein Werkzeug zurückgibt — gescannt auf PII und Prompt-Injection	Nach der Werkzeugrückgabe, bevor der Agent sie sieht

Beide Typen erfordern, dass das Feature-Flag FF_RUNTIME_GUARDRAILS in Ihrer Backend-Umgebung gesetzt ist. Das Flag ist standardmäßig deaktiviert — das bestehende Verhalten bleibt vollständig erhalten, solange es fehlt.

§ 02

tool_invocation — Werkzeugaufrufe erlauben/sperren

Eine tool_invocation-Richtlinie ist eine agentenspezifische Erlaubnis-/Sperrliste für die MCP-Werkzeuge, die der Agent zur Laufzeit aufrufen darf. Execlave wertet die Richtlinie vor der Werkzeugausführung aus — wenn das Werkzeug auf der Sperrliste steht oder in der Erlaubnisliste fehlt (je nach Ihrer Standardaktion), wird der Aufruf blockiert und ein Audit-Ereignis erfasst. Es findet keine Werkzeugausführung statt.

curl -X POST https://api.execlave.com/api/v1/policies \  -H "Authorization: Bearer $EXECLAVE_API_KEY" \  -H "Content-Type: application/json" \  -d '{    "name": "Restrict data-exfil tools for research-agent",    "policyType": "tool_invocation",    "enforcementMode": "hard_block",    "ruleDefinition": {      "agentId": "agt_01j...",      "allow": ["web_search", "read_file"],      "deny":  ["send_email", "upload_file", "execute_code"]    }  }'

Die ruleDefinition akzeptiert ein allow-Array, ein deny-Array und optional eine agentId, um die Richtlinie auf einen bestimmten Agenten zu beschränken. Werkzeuge auf der Sperrliste werden bedingungslos blockiert. Werkzeuge, die in keinem der Arrays aufgeführt sind, erben die Standardaktion der Richtlinie.

§ 03

tool_output_scan — PII & Injection-Prüfung

Eine tool_output_scan-Richtlinie fängt den Wert ab, den ein Werkzeug zurückgibt, bevor er zum Agenten gelangt. Execlave delegiert den Scan an den Processing-Service — dieselben Detektoren, die von Injection Detection und PII Detection verwendet werden, über die Endpunkte /scan/pii und /scan/injection.

Wenn PII erkannt wird und pii_action auf redact gesetzt ist, werden die sensiblen Textstellen ersetzt, bevor die Ausgabe den Agenten erreicht. Wenn Injection erkannt wird und enforcementMode: "hard_block" gilt, wird die Ausgabe vollständig unterdrückt und ein Block-Audit-Ereignis erfasst.

Der Scan ist latenzbegrenzt. Wenn der Processing-Service nicht verfügbar ist, protokolliert Execlave eine Warnung und lässt die Ausgabe durch, anstatt den Agenten zu blockieren — ein Processing-Ausfall blockiert Workloads nicht hart.

curl -X POST https://api.execlave.com/api/v1/policies \  -H "Authorization: Bearer $EXECLAVE_API_KEY" \  -H "Content-Type: application/json" \  -d '{    "name": "Scan DB-query output for PII before agent sees it",    "policyType": "tool_output_scan",    "enforcementMode": "hard_block",    "ruleDefinition": {      "scan_pii": true,      "scan_injection": true,      "pii_action": "redact"    }  }'

§ 04

A2A-Credential-Authentifizierung

Wenn ein Agent einen anderen aufruft, kann Execlave verlangen, dass der aufrufende Agent seinen verifizierbaren Credential vorlegt, bevor der nachgelagerte Agent fortfährt. Dies wird über das Feature-Flag FF_A2A_AUTH gesteuert (standardmäßig deaktiviert).

Der verwendete Credential ist der exe_agt_-Credential, der über Agent Identity ausgestellt wird. Bei POST /api/v1/agents/authorize verifiziert Execlave den Agent-Credential des Aufrufers und erfasst eine a2a.authorize-Audit-Entscheidung — Gewährung oder Ablehnung des Agent-zu-Agent-Aufrufs mit vollständigem Nachweispfad.

A2A-Auth ist additiv: Der aufrufende Agent benötigt weiterhin einen gültigen API-Key oder JWT für den allgemeinen API-Zugriff. Der exe_agt_-Credential ergänzt diese Basis um eine verifizierbare Agentenidentität.

§ 05

Runtime-Guardrails aktivieren

Beide Runtime-Guardrail-Funktionen werden durch Backend-Umgebungsflags gesteuert. Setzen Sie diese in Ihrer Backend-.env oder Deployment-Konfiguration. Wenn ein Flag fehlt oder auf false gesetzt ist, ist die entsprechende Funktion inaktiv und das bisherige Verhalten bleibt exakt erhalten.

Umgebungsvariable	Wirkung wenn aktiviert
FF_RUNTIME_GUARDRAILS	Aktiviert die Richtlinientypen tool_invocation und tool_output_scan
FF_A2A_AUTH	Aktiviert A2A-Credential-Verifikation auf /api/v1/agents/authorize

Die beiden Flags sind unabhängig — Sie können Werkzeugaufruf-Steuerung und Ausgaben-Scan aktivieren, ohne A2A-Auth zu aktivieren, und umgekehrt.

§ 06

Häufig gestellte Fragen

Was passiert, wenn der Processing-Service während eines Tool-Output-Scans nicht erreichbar ist?

Execlave versagt sicher. Wenn der Processing-Service (/scan/pii oder /scan/injection) nicht erreichbar ist, protokolliert Execlave eine Warnung und lässt den Tool-Output zum Agenten durch, anstatt ihn hart zu blockieren. So verhindert ein Ausfall des Processing-Services, dass Agent-Workloads zum Stillstand kommen. Die Warnung wird im Audit-Log erfasst, damit Sie beim Incident-Review ungeprüfte Ausgaben identifizieren können.

Kann ich in derselben tool_invocation-Richtlinie manche Werkzeuge erlauben und andere verbieten?

Ja. Die ruleDefinition einer tool_invocation-Richtlinie akzeptiert eine Erlaubnisliste und eine Sperrliste. Werkzeuge auf der Sperrliste werden unabhängig von der Erlaubnisliste blockiert. Werkzeuge, die auf keiner der beiden Listen stehen, erben die in der Richtlinie definierte Standardaktion — erlauben oder verbieten, je nach Ihrer Konfiguration. So können Sie eine präzise Erlaubnisliste, eine grobe Sperrliste oder eine Kombination aus beidem erstellen.

Ersetzt A2A-Authentifizierung die reguläre API-Key-Authentifizierung für Agent-zu-Agent-Aufrufe?

Nein — A2A-Authentifizierung ist eine zusätzliche Schicht über dem bestehenden Credential-System. Wenn FF_A2A_AUTH aktiviert ist, verlangt Execlave vom aufrufenden Agenten, seinen exe_agt_-Credential (ausgestellt über Agent Identity) am Endpunkt /api/v1/agents/authorize vorzuweisen. Der Aufrufer benötigt weiterhin einen gültigen API-Key oder JWT für den allgemeinen API-Zugriff. A2A-Auth ergänzt die Autorisierungsentscheidung um eine verifizierbare Agentenidentität und erfasst ein a2a.authorize-Audit-Ereignis.

Sind die Flags FF_RUNTIME_GUARDRAILS und FF_A2A_AUTH unabhängig voneinander?

Ja. FF_RUNTIME_GUARDRAILS steuert die Richtlinientypen tool_invocation und tool_output_scan. FF_A2A_AUTH steuert die A2A-Credential-Authentifizierung. Sie können beide unabhängig voneinander aktivieren. Beide sind standardmäßig deaktiviert — wenn ein Flag deaktiviert ist, ist das entsprechende Verhalten nicht aktiv und das bisherige Verhalten bleibt vollständig erhalten. Setzen Sie beide auf true in Ihrer Backend-Umgebung, um die vollständige Runtime-Guardrail-Suite zu aktivieren.