SPEC-005 — Guardrails
Escopo
Guardrails são políticas executadas sobre entrada, saída, tool calls, RAG e respostas finais. A plataforma suporta guardrails globais, por agente, por canal e por fase.
Fases
| Fase |
Entrada |
Saída |
| Input |
user_text, context |
sanitized_input, GuardrailResult |
| Tool |
ToolInvocation |
tool permitida/bloqueada |
| RAG |
query/contexto recuperado |
contexto aprovado/filtrado |
| Output |
response_text |
resposta aprovada/sanitizada/bloqueada |
| Review |
resposta + evidências |
decisão final |
GuardrailResult
Configuração Global
Configuração por Agente
Modos
| Modo |
Comportamento |
enforce |
Aplica bloqueio, máscara ou alteração. |
observe |
Registra sem bloquear. |
fail_open |
Em erro técnico, prossegue e emite NOC. |
fail_closed |
Em erro técnico, bloqueia. |
Tipos
| Tipo |
Implementação |
| Determinístico |
Regex, listas, tamanho, estrutura, regras. |
| LLM |
Classificação semântica por profile. |
| Híbrido |
Determinístico + LLM em casos ambíguos. |
Profiles LLM
Fluxo
Eventos
| Evento |
Descrição |
guardrail.started |
Execução iniciada. |
guardrail.completed |
Execução concluída. |
guardrail.blocked |
Conteúdo bloqueado. |
guardrail.masked |
Conteúdo mascarado. |
guardrail.failed |
Falha técnica. |
guardrail.observe |
Política observacional registrada. |
Códigos Base
| Código |
Fase |
Uso |
MSK |
input/output |
Mascaramento. |
VLOOP |
input |
Detecção de loop. |
PINJ |
input/output |
Prompt injection. |
REVPREC |
output |
Revisão de precisão. |
DLEX_OUT |
output |
Controle de dados e linguagem na saída. |
RAGSEC |
rag/output |
Segurança de contexto recuperado. |
Testes
| Teste |
Objetivo |
| Unitário |
Validar guardrail isolado. |
| Config |
Validar YAML e schema. |
| Integração |
Validar execução no workflow. |
| Observabilidade |
Validar eventos e traces. |
| Negativo |
Validar bloqueio. |
| Observe-only |
Validar não bloqueio. |
Requisitos Não Funcionais
| Categoria |
Requisito |
| Disponibilidade |
Componentes deployáveis expõem /health e /ready. |
| Escalabilidade |
Apps stateless escalam horizontalmente. Estado conversacional fica em repositórios externos. |
| Segurança |
Segredos são fornecidos por secret store ou Kubernetes Secrets. |
| Observabilidade |
Logs, métricas e traces usam correlação por request_id, trace_id, session_id, tenant_id e agent_id. |
| Auditabilidade |
Decisões de rota, guardrail, judge, MCP e LLM são rastreáveis. |
| Portabilidade |
Execução suportada em local, Docker Compose e Kubernetes/OKE. |
| Configuração |
Comportamento variável é controlado por .env e YAML versionado. |
Critérios de Aceite
Glossário
| Termo |
Definição |
| Agent Platform |
Plataforma composta por runtime, gateways, evaluator, templates, contratos e componentes operacionais. |
| Agent Framework |
Biblioteca/core reutilizável com contratos, guardrails, judges, memória, telemetria, providers e utilitários. |
| Agent Runtime |
Motor de execução de agentes baseado em LangGraph, estado, sessão, memória, checkpoints, roteamento e ciclo de vida. |
| Agent Gateway |
Aplicação deployável de entrada, roteamento e orquestração entre backends/agentes. |
| Channel Gateway |
Aplicação ou módulo de normalização de payloads de canais para GatewayRequest. |
| AI Gateway |
Aplicação de governança, roteamento e abstração de chamadas LLM/embedding. |
| MCP Gateway |
Aplicação de governança e roteamento de tools MCP. |
| Evaluator |
Camada de avaliação online/offline, regressão e certificação. |
| Business Context |
Conjunto de chaves canônicas de negócio: customer_key, contract_key, interaction_key, account_key, resource_key e session_key. |