Agent Policy Builder MCP

🚀 🧩 GlassTape策略構建器MCP服務器

GlassTape策略構建器是一個開源的MCP服務器，它能夠將自然語言形式的安全要求轉化為Cerbos YAML策略，並具備自動驗證、測試和紅隊分析功能。它讓安全和工程團隊能夠將AI代理和應用程序與策略即代碼框架集成，為工具調用攔截、數據訪問和模型工作流提供零信任防護。

🚀 快速開始

1. 前提條件

安裝Cerbos CLI（策略驗證必需）：

# macOS
brew install cerbos/tap/cerbos

# Linux
curl -L https://github.com/cerbos/cerbos/releases/latest/download/cerbos_Linux_x86_64 \
  -o /usr/local/bin/cerbos && chmod +x /usr/local/bin/cerbos

# 驗證安裝
cerbos --version

2. 從源代碼安裝

# 克隆倉庫
git clone https://github.com/glasstape/glasstape-policy-builder-mcp.git
cd glasstape-policy-builder-mcp/agent-policy-builder-mcp

# 基本安裝
pip install -e .

# 可選的大語言模型支持（用於服務器端自然語言解析）
pip install -e ".[anthropic]"  # Anthropic Claude
pip install -e ".[openai]"     # OpenAI GPT
pip install -e ".[llm]"        # 所有大語言模型提供商

# 開發環境安裝
pip install -e ".[dev]"

3. 配置MCP客戶端

Claude Desktop (~/Library/Application Support/Claude/claude_desktop_config.json)：

{
  "mcpServers": {
    "glasstape-policy-builder": {
      "command": "glasstape-policy-builder-mcp"
    }
  }
}

Cursor/Zed：在IDE的MCP設置中添加類似配置。

可選：服務器端大語言模型（用於自然語言處理）：

{
  "mcpServers": {
    "glasstape-policy-builder": {
      "command": "glasstape-policy-builder-mcp",
      "env": {
        "LLM_PROVIDER": "anthropic",
        "ANTHROPIC_API_KEY": "sk-ant-your-key"
      }
    }
  }
}

4. 使用示例

生成策略（在Claude Desktop或支持MCP的IDE中）：

Create a payment policy for AI agents:
- Allow payments up to $50
- Block sanctioned entities
- Limit to 5 transactions per 5 minutes

列出可用模板：

list_templates

驗證策略：

validate_policy with policy_yaml: "<your-cerbos-yaml>"

5. 故障排除

未找到Cerbos CLI：

• 確保Cerbos CLI已安裝並在系統路徑中
• 運行 cerbos --version 驗證安裝（注意：是 --version 而非 version）

MCP服務器無法連接：

• 檢查MCP客戶端配置
• 配置更改後重啟IDE
• 驗證命令路徑是否正確：which glasstape-policy-builder-mcp

安裝失敗，提示 "Unable to determine which files to ship"：

• 這是已知的hatch構建問題 - 確保你在正確的目錄中
• pyproject.toml 應包含 [tool.hatch.build.targets.wheel] 配置

MCP導入錯誤：

• 確保你有正確的MCP導入：from mcp.server import Server
• 嘗試重新安裝：pip install -e . --force-reinstall

策略驗證失敗：

• 檢查生成策略的YAML語法
• 確保Cerbos CLI正常工作：cerbos compile --help
• 查看錯誤消息以確定具體問題

安裝後命令未找到：

• 確保你使用的是Python 3.10或更高版本
• 檢查pyproject.toml中的入口點是否正確配置

✨ 主要特性

• ⚙️ 自然語言轉策略 – 使用Claude或AWS Q從純英文生成Cerbos策略
• 🧠 自動驗證 – 使用Cerbos CLI (cerbos compile, cerbos test) 進行語法和邏輯檢查
• 🧪 紅隊分析 – 六點安全分析並提供自動改進建議
• 🧩 MCP集成 – 可在Cursor、Zed和Claude Desktop等IDE中原生使用
• 🔒 離線操作 – 本地優先設計，無外部依賴
• 🏷️ 基於主題的治理 – 40多個內容主題，具備安全分類
• 🧾 合規模板 – 內置SOX、HIPAA、PCI-DSS和歐盟AI法案的合規模板

📦 安裝指南

從源代碼安裝

# 克隆倉庫
git clone https://github.com/glasstape/glasstape-policy-builder-mcp.git
cd glasstape-policy-builder-mcp/agent-policy-builder-mcp

# 基本安裝
pip install -e .

# 可選的大語言模型支持（用於服務器端自然語言解析）
pip install -e ".[anthropic]"  # Anthropic Claude
pip install -e ".[openai]"     # OpenAI GPT
pip install -e ".[llm]"        # 所有大語言模型提供商

# 開發環境安裝
pip install -e ".[dev]"

💻 使用示例

基礎用法

生成策略（在Claude Desktop或支持MCP的IDE中）：

Create a payment policy for AI agents:
- Allow payments up to $50
- Block sanctioned entities
- Limit to 5 transactions per 5 minutes

高級用法

列出可用模板：

list_templates

驗證策略：

validate_policy with policy_yaml: "<your-cerbos-yaml>"

📚 詳細文檔

可用工具

當通過MCP連接時，你可以在Claude或IDE中使用以下工具：

示例工作流程：

1. "Generate a payment policy for AI agents with $50 limit..."
   → Claude調用generate_policy
   
2. "Show me available financial templates"
   → Claude調用list_templates
   
3. "Test this policy with the test suite"
   → Claude調用test_policy
   
4. "Analyze this policy for security issues"
   → Claude調用suggest_improvements
   
5. "Validate the policy syntax"
   → Claude調用validate_policy

示例輸出

輸入：

"Allow AI agents to execute payments up to $50. Block sanctioned entities. 
Limit cumulative hourly amount to $50. Maximum 5 transactions per 5 minutes."

生成的帶主題治理的策略：

# policies/payment_policy.yaml
apiVersion: api.cerbos.dev/v1
resourcePolicy:
  version: "1.0.0"
  resource: "payment"
  rules:
    - actions: ["execute"]
      effect: EFFECT_ALLOW
      condition:
        match:
          expr: >
            request.resource.attr.amount > 0 &&
            request.resource.attr.amount <= 50 &&
            !(request.resource.attr.recipient in request.resource.attr.sanctioned_entities) &&
            (request.resource.attr.cumulative_amount_last_hour + request.resource.attr.amount) <= 50 &&
            request.resource.attr.agent_txn_count_5m < 5 &&
            has(request.resource.attr.topics) &&
            "payment" in request.resource.attr.topics &&
            !("adult" in request.resource.attr.topics)
    - actions: ["*"]
      effect: EFFECT_DENY

附加特性：

• ✅ 基於主題的治理（支付、PII檢測）
• ✅ 安全分類（G/PG/PG_13/R/成人內容）
• ✅ 15多個自動測試用例
• ✅ 由 cerbos compile 驗證
• ✅ 六點安全分析
• ✅ 可直接部署的捆綁包

完整示例

查看 examples/README.md 獲取完整示例。

🔧 技術細節

架構

flowchart TD
  A["自然語言策略請求"] --> B["GlassTape MCP服務器"]
  B --> C["中間規範策略 - JSON"]
  C --> D["Cerbos YAML策略生成"]
  D --> E["Cerbos CLI驗證 + 測試"]
  E --> F["可部署的策略捆綁包"]

關鍵創新： ICP（中間規範策略）作為一種與語言無關的中間表示，支持確定性生成、策略可移植性和形式驗證。

開發

# 克隆並設置
git clone https://github.com/glasstape/glasstape-policy-builder-mcp.git
cd glasstape-policy-builder-mcp
pip install -e ".[dev]"

# 運行測試
pytest

# 格式化代碼
black src/ tests/

🤝 貢獻

我們歡迎貢獻！請查看 CONTRIBUTING.md 獲取貢獻指南。

快速鏈接：

• 行為準則
• 安全策略

📄 許可證

本項目基於 Apache 2.0許可證 發佈。 © 2025 GlassTape, Inc.

💡 鏈接

• 🌐 GlassTape官網
• 📚 文檔
• 🧱 Cerbos文檔
• 🧩 模型上下文協議
• 🐛 報告問題

由 GlassTape 用心打造 — 讓AI代理默認安全。