Gumloop 功能规格 - Gumstack

初始上下文

产品/团队: Gumloop / 企业基础设施团队
子品牌: Gumstack（gumstack.com）— 企业安全、可观测性与 MCP 基础设施伞品牌
定位: Gumstack 之于 Gumloop，如同 AWS 之于 Amazon — 面向企业市场的独立子品牌，覆盖安全合规、可观测性、AI 治理和 MCP 基础设施四大支柱。不属于面向终端用户的功能，而是贯穿平台的「安全与治理层」
首发版本: v7.6.0 "Kapuskasing"（2026-03-13）
动机: 当企业通过 MCP 将内部系统（数据库、CRM、文件系统）暴露给 AI Agent 时，安全团队需要一个统一的控制平面来回答三个核心问题：「Agent 在做什么？」「谁让 Agent 做的？」「我怎么确保 Agent 不越界？」Gumstack 是 Gumloop 对这个问题的系统级回答
目标用户: 企业 CIO/CISO、IT 安全团队、DevOps/SRE 团队、合规审计团队
当前客户: Gusto、Ramp、Shopify、Samsara、Instacart、Opendoor
融资背景: $70M（Benchmark、First Round、YC、Shopify Ventures）
关键成功指标: 企业客户采用率、Gumstack 功能模块的日活管理操作数、审计事件覆盖完整性

1. 概览

背景

Gumloop 在 2026 年 Q1 完成了从「AI 工作流工具」到「企业级 Agent 平台」的产品形态跃迁 — Skilling（v7.2.0）、Agent 触发器（v7.4.0）、Chat 入口（v7.0.0）。随着 Agent 自主性增强，企业客户的核心顾虑从「AI 能不能做这个任务」转变为「我怎么确保 AI 在安全可控的范围内做事」。

v7.4.0 的 MCP 工具限制是 Gumstack 理念的早期萌芽 — 允许管理员对自定义 MCP 服务器中的工具设置细粒度可用性控制。v7.6.0 正式推出 Gumstack 品牌，将分散的企业安全能力统一在一个子品牌下。此后每个版本都在为其添砖加瓦：v7.7.0 加入监控标签页和信用日志，v8.6.0 推出 App Policies（基础设施级规则引擎），v8.7.0 补上 Composable Roles（可组合角色），v9.1.0 上线 Hosted MCPs（托管 MCP 基础设施），v9.2.0 增强审计日志筛选。

Gumstack 不是单一功能，而是一个品牌伞 — 如同 AWS 覆盖 EC2、S3、Lambda 等独立服务，Gumstack 覆盖 Hosted MCPs、Proxied MCPs、App Policies、Audit Logs、Data Export 等独立产品模块。没有独立的「Gumstack 文档页面」正是因为它不是功能本身，而是功能的组织方式。

目标

建立企业信任基石：让 CIO/CISO 能够回答「Agent 的行为是否合规」— 通过基础设施级策略引擎（非 prompt 约束）确保 Agent 不越界
提供统一的 MCP 基础设施：让企业无需自建 MCP 服务器就能获得生产级 MCP 托管（Hosted MCPs），或通过代理层安全接入自建 MCP（Proxied MCPs）
实现全链路可观测性：从 tool call 延迟直方图到服务器健康状态，让运维团队对 Agent 基础设施有与微服务同等水平的可见性
满足合规审计需求：完整的审计日志、信用消耗追踪、数据导出能力，支撑 SOC2、FedRAMP 等认证

2. 架构总览

Gumstack 是横跨 Gumloop 平台的企业治理层。以下 ASCII 图示其伞形结构：

┌─────────────────────────────────────────────────────────────────┐
│                        Gumstack                                  │
│         企业安全 · 可观测性 · MCP 基础设施 伞品牌                    │
├───────────────┬───────────────┬───────────────┬──────────────────┤
│  MCP 基础设施  │   可观测性     │   AI 治理     │  审计与数据主权    │
├───────────────┼───────────────┼───────────────┼──────────────────┤
│ Hosted MCPs   │ Tool Call     │ App Policies  │ Audit Logs       │
│ (托管 MCP     │ Activity      │ (自然语言策略   │ (多维度筛选：      │
│  含 CI/CD)    │ Monitoring    │  基础设施级    │  用户/团队/IP/    │
│               │               │  强制执行)     │  实体 ID)         │
│ Proxied MCPs  │ Latency       │               │                  │
│ (代理安全接入) │ Histograms    │ Model Access  │ Credit Logs      │
│               │               │ Controls      │ (信用消耗审计)    │
│ MCP Tool      │ Monitoring    │ Composable    │                  │
│ Restrictions  │ Tab (Pods,    │ Roles         │ Data Export      │
│               │  Logs, Health)│ (可组合角色)   │ (6 种数据类型)    │
│ Credential    │               │               │                  │
│ Selection     │               │ SCIM Group    │ Data Drains     │
│               │               │ Mapping       │ (持续数据流)     │
└───────────────┴───────────────┴───────────────┴──────────────────┘

关键设计决策：

所有子系统共享统一的身份认证与权限模型（组织 → 团队 → 成员 → 角色）
App Policies 在基础设施层执行 — Agent 无法通过 prompt engineering 绕过规则
审计日志覆盖所有子系统，形成统一的合规证据链
MCP 基础设施（Hosted/Proxied）是可观测性和 AI 治理的数据来源

3. 组成子系统

3.1 MCP 基础设施 — Hosted MCPs 与 Proxied MCPs

Hosted MCPs（v9.1.0 上线，有独立 spec）：

Gumloop 全托管 MCP 服务器 — 用户提交 MCP 代码，Gumloop 负责构建、部署、扩缩容、监控
完整 CI/CD 流水线，支持从 Git 仓库自动构建和部署
企业无需运维 MCP 基础设施，由 Gumloop 保证 SLA 和可用性
与 App Policies 深度集成 — 管理员可在组织/团队/Agent 三级施加工具使用限制

Proxied MCPs（v7.x 上线，持续增强）：

为已自建 MCP 服务器的企业提供安全代理层
统一认证、流量加密、访问日志记录
v9.3.0 加入元数据归属 — 追踪每次 MCP 调用的发起用户和上下文
v9.6.0 加入凭据选择 — 用户可为不同 MCP 工具选择特定凭据而非默认凭据

MCP 工具限制（v7.4.0 萌芽）：

细粒度工具可用性控制 — 管理员可限制 Agent 在自定义 MCP 中只能使用特定工具子集
典型的「读/写分离」模式：Agent 可读取数据库，但不能写入

注：Hosted MCPs 和 Proxied MCPs 各有独立 spec 文档。此处仅描述其在 Gumstack 伞下的定位。

3.2 可观测性 — 让 Agent 基础设施「可见」

Tool Call Activity Monitoring（v7.6.0）：

实时追踪所有 MCP 工具调用 — 哪个 Agent、调用哪个工具、参数概要、耗时、成功/失败
为每个 MCP 端点提供请求量、错误率、延迟分布的时间序列视图

Latency Histograms（v7.6.0）：

工具调用延迟分布直方图 — 帮助定位性能劣化（是某个 MCP 端点变慢？还是模型推理排队？）
与微服务可观测性中常见的 P50/P95/P99 延迟分析对标

Monitoring Tab（v7.7.0）：

服务器健康状态可见性标签页 — pods 状态、日志、资源使用
面向 DevOps/SRE 团队，提供与 Kubernetes dashboard 类似但针对 Agent 工作负载的视图
结合 Hosted MCPs 使用时尤为关键 — 企业需要确认其 MCP 基础设施的健康状态

3.3 AI 治理 — Agent 的「交通规则」

App Policies & Rules（v8.6.0，Gumstack 体系中最具战略意义的功能）：

用自然语言定义 Agent 行为边界 — 「禁止发送包含 PII 的邮件」「只能在 salesforce.leads 表上执行 SELECT」
基础设施级强制执行 — 规则在底层拦截工具调用，Agent 无法通过对话策略绕过
三级作用范围：Agent 级 → 组织级（Enterprise）→ 权限组级（Enterprise）
可执行动作：阻止（block）工具调用 + 标记（tag）违规 + 记录到审计日志
对 Subagents（v9.0.0）的前置准备 — 当 Agent 可以自主创建子 Agent 时，治理需要集中控制

Model Access Controls（v7.8.0 起持续完善）：

管理员可限定组织内允许使用的模型列表（如仅允许 Claude Opus 4.7，禁止使用第三方模型）
防止影子 IT — 员工绕过企业合规模型使用未审批的外部模型

Composable Roles（v8.7.0）：

加法模型：成员有效权限 = 所有角色权限的并集
组织级角色：Admin、Manager、Security、Developer、Analytics、Templates、Member
团队级角色：Team Admin、Team Member
Enterprise 版 Custom Roles — 按功能粒度（应用白名单、节点黑名单、并发限制等）自定义权限
革命性之处：将 Agent 的治理也纳入角色系统 — 某些角色可创建 Agent、某些仅可使用、某些可管理 MCP 连接

三层治理矩阵

维度	控制层	代表功能
Agent 能做什么	行为边界	App Policies
人能做什么	权限边界	Composable Roles
谁能看到什么	可见性边界	Sharing + Team Scope

3.4 审计与合规 — 完整的「谁在何时做了什么」

Audit Logs（v7.6.0 上线，v9.2.0 增强）：

记录所有关键操作：用户登录、认证事件、配置变更、Agent 执行、工具调用
多维度筛选：按用户、团队、IP 地址、实体 ID 过滤（v9.2.0）
多选过滤（v8.6.0）— 同时筛选多个用户/团队的日志
SCIM Group Mapping（v9.6.0 增强）— 与企业 IdP（Okta、Azure AD）的用户组结构对齐

Credit Logs（v7.7.0）：

记录平台上每一笔信用消耗 — 可筛选、可导出
支持按团队、用户、时间段、工作流等多维度分析
服务于 CFO 级别的成本归因和预算审批

3.5 数据主权 — Data Export / Data Drains

覆盖 6 种数据类型，其中包括 "Gumstack MCP tool call activity"
支持一次性导出（CSV/JSON）和持续数据流（Data Drains）两种模式
企业可将审计数据导入自有的 SIEM 或数据仓库（Splunk、Snowflake 等）
数据所有权归属客户 — 满足 GDPR 和行业监管的数据本地化要求

4. 竞争分析

竞品/方案	功能对标	优势	劣势	洞察/机会
AWS Bedrock Guardrails	AI 治理策略、内容过滤	与 AWS 生态深度整合、已有 FedRAMP	仅覆盖模型层，不涉及 MCP 基础设施管理	Gumstack 的 MCP 基础设施是 Bedrock 没有的维度
Databricks AI Governance	模型访问控制、审计、数据血缘	数据治理成熟度高、Unity Catalog	面向数据工程场景，非通用 Agent 平台	Databricks 强在数据层，Gumstack 强在 Agent 行为层
自建 MCP 基础设施	Hosted MCPs + Proxied MCPs	完全可控	运维成本高、无开箱可用的策略引擎/审计	「自建 vs 购买」的 ROI 是 Gumstack 的核心销售论点
LangSmith (LangChain)	可观测性、tracing	LLM 调用链追踪成熟	仅覆盖 LLM 层，不涉及企业治理（角色/策略/审计）	LangSmith 是开发工具，Gumstack 是生产治理平台
Prompt Security / Guardrails AI	AI 安全网关	专注安全领域	单点方案，无 MCP 基础设施和可观测性	可能在特定垂直场景有竞争，但缺乏平台整合优势

关键洞察

「基础设施 + 治理」的整合是核心壁垒：单独做 AI 治理（如 Prompt Security）或单独做 MCP 托管（如自建方案）都不难，但将 MCP 托管、代理、策略引擎、审计日志、可观测性整合在统一控制平面下 — 这是 Gumstack 的系统性优势
MCP 协议是新战场：当 MCP 成为 AI Agent 连接企业系统的标准协议时，控制 MCP 基础设施就控制了整个 Agent-to-Enterprise 的数据通道
合规认证是未来的主要竞争维度：当前竞品普遍缺乏 SOC2/FedRAMP — Gumstack 如果率先获得这些认证，将在金融、医疗、政府行业建立独占窗口期

5. 路线图与未来演进方向

阶段	时间线	里程碑	状态
Phase 1 — 品牌基础	v7.6.0–v7.8.0 (2026-03)	Gumstack 品牌发布 + 审计日志 + 监控 + 信用日志	已发布
Phase 2 — 治理框架	v8.6.0–v8.7.0 (2026-04)	App Policies + Composable Roles + SCIM	已发布
Phase 3 — MCP 基础设施	v9.1.0–v9.6.0 (2026-04–05)	Hosted MCPs + Proxied MCP 元数据 + 凭据选择	已发布
Phase 4 — 统一管理平面	v10.x (2026 Q3 推测)	Gumstack 统一 Dashboard — 一个页面纵览所有子系统的安全态势	推测
Phase 5 — 合规认证	2026 H2（推测）	SOC2 Type II + FedRAMP Tailored 认证申请	推测
Phase 6 — 多云 MCP	2027（推测）	MCP 服务器跨 AWS/GCP/Azure 多云部署和管理	推测
Phase 7 — 策略推荐引擎	2027（推测）	AI 驱动的策略推荐 — 根据组织使用模式自动建议安全规则	推测

关键演进判断

Gumstack 独立定价是必然趋势：推出独立子品牌的核心商业动机是将企业安全合规从核心产品中分离定价 — Pro 版获得基础能力，Enterprise 版获得完整的 Gumstack 套件。类似 GitHub Advanced Security 的定价策略
SOC2/FedRAMP 是 Gumstack 存在的根本理由之一：没有独立的合规认证，大型企业的采购流程就是不可逾越的障碍。Gumstack 品牌为这些认证提供了清晰的范围界定
多云 MCP 是大企业刚需：Shopify、Instacart 这类多云计算的企业，其 MCP 服务器可能分布在多个云上。统一跨云管理可以成为真正的锁定效应
策略推荐引擎 = 数据飞轮：当 Gumstack 积累了足够多的企业策略数据，可以用 AI 为同类行业自动推荐安全策略 — 「你的同行（银行）通常禁止 Agent 访问这些工具」— 形成数据飞轮

6. 遥测

漏斗阶段	事件名称	触发条件	指标/KPI	目的	优先级
采用	`gumstack_feature_enabled`	组织首次启用 Gumstack 子系统	子系统启用率	衡量企业功能渗透	P0
采用	`app_policy_created`	管理员创建新的 App Policy	策略创建数/组织	衡量 AI 治理深度	P0
使用	`audit_log_query`	管理员查询审计日志	查询次数/日	衡量合规活跃度	P1
使用	`mcp_tool_blocked_by_policy`	App Policy 拦截工具调用	拦截数/日 + 拦截原因	衡量安全策略有效性	P0
质量	`hosted_mcp_uptime`	Hosted MCP 可用性	SLA 达标率	基础设施可靠性	P0
质量	`monitoring_tab_view`	用户查看监控标签页	PV/DAU	衡量可观测性使用	P2

源文档参考

v7.6.0 Kapuskasing Changelog · v7.7.0 Gimli Changelog · v8.6.0 Sioux Lookout Changelog · v8.7.0 Moosonee Changelog · v9.1.0 Ucluelet Changelog · v9.2.0 Tadoussac Changelog · Hosted MCPs 帮助文档 · App Policies 帮助文档 · Audit Logs 帮助文档

由 Claude spec-generate 系统生成 · 基于 Gumloop v7.4.0–v9.8.0 Changelog 和相关帮助文档推断

无独立 Gumstack 文档 — 功能分布在 Hosted MCPs、Proxied MCPs、App Policies、Audit Logs、Data Export 各页面中

Gumstack 评分：9/13（战略3 护城河2 用户1 复杂度2 创新1）— 企业治理是基础设施型功能，影响面广但用户感知弱