Terracotta AI | 基础设施变更治理

是什么

Terracotta AI 是一个面向以基础设施即代码方式管理基础设施团队的基础设施变更治理平台，尤其适用于受监管或对审计敏感的环境。它会在合并前审查 GitHub 或 GitLab 中的 Terraform 和 OpenTofu 拉取请求，检查安全问题、合规缺口、代码与实际基础设施之间的漂移，以及预估的成本影响。

该产品被定位为一个可嵌入现有代码仓库工作流的治理层，无需更改流水线或进行迁移。开发人员可直接在拉取请求中收到发现结果，而安全、合规和平台团队则可获得一个集中式仪表板，以及针对审批、发现结果和策略结论的防篡改审计追踪。

功能

• 面向 IaC 的拉取请求治理 — 自动审计每个基础设施拉取请求，并在 PR 中展示发现结果，帮助审查人员聚焦有实际意义的风险，而不是大型计划差异。
• 安全与 IAM 分析 — 标记诸如开放端口、公开存储桶以及权限过宽的 IAM 设置等问题，并提供严重级别上下文和文档化发现结果。
• 针对实时基础设施的漂移检测 — 比较代码与已部署云环境状态，识别控制台修改、手动应用以及已删除资源，这些都可能带来合规风险。
• 成本影响分析 — 估算每项资源的成本变化，并支持审批阈值，以便在合并前审查显著的支出增长。
• 通俗易懂的防护规则 — 让团队能够定义诸如私有 S3 要求或成本审查阈值之类的治理规则，而无需掌握 Rego、Sentinel 或更深入的策略即代码专业知识。
• 自动修复建议 — 生成并可直接应用建议修复到 PR 分支，使团队审查的是一个建议中的合规变更，而不仅仅是违规通知。

实用建议

• 从一小组高影响力的防护规则开始，例如公共访问、IAM 权限过宽和成本阈值，然后随着内部控制要求的成熟逐步扩展。
• 确认你的治理流程在多大程度上依赖实时云环境上下文，因为某些能力（例如漂移检测）似乎会受益于可选的云凭证。
• 将 PR 审查输出作为面向开发人员的控制点，将仪表板作为面向合规团队的记录系统，以减少重复审查流程。
• 审查自动修复在内部如何被治理；建议修复可以加速采用，但受监管团队可能仍希望对自动分支更改制定明确的审批规则。
• 如果将该工具与静态 Terraform 扫描器比较，应重点关注其工作流覆盖范围：治理、可审计性、漂移可见性和审批证据似乎是其主要差异化因素。

OpenClaw 技能

Terracotta AI 很可能能够与 OpenClaw 良好配合，作为基础设施运维的治理智能层。OpenClaw 可能具备的技能包括监控拉取请求、为不同利益相关方汇总 Terracotta 的发现结果、将高严重级别违规路由给合适的审批人，以及根据 PR 评论、策略结果和修复操作整理可供审计的变更叙述。如果 Terracotta 的输出可以通过编程方式访问，OpenClaw 代理还可以将其转化为审批工作流、例外处理或定期治理摘要。

对于平台工程、云安全和合规团队而言，这种组合可以将工作从手动证据收集转向自动化控制运营。可能的用例包括：由 OpenClaw 代理对被阻止的 PR 进行分诊、根据策略类型推荐下一位审查者、为已批准的偏差起草例外记录，或将重复出现的防护规则失败与培训和标准更新关联起来。这并不意味着页面中已确认存在原生集成，但对于将基础设施治理视为持续运营过程而非一次性代码扫描的组织而言，这是一个切实可行的工作流扩展。