Attestor:面向AI代理的零信任执行边界
Attestor是一个开源的零信任执行边界工具,旨在为AI代理操作提供决策点和事后审计记录。它在代理执行前进行策略检查、审批验证和证据审查,返回准入、限制、审查或阻止等决策,并通过客户拥有的网关强制执行,适用于支付、数据访问、基础设施变更等多种场景。
随着AI系统从聊天机器人转向能够处理支付、数据访问、客户消息、基础设施和可编程货币的工具,安全问题已从单纯的提示质量提升为需要严格控制的执行边界。Attestor项目正是为此而生,它是一个开源的零信任执行边界工具,旨在为AI代理操作提供决策点和事后审计记录。
Attestor的核心功能是将AI意图转化为结构化的后果,并通过策略、审批、证据、允许范围、新鲜度、重放防护、租户和令牌等多维度检查,输出一个带有理由的决策:准入、限制、审查或阻止。对于需要审批的操作,它还会确认已批准的任务仍然符合当前策略和材料范围上下文。
项目强调,真正的服务应该只通过客户拥有的网关运行。没有客户端的网关,Attestor的决策只是证据,而非强制措施。通过将网关置于客户控制之下,才能实现真正的停止点。Attestor还支持影子模式,让用户在不影响真实服务的情况下观察代理会尝试什么操作、为什么存在风险,以及现有的策略、审批和证据情况。
Attestor适用于多种操作类,包括资金移动(退款、付款、调整)、数据移动(客户导出、查询)、权限变更(授权、撤销、解锁)、外部通信(客户沟通、法律、计费)、运营执行(部署、密钥轮换、基础设施变更)以及可编程货币(钱包调用、Safe交易、账户抽象流程)。这种一致性模式使得同一个网关可以置于多种操作之前。
当前版本为0.3.0-evaluation,属于评估基线,主要用于本地审查和集成规划,尚未投入生产环境。项目本身不存储大量数据,仅处理结构化的请求上下文和证明引用,而客户系统保留模型、代理、工作流、数据库等核心组件。Attestor强调自己是一个控制点,而非数据湖,符合EU AI Act、NIST AI风险管理和DORA等框架的精神。
对于希望开始使用的团队,建议首先尝试本地运行,观察决策痕迹,然后使用影子模式观察真实操作路径,最后部署客户拥有的网关进行强制执行。这种渐进式方法有助于团队在部署前理解风险并建立信任。