Attestor:面向AI代理的零信任執行邊界
Attestor是一個開源的零信任執行邊界工具,旨在為AI代理操作提供決策點和事後審計記錄。它在代理執行前進行策略檢查、審批驗證和證據審查,返回准入、限制、審查或阻止等決策,並透過客戶擁有的閘道器強制執行,適用於支付、資料訪問、基礎設施變更等多種場景。
隨著AI系統從聊天機器人轉向能夠處理支付、資料訪問、客戶訊息、基礎設施和可程式設計貨幣的工具,安全問題已從單純的提示質量提升為需要嚴格控制的執行邊界。Attestor專案正是為此而生,它是一個開源的零信任執行邊界工具,旨在為AI代理操作提供決策點和事後審計記錄。
Attestor的核心功能是將AI意圖轉化為結構化的後果,並透過策略、審批、證據、允許範圍、新鮮度、重放防護、租戶和令牌等多維度檢查,輸出一個帶有理由的決策:准入、限制、審查或阻止。對於需要審批的操作,它還會確認已批准的任務仍然符合當前策略和材料範圍上下文。
專案強調,真正的服務應該只透過客戶擁有的閘道器執行。沒有客戶端的閘道器,Attestor的決策只是證據,而非強制措施。透過將閘道器置於客戶控制之下,才能實現真正的停止點。Attestor還支援影子模式,讓使用者在不影響真實服務的情況下觀察代理會嘗試什麼操作、為什麼存在風險,以及現有的策略、審批和證據情況。
Attestor適用於多種操作類,包括資金移動(退款、付款、調整)、資料移動(客戶匯出、查詢)、許可權變更(授權、撤銷、解鎖)、外部通訊(客戶溝通、法律、計費)、運營執行(部署、金鑰輪換、基礎設施變更)以及可程式設計貨幣(錢包呼叫、Safe交易、賬戶抽象流程)。這種一致性模式使得同一個閘道器可以置於多種操作之前。
當前版本為0.3.0-evaluation,屬於評估基線,主要用於本地審查和整合規劃,尚未投入生產環境。專案本身不儲存大量資料,僅處理結構化的請求上下文和證明引用,而客戶系統保留模型、代理、工作流、資料庫等核心元件。Attestor強調自己是一個控制點,而非資料湖,符合EU AI Act、NIST AI風險管理和DORA等框架的精神。
對於希望開始使用的團隊,建議首先嚐試本地執行,觀察決策痕跡,然後使用影子模式觀察真實操作路徑,最後部署客戶擁有的閘道器進行強制執行。這種漸進式方法有助於團隊在部署前理解風險並建立信任。