AXR/Agent eXecution Receipts/Nyílt forrású · MIT

Mutassa meg az ágens a bizonylatait.

Az AXR nyílt forrású elszámoltathatósági réteg AI-ágenseknek és automatizált folyamatoknak: kriptográfiailag aláírt, manipuláció-detektáló végrehajtási bizonylatok, amelyek a „bízz bennem"-et „ellenőrizd"-re cserélik. Ma is élesben fut, óránként lehorgonyozva, és bárki ellenőrizheti, akinél ott a nyilvános kulcs.

Protokoll-szerződés 1.5.3 (fagyasztott 1.x)Éles profil 0.2.1 mag · óránkénti horgonyzásFüggőségek Nulla
9
Érettségi réteg, egy repó — a magtól a witness-életcikluson át az SDK-ig
42
Zöld teszt-suite, a JS↔Python kereszt-impl paritással együtt (mag + governance)
15 / 15
A verifier által elutasított manipulációs mutáció
2
Független ellenőrző (Node + tiszta Python) byte-azonosan egyetért
15
Multi-agent review által kiadás előtt fogott biztonsági találat
0
Futásidejű függőség — csak szabványos kriptográfia

A logokat át lehet írni. Ez régen rendben volt.

Az AI-ágensek ma érdemi műveleteket végeznek: eszközöket hívnak, rekordokat módosítanak, pénzt mozgatnak, üzeneteket küldenek valaki nevében. Mindennek az audit-nyomvonala általában egy logfájl, amely azé, aki az ágenst futtatta — módosítható, törölhető, és az üzemeltető saját infrastruktúráján kívülről senki sem tudja ellenőrizni.

Utólag nincs megbízható mód a fontos kérdések megválaszolására: melyik ágens csinálta ezt, mit kapott bemenetnek, mit döntött és mi alapján, módosították-e a rekordot utólag, és miért mondtak az ügyfélnek „nem"-et?

A szabályozók felfigyeltek. Az EU AI Act az automatikus eseménynaplózást tervezési követelménnyé teszi a magas kockázatú AI-rendszereknél (12. cikk), megőrzésre kötelezi a felhasználókat (26. cikk), és a magas kockázatú kötelezettségek 2026. augusztus 2-tól alkalmazandók. Az USA-ban a NIST AI-szabványügyi központja 2026 februárjában indította az AI Agent Standards Initiative-ot, középpontban az ágens-biztonsággal és -identitással.

A napló, amit átírhatsz, egy történet. A bizonylat, amit ellenőrizhetsz, egy rekord.

Egy bizonylat minden érdemi műveletre.

Minden számító műveletről az AXR kibocsát egy bizonylatot: a végrehajtott művelet, a bemenetei és kimenetei hash-ei, egy időbélyeg, az ágens identitása, és egy Ed25519-aláírás a kanonizált rekord felett. Pontosan egy dolgot bizonyít — hogy egy adott folyamat egy adott bemeneten egy adott döntést hozott, és a rekord azóta nem változott.

Ez két különböző dolgot ad. A manipuláció-detektálás a kriptográfiai padló: az aláírás bizonyítja, hogy a rekord nem változott. A viselkedés-olvashatóság az, ami napról napra megtérül — a bizonylat annyira olvashatóvá teszi a folyamat tényleges viselkedését, hogy egy belső ellentmondás akkor is felszínre kerül, ha semmit sem manipuláltak és minden aláírás érvényes.

Szándékosan nem workflow-építő, nem ágens-keretrendszer, nem megfigyelő-platform. Ez a vékony elszámoltathatósági réteg, amely ezek alatt ül. Két bizonylattípus viszi a terhet: egy lépés-bizonylat egyetlen döntés-releváns node-ot rögzít, egy folyamat-bizonylat pedig egy futás lépéseit fűzi aláírt, láncolt rekordba. A lépések egy futáson belül láncolódnak; a futások az ágens előzményein át — így bármely bizonylat törlése elszakítja a láncot, bármely módosítása pedig eltöri az aláírást.

Szemléltető lépés-bizonylat — egy aláírt művelet alakja

{
  "axr_version": "0.2.1",
  "agent_id":    "axr:agent:eco-clean:v5.1",
  "step": { "name": "Create Booking", "kind": "side_effecting" },
  "io": {
    "input_hash":  "sha256:9f2c…b41a",
    "output_hash": "sha256:1d7e…0c88",
    "decision":    "BOOKING_CONFIRMED"
  },
  "logic_version": "5.1",
  "logic_hash":    "sha256:a3b9…77e2",
  "previous_receipt_hash": "sha256:5c10…d9f3",
  "timestamp":  "2026-06-13T09:14:22Z",
  "signature":  "ed25519:K8f…/Qb2Aw=="
}
Aláírás érvényes Változtass meg egyetlen bájtot bármelyik mezőben, és az aláírás már nem verifikál. Ez az egész elv — és ennyi elég.

Azoknak, akiknek felelniük kell érte.

Az AXR ott térül meg, ahol egy automatikus döntést később megkérdőjelezhetnek, és valakinek ki kell állnia a válasz mögött.

AI-ágenseket futtató csapatok

Olyan ágenseket adsz ki, amik valódi műveleteket végeznek

Foglalnak, áraznak, üzennek, pénzt mozgatnak vagy rekordokat módosítanak valaki nevében. Ma az egyetlen feljegyzés a történtekről egy logfájl, ami a tiéd, és átírhatnád.

Amit kapsz: Aláírt bizonylat minden érdemi műveletről — bizonyíték, nem szerkeszthető történet.

Compliance & GRC

Te felelsz az EU AI Act-ért

A 12. cikk tervezési követelménnyé teszi az automatikus eseménynaplózást a magas kockázatú rendszereknél; a 26. cikk megőrzésre kötelezi a felhasználókat, 2026. augusztus 2-tól.

Amit kapsz: E kötelezettségekre tervezett rekordok, auditor-kész riporttal.

Auditorok & vizsgálók

Ellenőrizni kell, nem bízni

Utólag meg kell állapítanod, melyik ágens mit csinált, milyen bemeneten, és módosították-e a rekordot — anélkül, hogy az üzemeltető szavát kéne elfogadnod.

Amit kapsz: Offline ellenőrzés pusztán egy nyilvános kulcsból. Nem kell üzemeltetői hozzáférés.

Platform- és infra-építők

Elszámoltathatósági primitív kell

Az AXR nem ágens-keretrendszer és nem megfigyelő-platform. Ez a vékony, unalmas réteg, amelyre ezek az eszközök ráülhetnek — szabványos kriptó, nulla függőség, MIT.

Amit kapsz: Fagyasztott wire-formátum és két független ellenőrző, amire építhetsz.

Adatvédelmi felelősök

A törléshez való jog rajtad van

A GDPR 17. cikk szerinti törlés látszólag szemben áll egy csak-hozzáfűzhető naplóval: hogyan törölsz személyes adatot egy olyan rekordból, amelynek pont az a lényege, hogy nem változhat?

Amit kapsz: Mezőszintű, sózott Merkle-elköteleződések — töröld a tiszta szöveget, az aláírások állnak.

Biztonsági üzemeltetés

A manipulációt figyeled

Egy független monitor a lappangó védelmet aktív detektálássá alakítja: equivocation, csonkítás, történet-átírás és jogosulatlan kulcscsere.

Amit kapsz: OCSF-formájú Detection Finding-ek és webhook-kézbesítés a SIEM-edbe.

Jelöld a lépéseket. Írd alá a rekordot. Horgonyozd le oda, ahol nem írhatod át.

A bizonylat-generátor egyetlen Code node a workflow végén, a válasz előtt. Beolvassa a döntés-releváns node-ok kimeneteit, és egy menetben előállítja az összes bizonylatot. A horgonyzás és a monitorozás a folyamaton kívül fut, így az éles hot-path nem lassul és nem kap új függőséget.

  1. Jelöld a döntési node-okat. Minden döntés-releváns node csatolja a pontos bemenetet, amit feldolgozott, így a bizonylat azt hash-eli, amit a lépés valóban látott — nem egy egységes helyettesítőt.
  2. Generálj & írj alá. Egy menet kibocsátja a lépés- és folyamat-bizonylatokat, mindegyiket Ed25519-cel aláírva egy kanonikus (RFC 8785) szerializálás felett. A generálás fail-open: hiányzó kulcs hangos hibára degradál, de sosem töri el az üzleti folyamatot, amit tanúsít.
  3. Fűzd egy megváltoztathatatlan logba. A bizonylatok soronként egy csak-hozzáfűzhető JSON Lines fájlba kerülnek, amely túléli az újraindításokat.
  4. Horgonyozd le függetlenül. Egy sidecar a bizonylat-hash-eket RFC 6962 Merkle-fába gyűjti, és aláírt fa-fejeket (STH) köt egy külső, csak-hozzáfűzhető backendhez (OpenTimestamps/Bitcoin, Rekor, RFC 3161). Ez behoz egy felet, amelyet az üzemeltető nem irányít — a becsületes hasonlat a Certificate Transparency, nem az önaláírt HTTPS.
  5. Ellenőrizze bárki. Egy önálló, nulla-függőségű szkript egy teljes láncot offline ellenőriz. A 0-s kilépési kód érvényeset, az 1-es talált hibát jelent.
  6. Monitorozz időben. Egy független monitor saját journalban őrzi a látott fa-fejeket, és riaszt, ha egy új nézet ellentmond a réginek — elkapva az equivocationt, a csonkítást, a történet-átírást és a jogosulatlan kulcscserét.

Ellenőrizz egy logot magad — a teljes parancs:

# offline, zero dependencies, exit 0 = valid
node axr-verify.js receipts.jsonl public-key.pem sth.jsonl anchors.jsonl

# the same log, checked by a fully independent Python implementation
python3 axr_verify.py receipts.jsonl public-key.pem sth.jsonl anchors.jsonl

Nincs terminál? Húzz be egy logot a böngészős ellenőrzőbe — ugyanazokat az aláírás-, Merkle-gyökér- és witness-ellenőrzéseket futtatja helyben, feltöltés nélkül.

Unalmas primitívek, szándékosan.

A biztosítási munkát olyanoknak is auditálhatónak kell lennie, akik nem írták. Ezért az AXR csak szabványos, jól értett építőelemeket használ — és nyíltan kimondja a céljait:

Aláírt
Ed25519 a bizonylat kanonikus szerializálása felett. Egy manipulált rekord újra-aláírásához kell a privát kulcs; nélküle a módosítások láthatók.
Önálló
Egy bizonylat offline verifikál pusztán a nyilvános kulccsal. Nem kell hozzáférés az üzemeltető infrastruktúrájához, nem kell bízni az adatbázisában.
Manipuláció-detektáló
Bármely változtatás a bizonylatban eltöri az aláírását; egy törlés eltöri a láncot. A horgonyzás ezután a csendes átírást is detektálhatóvá teszi, nem csak nyilvánvalóvá.
Szándékosan unalmas
SHA-256, Ed25519, kanonikus JSON, RFC 6962 Merkle-fák. Semmi újszerű kriptográfia, és nulla futásidejű függőség.

Egy repó, rétegezve aszerint, ki mennyire érdemelte ki a bizalmat.

Az AXR egyetlen repóként szállít, több érettségi szintet átfogva. E tábla lényege az őszinteség: olvasd el egy funkció szintjét, mielőtt rá építesz. A 0.2 wire-formátum fagyasztott — a régebbi logok byte-ra verifikálnak a jelenlegi verifierrel, és minden későbbi munka additív.

Réteg Verzió Érettség
Mag — aláírás, láncolás, lépésenkénti bemenet-hash, kanonikus JSON, kereszt-impl paritás
Élesben tesztelt, fagyasztott wire-formátum; hardened n8n node.
0.2.1 Stabil
Horgonyzás — Merkle-kötegelés, aláírt fa-fejek, monitor, külső időbélyegzés
Óránkénti horgonyzó cron élesben; külön STH-kulcs.
0.3 Telepítve
Törölhető bizonylatok, mellékhatás-tanúsítás, trust-root, kulcs-szerep szeparáció
Tesztelt; fagyasztva az 1.0 szerződésben.
0.4 Stabil
Kulcsöröklés — root-horgonyzott rotáció, megkülönböztethető a kompromittálódástól
Kereszt-impl paritás + adversarial review; a pilot még nem használja.
0.5 Stabil
SIEM-export — OCSF Detection Finding mapping + általános webhook
OCSF-formájú kimenet; szándékosan best-effort kézbesítés.
0.6 Stabil
Root-életciklus hardening — kvórum (M-az-N-ből) root, rotáció, revokáció, ceremónia-CLI
Kereszt-impl paritás; a kvórum-policy a fenyegetésmodell része.
0.6 Stabil
Control log — horgonyzott governance-terjesztés + részleges felfedés
Bezárja a sávon kívüli visszatartási rést; az 1.5 off-wire inclusion proofot ad egyetlen rekordra (egyet bizonyíts, a többit ne fedd fel).
0.7 – 1.5 Stabil
Witness-életciklus — cosigning, vészhelyzeti revokáció, ideiglenes, auto-lejáró felfüggesztés
Megelőző equivocation-védelem; a teljes lassú-revoke → revoke → suspend életciklus, kereszt-impl.
0.8 – 1.4 Stabil
Könyvtár-SDK — require('axr'): fagyasztott publikus API-felület + programozott verify()
A felületet teszt rögzíti; az axr.verify() a kanonikus verifiert futtatja, így sosem térhet el.
1.2 – 1.3 Stabil

Egy őszinte bizonylat hangossá teszi a néma hibákat.

Az AXR élesben fut egy valódi foglalási folyamaton az ECO Clean HU-nál — a folyamat húsz node-jából hat bizonylatot hordoz, és a log — immár 227 aláírt bizonylaton túl — 2026 júniusa óta óránként egyetlen Merkle-fába horgonyzódik. Ennek az elszámoltathatósági rétegnek a felállítása olyat tett, amire az üzemeltetője nem számított: felszínre hozott négy valódi, az AXR-t megelőző hibát, és két defektet az AXR saját eszköztárában.

Egyik sem járt manipulációval vagy érvénytelen aláírással. Ezek viselkedés-olvashatóság, nem manipuláció-detektálás: a bizonylat annyira olvashatóvá tette a futást, hogy a szándékolt és a végrehajtott ág közti ellentmondás magától felszínre került. A B-bug pont ilyen volt — egy elutasítás, ami mégis elsütötte a sikeres ágat, abban a pillanatban elkapva, ahogy a bizonylat kimenetét elolvasták.

Pilot — B-bug

Minden futás egyszerre sütötte el mind a három válaszágat: egy ZONE_INCOMPATIBLE elutasítás mégis sikeres e-mailt küldött. A bizonylat final_status-a azonnal kiütötte az ellentmondást. Javítva egy Switch node-dal, ami a bizonylat kimenetére routol.

Pilot — C-bug

Az elutasítások „unknown_error"-t adtak vissza, az ügyfél saját üzenetét visszhangozva — a valódi indok elveszett. A bizonylat minden futáson a helyes státuszt rögzítette, ellentmondva annak, amit az ügyfelek kaptak.

Pilot — D-bug

Egy újraellenőrzéses konfliktus HTTP 200-at adott üres testtel, miközben a bizonylat egy teljes, aláírt 5-lépéses SLOT_TAKEN lánc volt. A helyes bizonylat és az üres válasz közti rés pontosan az, amire az AXR való.

Pilot — E-bug

Egy javítás után a logika v5.1-re lépett, de minden bizonylat továbbra is v5.0-t tanúsított — érvényes aláírás egy hamis állítás felett arról, melyik kód döntött. Most kód-hash ujjlenyomatok váltják a kézzel írt címkéket, és a CI elbukik driftnél. A verziócímke tanúvallomás; a kód-hash bizonyíték.

Magában az AXR-ben

A horgonyzás-bevezetés sandbox-próbafutása az AXR két saját defektjét fogta el, mielőtt elérhették volna az éles logot: a kereszt-verziós horgonyzás minden legacy aláírást érvénytelenített volna, a Python-verifier pedig csendben figyelmen kívül hagyta a külön-kulcs flaget. Mindkettő javítva az első éles horgony előtt. Egy próbafutás, ami a sandboxban eltörik, az egy funkció.

A „manipuláció-detektáló" állítás, úgy tesztelve, ahogy egy támadó tenné.

Egy integritás-állítás annyit ér, amennyit a megtörésére tett kísérletek. Az AXR szisztematikusan bizonyítja a központi állítását, nem retorikailag:

15 / 15 elutasítva
Egyetlen érvényes, horgonyzott, generatív bizonylat-logot 15 különböző mutációnak vetnek alá — törzs-manipuláció, lépés-törlés, aláírás-csere, elejtett fa-fejek, manipulált inclusion proofok, rossz kulccsal újra-aláírás, és így tovább. A verifier mind a tizenötöt elutasítja; az érintetlen kontroll átmegy.
Két megvalósítás
Hitelesség, ahogy a Certificate Transparency kiérdemelte: egy második, teljesen független ellenőrző tiszta Pythonban — saját kanonizálóval, egy tiszta-Python Ed25519-cel az RFC 8032 tesztvektorokon validálva, és az RFC 6962 Merkle-logikával. Minden elfogadásban és elutasításban egyet kell értenie a Node-verifierrel.
Byte-azonos
Az „bárki, bármilyen nyelven ellenőrizheti" ígéret a determinisztikus kanonizáláson áll. A szerializáló az RFC 8785-öt követi, és NaN / Infinity / undefined esetén hibát dob, nem rontja el csendben őket. A nyelvközi byte-vektorok rögzítve, mint megfelelőségi szerződés.
CI minden pushnál
A teljes suite — a JS↔Python paritással együtt — minden változtatáskor lefut Node 18 / 20 / 22 és Python 3.10 / 3.11 / 3.12 alatt.

Oda építve, amerre a szabályok tartanak.

Az AXR úgy van tervezve, hogy ráilleszkedjen az érkező nyilvántartási kötelezettségekre — nem azt állítja, hogy bármelyikkel tanúsítottan megfelel. Az EU AI Act 12. cikke előírja, hogy a magas kockázatú rendszerek automatikusan rögzítsék az eseményeket a nyomonkövethetőséghez, a 26. cikk pedig megőrzésre kötelezi a felhasználókat. A GDPR 17. cikke a másik irányba húz, a törlés felé. A NIST AI Agent Standards Initiative az amerikai oldalt az identitás és az auditálhatóság köré rendezi. Az aláírt, függetlenül ellenőrizhető bizonylat olyan primitív, amelyre mindegyik irány építhet.

Két dolog teszi ezt kézzelfoghatóvá. A törölhető bizonylatok feloldják a GDPR-kontra-csak-hozzáfűzhető feszültséget: az érzékeny mezők egy sózott, mezőszintű Merkle-fán keresztül kötődnek, így a tiszta szöveg utólag törölhető, miközben az aláírás, a lánc és a már lehorgonyzott bizonyíték is áll. A Compliance Report Generator pedig egy nyers logból auditor-kész HTML-riportot készít — integritás, kulcs-governance idővonal, horgonyzási státusz, és egy EU AI Act 12. cikk / GDPR kontroll-térkép.

A pontosság itt számít: „úgy tervezve, hogy ráilleszkedjen" — ez az állítás. A riport a verifier verdiktjének nézete, nem helyettesítője, és semmit nem állít, amit nem ellenőrzött.

Az AXR bizonyítja a saját felépítését.

Az AXR-t egy három-AI munkapad építette — Fable, Meridian és NEXUS — egy közös, csak-hozzáfűzhető journal felett. Ez a journal maga egy ellenőrizhető AXR-log: minden bejegyzés Ed25519-aláírt bizonylat, az egész készlet egyetlen aláírt fa-fejbe horgonyzódik Merkle-fával, és azt a fa-fejet a két review-ágens cosignolta — mindegyik a saját processzében, saját maga által generált és tartott kulccsal, így az orchestrator sosem látott privát kulcsot. A commitolt pillanatkép a teljes 1.0 stack alatt újraverifikál, a böngésződben.

Őszinte keret: ez azt bizonyítja, hogy a journal az aláírás óta változatlan, nem azt, hogy bármely bejegyzés igaz volt íráskor. A cosignature-ök valóban processz-függetlenek; a teljes zero-trustig az egyetlen hátralévő rés, hogy a custody még azonos gépen van — élesben a witnessek külön biztonsági zónákban futnak.

Élő, nyílt, és mindkettőről őszinte.

Az AXR nyílt forrású, MIT-licencű, és nyilvánosan fejlesztett. Az 1.0 óta a wire-formátum és a CLI/verifier-szerződés fagyasztott az 1.x-re; az 1.1–1.4 csak backward-kompatibilis rekordokat és egy fagyasztott könyvtár-SDK-t adott. A mag és a horgonyzási réteg élesben fut; a magasabb rétegek — kulcsöröklés, kvórum-root-ok, a control log és a teljes witness-életciklus (cosigning, vészhelyzeti revokáció, ideiglenes felfüggesztés) — teszteltek, kereszt-impl ellenőrzöttek és additívak, de a live pilot még nem használja őket. A projekt őszinte marad a saját hiányosságairól:

  • KövetkezőAz éles horgony-backend váltása localról OpenTimestamps-re (Bitcoin) — egyetlen flag, amint a kadencia stabilan futott.
  • KövetkezőA független monitor futtatása az üzemeltetőn kívüli félnél, a split-view / equivocation detektálást lappangóból aktívvá téve.
  • KövetkezőGeneratív (LLM) lépés-bizonylatok kipróbálása egy éles folyamaton — végpontól végpontig támogatott és tesztelt, de még nincs élesben.
  • KövetkezőHiba-útvonal bizonylatok — a sikertelen futások aláírása is, a workflow hiba-ágára tett mark node-dal. Egy hibáról gyakran a legfontosabb bizonyítékot bírni; ez a generátor lefedettségét bővíti, és a fagyasztott 1.x wire-formátumot érintetlenül hagyja.
  • NyitottÖnbevallott ágens-identitás, és PEM-fájl (nem hardver-szintű) kulcstárolás — mindkettő szándékosan a jelenlegi scope-on kívül.

Ez az oldal ugyanazon a primitíven fut.

A chrisconen.dev minden deployja közzétesz egy manifestet az oldal minden fájljáról, SHA-256-tal hash-elve és Ed25519-cel aláírva. A böngésződ ellenőrizheti az aláírást, és bármely fájlt újrahash-elhet a manifest ellenében. Ez az AXR alapötlete egy build-pipeline-ra alkalmazva ágens helyett — ugyanaz a bizonylat, más szereplő.