可验证的智能体基础设施：面向主权AI系统的基于证明的授权机制

# 可验证的代理基础设施：面向主权AI系统的证明派生授权
来源：https://arxiv.org/html/2605.15228
###### 摘要

现代云和企业系统依赖以身份为中心的授权机制，假设持有有效凭证的调用方执行命令是安全的。自主AI代理的出现颠覆了这一假设：代理可能生成语法正确但语义不安全的操作，使静态授权成为重大运营风险。这种风险在主权的AI系统中尤为严重，因为自主代理可能与云基础设施、受监管数据、金融工作流及国家级数字服务交互。治理型变更基板通过拦截代理操作来降低此风险：代理提交意图，基础设施评估上下文与策略，执行过程被中介。然而，这转移了信任边界：如何使授权意图的决策变得可验证、分布式且可重放？

我们提出一种分布式信任框架（DTF），这是一种面向治理型变更系统的验证框架，它从结构化、可验证的工件中计算执行授权。DTF引入了合理性证明（用于编码操作的可接受性基础）、共识模型（用于独立评估）、从已批准的证明派生的临时执行身份，以及仅追加的证据链（用于保留授权生命周期）。在给定的基板假设下，该架构强制执行紧凑的授权不变量：无证明对象则不执行高风险操作，无共识则不派生授权，无证据则无效变更。

我们定义该模型，基于OpenKedge驱动的治理型变更基板进行实例化，并展示其如何映射到云原生环境。通过将授权从静态身份转变为证明派生授权，DTF为主权AI部署中代理执行的可治理、可审计和可约束提供了基础设施基础。

## 1 引言

现代云和企业系统依赖身份和访问管理模型，这些模型假设调用方是理性且可信的。在这些系统中，授权从根本上是以身份为中心的：如果服务账户拥有足够权限，其请求的操作就被允许。当应用于自主AI代理时，该模型失效。代理非确定性地生成操作；它们可能产生语法正确但语义不安全的API调用。授予它们广泛的静态权限会带来运营风险。

OpenKedge通过将代理驱动的变更重构为意图治理过程来解决部分风险[9](https://arxiv.org/html/2605.15228#bib.bib13)。代理不直接变更状态，而是提交提案。基础设施在允许执行前对这些提案进行评估，结合上下文和策略。OpenKedge是本文的驱动具体基板，但验证问题比任何单一基板都更广泛。

意图治理留下了第二个授权问题：是什么使授权决策本身变得可验证、分布式且可重放？如果系统只是拦截请求、运行策略检查并颁发令牌，那么它留下了单点故障和无法审计的决策空白。评估员批准的稳定对象是什么？临时授权如何从批准记录中派生，而不是从调用者的静态角色中派生？必须持久化什么，以便审计员之后能重建执行授权存在的原因？

我们用一种基于证明派生的执行*分布式信任框架*（DTF）来回答这些问题。DTF是治理型变更基板的验证层：它假设系统已拦截变更尝试，并提供授权语义，使审批成为基于证明、经过共识门控、且可重放的。它添加了四个验证构造：

- •**合理性证明**，结构化工件，绑定意图、上下文、策略基础、风险和执行边界。
- •**共识验证**，独立评估员在明确治理规则下对同一证明对象进行认证。
- •**执行身份**，从已批准的证明派生（而非从调用者的环境权限）的临时授权令牌。
- •**证据链**，仅追加的生命周期记录，保留证明、认证、授权、执行和结果。

DTF具有比普通访问控制更具体的授权不变量：仅当可以从记录的证明和批准中重放权限时，高风险变更才有效。在传统身份和访问管理中，授权主要是主体的属性[15](https://arxiv.org/html/2605.15228#bib.bib1),[11](https://arxiv.org/html/2605.15228#bib.bib8)。在零信任系统中，主体及其上下文被持续检查[14](https://arxiv.org/html/2605.15228#bib.bib2)。在DTF中，主体不再是信任的主要对象。决策生命周期才是。

本文对OpenKedge已涵盖的机制简要提及。第3.5节（https://arxiv.org/html/2605.15228#S3.SS5）精确说明了边界：我们在基于OpenKedge的治理型变更基板上实例化DTF，同时为此类基板定义通用的授权验证模型。

我们的贡献是：

- • 基于证明的授权模型，用于治理型代理变更；
- • 授权工件独立批准的共识语义；
- • 将执行身份定义为计算出的、临时的授权；
- • 针对基于证明、共识门控、证据保留执行的安全性和审计属性；
- • 实用的云映射，利用现有临时凭证和审计原语。

## 2 相关工作

#### 访问控制与零信任。

基于角色和基于属性的访问控制决定主体是否可以执行操作[15](https://arxiv.org/html/2605.15228#bib.bib1),[11](https://arxiv.org/html/2605.15228#bib.bib8)。零信任架构通过持续验证请求者和上下文改进了该模型[14](https://arxiv.org/html/2605.15228#bib.bib2)。DTF将验证目标从请求者转移到变更生命周期：仅当授权是从已批准的证明派生时，授权才有效。

#### 自动化推理与已验证权限。

现代授权系统越来越依赖自动化推理和形式化方法来分析访问不变量。例如，AWS Cedar等近期框架将授权策略编码为SMT可解公式以检查安全属性，并使用Lean中的机械化证明来建立策略引擎的属性[5](https://arxiv.org/html/2605.15228#bib.bib18),[6](https://arxiv.org/html/2605.15228#bib.bib19)。这些系统主要推理策略语义和静态授权决策。DTF解决了一个互补问题：它结构化自主代理的运行时授权生命周期，使临时授权从记录的证明对象派生，由独立评估员检查，并在变更发生前在声明的基板假设下进行约束。

#### LLM代理安全与工具使用授权。

将大语言模型（LLM）作为自主代理采用暴露了安全漏洞，包括间接提示注入[8](https://arxiv.org/html/2605.15228#bib.bib16)以及代理在拥有不受检查的工具访问权限时利用系统的能力[7](https://arxiv.org/html/2605.15228#bib.bib15)。近期调查描述了代理工具使用架构的演变[16](https://arxiv.org/html/2605.15228#bib.bib17)；治理这些工具仍未解决。早期缓解策略侧重于提示级别的护栏或对每个操作进行严格的“人在回路”审批。在规模上，持续的人为监督成为瓶颈。DTF将安全边界从提示转移到执行基础设施。它提供了一种结构化的“人在回路”替代方案——独立评估员（而非提议代理）从结构化证明工件中派生执行授权。

#### 分布式信任。

共识和拜占庭容错系统研究在故障参与者下的协议[13](https://arxiv.org/html/2605.15228#bib.bib5),[4](https://arxiv.org/html/2605.15228#bib.bib6)]。我们不在复制的应用状态上运行共识。相反，我们使用明确的多评估员协议来决定证明是否足以派生执行授权。

#### 溯源与问责。

溯源、事件溯源和问责系统保留因果历史并支持重放或审计[3](https://arxiv.org/html/2605.15228#bib.bib7),[17](https://arxiv.org/html/2605.15228#bib.bib10),[12](https://arxiv.org/html/2605.15228#bib.bib9)]。DTF证据链——一个仅追加的生命周期记录——专门针对承载授权的变更进行溯源，不仅记录效果，还记录产生权限的证明对象和批准路径。

#### OpenKedge与主权代理循环。

OpenKedge提供了本文实例化中使用的具体意图治理型变更基板[9](https://arxiv.org/html/2605.15228#bib.bib13)]。主权代理循环架构分别发展了推理与直接执行的解耦[10](https://arxiv.org/html/2605.15228#bib.bib14)]。DTF是一个与基板无关的验证层，形式化了证明构建、共识支持的批准和执行身份语义，而非替代这些系统。

## 3 分布式信任框架

在传统架构中，授权主要是主体的静态属性：代理或服务账户在静态角色下操作，请求如果在角色权限范围内则被允许。当应用于自主AI代理时，该模型失效。由于代理行为非确定性且其推理容易出错或被操纵，授予其广泛的静态权限会带来运营风险。

DTF是面向意图治理型变更系统的通用验证模型。它假设一个已经拦截变更尝试的基板：代理提出意图，基础设施绑定上下文和策略，执行被中介而非直接。任何具有此拦截点的基板都可以采用DTF的授权语义。OpenKedge是本文实现和示例中使用的具体治理型变更基板[9](https://arxiv.org/html/2605.15228#bib.bib13)]。

从直接执行转向意图治理引出了后续的验证问题。如果意图治理仅仅意味着一个中央策略引擎说“是”或“否”并颁发API密钥，那么系统仍然有单点故障和无法审计的决策空白。如何使授权变更的决策变得可验证？评估员批准的稳定对象是什么？如何将授权限制在已批准的意图内，以及事后如何重建授权基础？

分布式信任框架在上述治理型变更基板之上提供验证层。它将授权建模为一种*派生状态*，而非静态权限。提议的变更不会因为代理或服务账户已经拥有广泛权限而执行。它仅在记录的证明被独立评估员批准并转换为有边界的执行身份时执行。

### 3.1 模型形式化

我们用形式化的状态转移模型定义分布式信任框架。设$t$表示逻辑时间。

#### 集合与空间：

- • $\mathcal{I}$：规范化意图空间。
- • $\mathcal{C}$：授权相关上下文快照空间。
- • $\mathcal{P}$：策略包空间。
- • $\mathcal{J}$：合理性证明空间。
- • $\mathcal{A}$：认证空间。
- • $\mathcal{G}$：治理元数据空间。
- • $\mathcal{D}=\{\mathsf{approve},\mathsf{reject},\mathsf{escalate}\}$：决策空间。
- • $\mathcal{E}$：执行身份空间。
- • $\mathcal{X},\mathcal{O}$：变更尝试和观察结果空间。

#### 状态变量：

在任意时间$t$，系统处理意图$I_t\in\mathcal{I}$，结合上下文$C_t\in\mathcal{C}$和策略$P_t\in\mathcal{P}$。这产生合理性证明$\mathsf{JP}_t\in\mathcal{J}$，来自评估者集合$V_t=\{v_1,\dots,v_n\}$的认证向量$A_t\in\mathcal{A}^n$，以及使用元数据$\Gamma_t\in\mathcal{G}$的决策$D_t\in\mathcal{D}$。成功决策物化出执行身份$\mathsf{EI}_t\in\mathcal{E}$，进而产生尝试$X_t\in\mathcal{X}$和结果$O_t\in\mathcal{O}$，并将结果持久记录在证据链$\mathsf{EC}_t$中。

#### 核心函数：

- • **证明构建**：$f:\mathcal{I}\times\mathcal{C}\times\mathcal{P}\rightarrow\mathcal{J}$ 生成证明 $\mathsf{JP}_t=f(I_t,C_t,P_t)$。
- • **认证**：$v_i:\mathcal{J}\rightarrow\mathcal{A}$ 生成独立认证 $a_i^t=v_i(\mathsf{JP}_t)$。
- • **共识规则**：$q:\mathcal{A}^n\times\mathcal{G}\rightarrow\mathcal{D}$ 计算决策 $D_t=q(A_t,\Gamma_t)$。
- • **授权派生**：$h:\mathcal{J}\times\mathcal{A}^n\times\mathcal{G}\rightarrow\mathcal{E}$ 在 $D_t=\mathsf{approve}$ 时物化有边界身份 $\mathsf{EI}_t=h(\mathsf{JP}_t,A_t,\Gamma_t)$。

### 3.2 执行流水线

授权流水线将意图转换为治理型执行记录。算法1给出有序路径。核心要求是因果顺序：证明先于批准，批准先于授权，执行在证据持久记录前不完整。

**算法1 DTF授权与执行流水线**
1: **输入**：意图 $I_t$，上下文 $C_t$，策略 $P_t$，评估者集合 $V_t$，元数据 $\Gamma_t$
2: **输出**：证据链 $\mathsf{EC}_t$
3: $\mathsf{JP}_t \leftarrow f(I_t, C_t, P_t)$ ▷ 构建合理性证明
4: **对于每个** 评估者 $v_i \in V_t$ **执行**
5: $a_i^t \leftarrow v_i(\mathsf{JP}_t)$ ▷ 生成独立认证
6: **结束for**
7: $A_t \leftarrow (a_1^t, \dots, a_n^t)$
8: $D_t \leftarrow q(A_t, \Gamma_t)$ ▷ 计算共识规则
9: **如果** $D_t = \mathsf{approve}$ **则**
10: $\mathsf{EI}_t \leftarrow h(\mathsf{JP}_t, A_t, \Gamma_t)$ ▷ 派生有边界执行身份
11: $B_t \leftarrow \mathsf{Boundary}(\mathsf{JP}_t)$
12: **如果** $\mathsf{Scope}(\mathsf{EI}_t) \preceq B_t$ **则**
13: $X_t, O_t \leftarrow \text{Execute}(\mathsf{EI}_t)$
14: **否则**
15: $X_t, O_t \leftarrow \emptyset, \text{Escalated (边界违规)}$
16: **结束if**
17: **否则**
18: $\mathsf{EI}_t \leftarrow \emptyset$
19: $X_t, O_t \leftarrow \emptyset, \text{Rejected 或 Escalated}$
20: **结束if**
21: $\mathsf{EC}_t \leftarrow (I_t, C_t, P_t, \mathsf{JP}_t, A_t, \Gamma_t, D_t, \mathsf{EI}_t, X_t, O_t)$