OpenKedge: Governing Agentic Mutation with Execution-Bound Safety and Evidence Chains

Dit paper introduceert OpenKedge, een protocol dat autonome AI-agenten veilig maakt door mutaties te reguleren via goedgekeurde intenties, strikte uitvoeringscontracten en cryptografische bewijsketens die een verifieerbare en auditabele lijn van intentie tot uitvoering garanderen.

De kern

🚦 OpenKedge: De Verkeersregelaar voor AI-Robots

Stel je voor dat je een stad hebt vol met zelfrijdende auto's (de AI-agenten). Deze auto's zijn slim, maar ze kunnen ook fouten maken, hallucineren of verkeerde beslissingen nemen.

In de huidige wereld van software werken we alsof deze auto's direct de weg op mogen rijden zonder dat iemand kijkt of de weg veilig is. Ze sturen een signaal naar een verkeerslicht ("Ik ga door!"), en het licht doet wat ze zeggen. Als de auto per ongeluk denkt dat er geen auto's aankomen, terwijl er juist een trein passeert, is het ongeluk niet meer te voorkomen. Dit is het probleem met de huidige API-architectuur: het vertrouwt blindelings op de "bestuurder".

OpenKedge is een nieuw systeem dat dit volledig verandert. Het introduceert een verkeersregelaar die niet alleen kijkt of de auto een rijbewijs heeft, maar ook waarom hij wil rijden, of het op dat moment veilig is, en hoe hij precies mag rijden.

Hier zijn de drie belangrijkste onderdelen van dit nieuwe systeem, uitgelegd met alledaagse voorbeelden:

1. Geen Direct Bevel, Maar een "Verzoek" (Intentie)

In het oude systeem schreeuwt een robot: "Doe dit!" en het systeem doet het.
Bij OpenKedge moet de robot eerst een officieel verzoek indienen.

• De Metafoor: Stel je voor dat je een bouwvakker bent die een muur wil slopen. In het oude systeem mag hij gewoon de sloophamer pakken en slaan. Bij OpenKedge moet hij eerst een formulier invullen: "Ik wil deze muur slopen om ruimte te maken voor een raam."
• Het Voordeel: Het systeem kijkt eerst of dit verzoek logisch is. Is er echt een raam nodig? Is de muur wel veilig om te slopen? Als de robot hallucineert en denkt dat er een raam moet komen, terwijl er juist een steunbalk zit, wordt het verzoek afgekeurd voordat er ook maar één steen wordt verpletterd.

2. De "Tijdelijke Pas" (Execution Contracts)

Zelfs als het verzoek wordt goedgekeurd, krijgt de robot geen volledige sleutel tot de stad.

• De Metafoor: Stel je voor dat je een sleutel krijgt om een huis te betreden. In het oude systeem heb je een hoofdsleutel die alle deuren in het hele gebouw opent, ook die van de buren. Als je per ongeluk de verkeerde deur opent, is het huis van de buren kapot.
• Bij OpenKedge krijg je een tijdelijke, beperkte pas (een task-oriented identity).
  • Je mag alleen de specifieke deur openen die op je formulier stond.
  • Je mag alleen 5 minuten binnen zijn.
  • Als je probeert een andere deur te openen of langer blijft, gaat de pas direct plat.
• Het Voordeel: Zelfs als de robot gek wordt en probeert alles te vernietigen, kan hij fysiek niet verder dan wat op zijn pas staat. De schade is ingeperkt tot één klein kamertje in plaats van het hele gebouw.

3. De "Onuitwisbare Fotoreeks" (IEEC)

Elke stap die wordt gezet, wordt vastgelegd in een onuitwisbare keten van bewijs.

• De Metafoor: Stel je voor dat elke beslissing in de stad wordt gefilmd met een camera die niet kan worden gemanipuleerd.
  • Wie heeft het verzoek gedaan?
  • Waarom dachten ze dat het veilig was?
  • Welke regels werden toegepast?
  • Wat is er precies gebeurd?
• Dit heet de Intent-to-Execution Evidence Chain (IEEC). Het is alsof je niet alleen een foto maakt van het ongeluk, maar ook de hele film terugkijkt om te zien: "Ah, de robot dacht dat het veilig was, maar de verkeersregelaar zag de trein niet."
• Het Voordeel: Je kunt elk incident perfect reconstrueren. Je weet altijd precies waarom iets is gebeurd en wie er verantwoordelijk was.

Waarom is dit zo belangrijk?

Vroeger dachten we dat we AI-agenten veilig konden maken door ze slimmer te maken (beter redeneren). Maar dit paper zegt: "Nee, dat is niet genoeg." Zelfs de slimste robot kan hallucineren of in de war raken.

OpenKedge zegt: "Wees niet bang voor de robot; maak het systeem zo dat de robot nooit echt schade kan aanrichten, zelfs niet als hij gek wordt."

Het verschuift de focus van:

• "Hoe maken we de robot slimmer?"
  naar:
• "Hoe bouwen we een systeem dat fouten van de robot opvangt voordat ze gebeuren?"

Samenvatting in één zin

OpenKedge is een veiligheidsnet voor AI-agenten dat zorgt dat elke actie eerst wordt gecontroleerd op veiligheid, beperkt wordt tot een klein en tijdelijk gebied, en volledig wordt vastgelegd in een onuitwisbaar dagboek, zodat we nooit meer blindelings vertrouwen op wat robots zeggen.

Technische samenvatting

Titel: OpenKedge: Agente Mutatie Beheren met Uitvoeringsgebonden Veiligheid en Bewijsketens

1. Het Probleem: De Fundamentele Tekortkoming van API-centric Architecturen

De opkomst van autonome AI-agenten blootlegt een fundamenteel tekortkoming in moderne softwaresystemen die zijn gebaseerd op API-centric architecturen.

• Passieve API's: Traditionele systemen vertrouwen op passieve API's die mutaties (veranderingen in systeemstatus) blindelings uitvoeren zodra ze worden aangeroepen. Deze systemen gaan ervan uit dat de aanroeper deterministisch, correct en contextbewust is.
• Risico's in Agente Omgevingen: In probabilistische omgevingen (waar AI-agenten opereren) zijn deze aannames ongeldig. Agenten kunnen hallucinaties vertonen, verouderde context gebruiken of conflicterende acties uitvoeren.
• Gevolgen: Dit leidt tot catastrofale fouten, zoals service-uitval, cascaderende storingen en onbedoelde mutaties (bijv. het verwijderen van een database die nog actief wordt gebruikt).
• Gebrek aan Governance: Bestaande veiligheidsmaatregelen (zoals runtime-filtering of syntactische validatie) zijn reactief en behandelen veiligheid als een "filterprobleem". Ze missen een diepgaande semantische validatie, globale context en mechanismen voor het oplossen van conflicten tussen meerdere agenten.

2. Methodologie: Het OpenKedge Protocol

OpenKedge introduceert een fundamentele architecturale verschuiving: van directe uitvoering naar gecontroleerde mutatie. Het protocol vervangt directe API-aanroepen door een gestructureerde pipeline die intenties beoordeelt voordat uitvoering plaatsvindt.

Kerncomponenten:

• Intentie-gebaseerde Voorstellen: Agenten (en menselijke operators) mogen geen directe commando's sturen. In plaats daarvan moeten ze declaratieve intentievoorstellen indienen die het gewenste resultaat beschrijven, niet de uitvoeringsmethode.
• Contextuele Evaluatie: Elk voorstel wordt strikt geëvalueerd tegen:
  • Huidige systeemstatus (globale context).
  • Temporele signalen (tijdsgerelateerde constraints).
  • Beleid (policy constraints) en autoriteit.
• Uitvoeringscontracten: Goedgekeurde intenties worden gecompileerd tot strikte uitvoeringscontracten. Deze contracten definiëren exact:
  • Toegestane acties ($a$).
  • Resource scope ($r$).
  • Tijdsvaliditeit ($t$).
• Task-Oriented Identiteiten: Uitvoering wordt geforceerd via kortstondige, taakgerichte identiteiten (ephemeral identities). Deze identiteiten hebben alleen de rechten die strikt nodig zijn voor het specifieke contract, wat privilege-escalatie en ongeautoriseerde toegang fysiek onmogelijk maakt.
• Event Sourcing & Deterministische Afleiding: De systeemstatus wordt niet direct overschreven, maar afgeleid uit een append-only logboek van onveranderlijke gebeurtenissen. Dit garandeert deterministische herstelbaarheid en volledige traceerbaarheid.

De Intent-to-Execution Evidence Chain (IEEC):
Een cruciale innovatie is de IEEC. Dit is een cryptografisch gekoppelde bewijsketen die elke fase van de levenscyclus vastlegt:

1. De initiële intentie.
2. De gebruikte context.
3. Het beleidsbesluit (waarom goedgekeurd/afgekeurd).
4. De uitvoeringsgrenzen.
5. Het uiteindelijke resultaat.
   Dit maakt elke mutatie niet alleen traceerbaar, maar ook herleidbaar en verifieerbaar.

3. Belangrijkste Bijdragen

1. Intent-Governed Mutation Protocol: Een nieuw protocol dat mutatie decoupeert van uitvoering. Het zorgt ervoor dat alleen semantisch geldige en conflictvrije mutaties worden toegelaten, gebaseerd op globale context en beleid.
2. Uitvoeringsgebonden Veiligheid via Contracten: Door gebruik te maken van tijdelijke, taakgerichte identiteiten en strikte contracten, wordt de uitvoering fysiek gebonden aan de goedgekeurde scope. Zelfs als een agent hallucineert, kan de uitvoering niet buiten de contractgrenzen treden.
3. Intent-to-Execution Evidence Chain (IEEC): Een cryptografische lineage die intentie, context, beslissingen en uitvoering verbindt. Dit creëert een nieuwe invariant: elke mutatie moet zowel uitvoeringsgebonden als verklaarbaar zijn.

4. Resultaten en Evaluatie

De auteurs hebben OpenKedge geëvalueerd via een referentie-implementatie genaamd Riftront en een simulatie in cloud-infrastructuur (AWS).

• Conflictbeslechting: In scenario's met concurrerende intenties (mens vs. agent, of agent vs. agent) slaagde het systeem erin om conflicten deterministisch op te lossen op basis van autoriteit, vertrouwensscores en temporaliteit, zonder distributed locking.
• Veiligheid bij Hallucinaties:
  • Scenario 1: Een agent probeerde een "ongebruikte" compute-instantie te verwijderen. OpenKedge keurde dit af omdat de live-topologie aangeeft dat er afhankelijke diensten op draaiden.
  • Scenario 2: Een agent probeerde een cluster te verkleinen tijdens piekverkeer. Het beleid blokkeerde dit omdat het beschikbaarheidsconstraints schond.
• Performance: Het systeem behaalde een doorvoer van 3.200 mutaties per seconde met een latency van <30 ms voor de 99e percentiel, zelfs onder hoge concurrentie. De overhead van beleidsvalidatie was gemiddeld 11 ms per verzoek.
• Determinisme: Identieke werklasten leverden altijd identieke uitvoeringscontracten, gebeurtenislogboeken en systeemstatussen op, wat aantoont dat asynchrone race-conditions effectief worden voorkomen.

5. Betekenis en Conclusie

OpenKedge biedt een principieel fundament voor het veilig operationeren van agente systemen op schaal.

• Paradigmaverschuiving: Het verlegt de focus van het controleren van hoe acties worden uitgevoerd (runtime filtering) naar het regeren van welke statusovergangen zijn toegestaan (governance).
• Van Reactief naar Preventief: Veiligheid wordt een fysieke eigenschap van de uitvoering, niet slechts een heuristische poging.
• Toekomstbestendigheid: De architectuur is toepasbaar op diverse domeinen, van DevOps en cloud-infrastructuur tot IoT-netwerken en gedistribueerde ledgers.

Kortom, OpenKedge lost het fundamentele risico op dat autonome AI-agenten onbeheersbare schade aanrichten door mutaties te transformeren van een onzichtbaar neveneffect van API-aanroepen naar een deterministisch, auditabel en herleidbaar proces.