OpenKedge: Governing Agentic Mutation with Execution-Bound Safety and Evidence Chains

OpenKedge 是一种通过要求代理提交声明式意图提案、将其编译为受严格约束的执行合约，并建立意图到执行的加密证据链，从而将 AI 代理的状态突变从概率性 API 调用转变为可验证、可审计且安全受控的治理过程的协议。

要点

这篇论文提出了一种名为 OpenKedge 的新协议，旨在解决一个核心问题：当人工智能（AI）代理（Agents）开始像人类一样自主操作电脑系统时，如何防止它们因为“太自信”或“搞错状况”而把系统搞崩？

为了让你轻松理解，我们可以把现代软件系统想象成一个繁忙的机场，而 AI 代理就是自动化的地勤机器人。

1. 现状：混乱的“直接指挥”模式

在传统的系统中，AI 机器人想做什么（比如关闭一个服务器、删除一个数据库），它会直接对着系统喊一声：“我要关这个！”系统就会无条件执行。

• 比喻：这就好比一个刚上岗、还没完全搞懂机场运行图的新机器人，它看到一架飞机停在跑道上，就大喊：“这飞机挡路了，把它推走！”
• 后果：它不知道那架飞机其实正在加油，或者上面还有乘客。结果就是：飞机被推走，乘客摔伤，整个机场瘫痪。
• 论文指出的问题：现在的系统太“老实”了，只要收到指令就执行，不管指令是不是在错误的时间、错误的地点、由错误的机器人发出的。

2. 解决方案：OpenKedge（智能“调度中心”）

OpenKedge 提出了一种全新的管理方式：不要直接执行命令，先提交“意图申请”。

它把整个流程变成了一个严格的审批链条，就像机场的空中交通管制塔（ATC）。

核心步骤（用比喻解释）：

第一步：提交“意图”而不是“命令”

• 旧模式：机器人直接按按钮（执行）。
• OpenKedge 模式：机器人必须先写一张**“请假条”或“施工申请单”**（Intent Proposal）。
  • 例子：机器人不再直接说“关掉服务器 A"，而是说“我打算在 10 分钟后关掉服务器 A，因为我觉得它没用了”。

第二步：全局“背景调查”与“规则审核”

• 在批准之前，OpenKedge 的“调度中心”会做三件事：
  1. 看背景（Context）：现在真的没人用服务器 A 吗？有没有其他任务依赖它？
  2. 查规则（Policy）：现在的政策允许关机吗？是不是有人类管理员正在操作？
  3. 算时间（Temporal）：这个想法是 1 秒前产生的，还是 1 小时前过时的？（防止机器人拿着旧地图找新大陆）。
• 比喻：管制塔会查雷达、查航班表、查天气。如果发现那架飞机正在加油，管制塔会直接对机器人说："驳回！现在不能动那架飞机。"

第三步：颁发“限时通行证”（执行合同）

• 如果申请通过了，系统不会给机器人一把万能钥匙，而是给它一张**“限时、限地、限事的通行证”**（Execution Contract）。
• 比喻：机器人拿到了一张只能在 5 分钟内、只能针对这架特定飞机、只能做“推走”这一件事的临时工牌。
• 安全锁：如果机器人突然“发疯”了（比如 AI 幻觉），想顺便把旁边的油罐车也推走，系统会立刻阻止，因为它的工牌上没写这个权限。

第四步：全程“黑匣子”记录（证据链 IEEC）

• 这是 OpenKedge 最厉害的地方。它把从“机器人想做什么”到“最后实际做了什么”的每一步，都像飞机的黑匣子一样，用密码学技术串起来，形成一条不可篡改的证据链（IEEC）。
• 比喻：以前出事了，只能查“谁按了按钮”。现在，你可以回放整个录像：机器人为什么这么想？调度塔查了什么数据？为什么批准了？最后执行时有没有越权？
• 好处：出了事，不仅能修好，还能完美复盘，知道到底是哪里出了问题。

3. 为什么这很重要？（核心价值）

这篇论文其实是在说：我们不能指望 AI 永远不犯错，所以系统本身必须变得“防呆”。

• 从“事后救火”变成“事前防火”：以前是等 AI 删库跑路了再去修；现在是 AI 刚想删库，系统就把它拦住了。
• 解决“抢椅子”问题：如果有两个机器人同时想修改同一个设置，OpenKedge 会根据“谁更资深（权限）”、“谁更靠谱（信任分）”、“谁更及时（时间）”来自动决定听谁的，不会让系统乱套。
• 让 AI 变得“可解释”：以前 AI 操作像个黑盒，现在每一步都有据可查，人类管理者可以完全放心地把大权交给 AI，因为系统有最后一道“安全锁”。

总结

OpenKedge 就像是为 AI 机器人世界建立的一套**“宪法”和“司法系统”**。

它不再信任机器人“直接动手”，而是要求它们先申请、再审核、拿临时通行证干活、最后留案底。这样，即使 AI 偶尔会“发疯”或“看走眼”，整个系统也能保证安全、有序，并且出了事能查得清清楚楚。

这就好比给一群拥有超能力的孩子（AI）戴上了安全绳，让他们既能自由奔跑，又不会掉下悬崖。

技术摘要

OpenKedge 论文技术总结

1. 研究背景与核心问题 (Problem Definition)

随着自主 AI 智能体（Autonomous AI Agents）在 API、数据库和云基础设施中的广泛应用，传统的**以 API 为中心（API-centric）**的架构暴露出了根本性的缺陷。

• 核心矛盾：现代基础设施依赖被动的 API，这些 API 假设调用者是确定性的、具备上下文感知能力的且相互隔离的。然而，AI 智能体本质上是概率性的（Probabilistic），它们可能在缺乏完整上下文、存在幻觉（Hallucination）或与其他智能体冲突的情况下直接执行状态变更（Mutation）。
• 现有架构的失败模式：
  1. 上下文盲区（Contextual Blindness）：API 请求在隔离中执行，忽略系统全局状态、时间约束和依赖关系。
  2. 多智能体冲突（Multi-Agent Conflict）：多个智能体（人类或 AI）并发发出互斥的更新，缺乏确定性的仲裁机制。
  3. 不安全变更（Unsafe Mutation）：概率性智能体可能生成幻觉指令，导致破坏性且不可逆的状态改变（如误删生产数据库）。
  4. 缺乏端到端可追溯性：传统架构缺乏对 AI 发起的变更进行语义级审查和因果追溯的机制。
  5. 无界权限（Unbounded Authority）：执行依赖持久且广泛的凭证，导致变更范围超出预期。

结论：仅仅改进 LLM 的推理能力是不够的，必须从架构层面重新定义“状态变更”的过程，从“直接执行”转向“受治理的决策过程”。

2. 方法论：OpenKedge 协议 (Methodology)

OpenKedge 提出了一种基于**意图（Intent）**的治理协议，将状态变更从“立即执行的 API 调用”重构为“受治理的意图提案流程”。其核心架构包含以下关键组件：

2.1 核心流程

1. 意图提案（Intent Proposal）：智能体不再直接调用 API，而是提交结构化的声明式意图提案（描述“想要达到什么结果”）。
2. 上下文与策略评估（Context & Policy Evaluation）：系统根据实时全局状态（如资源依赖、流量信号）、时间信号和确定性策略（Policy）对提案进行严格评估。
3. 执行合约生成（Execution Contract Generation）：获批的意图被编译为执行合约，明确界定允许的动作（Action）、资源范围（Resource Scope）和时间有效性（Temporal Validity）。
4. 任务导向身份执行（Task-Oriented Identity Enforcement）：合约通过临时生成的、短生命周期的任务导向身份（Ephemeral Identities）强制执行。这些身份被严格限制在合约定义的边界内，防止权限提升或越界操作。
5. 状态推导（State Derivation）：所有变更被记录为不可变的事件流，系统状态通过事件溯源（Event Sourcing）确定性推导得出。

2.2 关键技术机制

• 意图到执行证据链 (IEEC, Intent-to-Execution Evidence Chain)：
  • 这是一个加密链接的、追加只读的日志链。
  • 它将意图、上下文、策略决策、执行边界和最终结果绑定为一个统一的可追溯谱系。
  • 实现了从“被动审计”到“确定性验证”的转变，确保每个变更都可解释、可重构。
• 多智能体协调与仲裁：
  • 利用静态角色权限（Authority）、**动态信任评分（Trust Scores）和时间新鲜度（Temporal Recency）**构建多维仲裁函数。
  • 在冲突发生时，系统能确定性地将高优先级、高信任度的意图覆盖低优先级或过时的意图，无需分布式锁。
• 基于事实的状态表示：
  • 采用事件溯源架构，系统真理（System Truth）仅由不可变事件序列推导，确保状态推导的确定性和可重放性。

3. 主要贡献 (Key Contributions)

1. 基于意图的变更治理协议（Intent-Governed Mutation Protocol）：
   • 重新定义了智能体系统中的状态变更，将“意图”与“执行”解耦。
   • 通过全局上下文和策略评估，确保只有语义有效且无冲突的变更被允许。
2. 基于合约的执行边界安全（Execution-Bound Safety via Contracts）：
   • 引入执行合约和临时任务身份，将物理执行严格限制在批准的范围内。
   • 即使智能体发生幻觉或受到攻击，物理执行层也能保证不越界，将爆炸半径（Blast Radius）控制在最小。
3. 意图到执行证据链 (IEEC)：
   • 建立了一个新的不变量：所有变更必须既是执行有界的，又是谱系可解释的。
   • 提供了确定性的审计能力和系统行为推理能力，填补了 AI 驱动变更在可追溯性上的空白。

4. 实验结果 (Results)

研究团队构建了参考实现 Riftront，并在物理业务状态管理和云基础设施（AWS）DevOps 场景下进行了评估：

• 冲突仲裁正确性：
  • 在人类操作员与 AI 智能体并发冲突的场景中，系统能根据权限和信任度确定性拒绝不合理的智能体意图。
  • 在同等权限的智能体竞争场景中，系统基于时间新鲜度和信任评分成功仲裁，无需分布式锁。
• 高影响力基础设施安全：
  • 场景 1（不安全资源删除）：智能体试图删除被标记为“未使用”但实际有下游依赖的实例。OpenKedge 基于实时拓扑图在策略层拦截了该请求，阻止了灾难性变更。
  • 场景 2（流量盲视扩容）：智能体试图在流量高峰期缩减集群容量。系统基于实时负载数据拦截了该操作。
  • 结果：所有模拟的危险状态转换均在执行前被成功“笼住”（Caged），且 admitted 的变更严格受限于临时 STS 令牌。
• 确定性与性能：
  • 确定性：在 10,000 个并发提案的负载下，重复运行产生了完全相同的事件日志和系统状态，证明了无异步竞争条件。
  • 性能：在 AWS m5.2xlarge 实例上，策略评估平均延迟为 11ms，状态推导第 99 百分位延迟 <30ms。系统吞吐量峰值达到 3,200 次变更/秒，未出现吞吐量下降，证明了其可扩展性。

5. 意义与影响 (Significance)

• 架构范式的转变：OpenKedge 推动了从“被动执行 API"到“主动意图治理”的根本性转变。它不再假设调用者是可信的，而是假设所有输入都是不可信的，必须经过治理。
• 执行边界安全作为一等公民：将安全从“运行时过滤”提升为“执行时的物理约束”。即使上游模型出错，下游执行层也能通过加密合约和临时身份保证系统安全。
• 可审计性与信任：IEEC 为 AI 驱动的系统操作提供了数学上可验证的因果链条，解决了 AI 决策“黑盒”问题，使得系统行为可解释、可重构。
• 规模化应用的基础：该协议为在大规模生产环境中安全地部署自主 AI 智能体提供了原则性基础，特别是在 DevOps、云管理和物联网等高风险领域。

总结：OpenKedge 通过引入意图治理、执行合约和全链路证据链，解决了自主智能体在概率性推理下直接操作基础设施所带来的根本性安全风险，为构建安全、可靠、可审计的下一代智能系统奠定了架构基石。