Wir haben gerade Veil veröffentlicht, eine Open-Source-Beweis-Schicht für autonome KI-Agenten, unter Apache 2.0.
Hier ist das Problem, das es löst, und warum "Vertrau mir, meine Protokolle sind in Ordnung" bald nicht mehr akzeptabel sein wird.
Vor sechs Monaten bei Vanar haben wir xBPP ausgeliefert, einen offenen Standard, um zu entscheiden, ob ein KI-Agent eine bestimmte Aktion durchführen darf.
ERLAUBEN, BLOCKIEREN oder ESCALIEREN. Es hat das, was wir die Agentenlücke genannt haben, geschlossen: die Frage, ob ein Agent handeln sollte, sauber getrennt von der Frage, ob er es kann.
Heute schließen wir die andere Hälfte ab.
Denn sobald ein Agent gehandelt hat, sobald er das Geld bewegt, die Transaktion signiert, den Bericht eingereicht hat, wird irgendwann jemand dich bitten, zu beweisen, was er getan hat. Und wie es aussieht, können die meisten Teams das nicht.
Die Prüfungs-Lücke.
KI-Agenten sind nicht mehr nur Chats. Sie signieren Transaktionen. Bewegen Treasury-Fonds. Reichen Spesenberichte ein. Verhandeln Preise mit Lieferanten. Führen Compliance-Workflows aus. Jede dieser Aktionen ist eine Entscheidung, die irgendwann jemand verteidigen muss.
Und gerade jetzt hat fast jedes Team, das Produktionsagenten betreibt, eine von drei Prüfungsstrategien, die alle fehlerhaft sind.
Die erste sind Anwendungsprotokolle. Änderbar. Ungeregelt. Fehlt normalerweise das Warum hinter einer Entscheidung. Nutzlos als grenzüberschreitender Beweis. Wenn du jemals rekonstruieren musstest, was in einem Vorfall aus einer Datadog-Abfrage passiert ist, weißt du genau, wie schlecht das skaliert.
Die zweite sind Datenbankereignistabellen. Klartext, was bedeutet, dass jeder mit Lesezugriff die Kundenerzählung sieht, ist eine Compliance-Katastrophe, die darauf wartet, dass sie passiert.
Änderbar, was bedeutet, dass es manipulierbar ist. Und keine Produzentenunterschrift, was bedeutet, dass es keinen dauerhaften Identitätspfad gibt. Du kannst tatsächlich nicht beweisen, wer die Entscheidung getroffen hat.
Das Dritte ist, alles on-chain zu bringen. Onchain ist öffentlich. Öffentlich ist für die überwiegende Mehrheit der Geschäftsdaten inakzeptabel. "Leg es einfach auf eine Blockchain" ist die Antwort von jemandem, der noch nie einen CFO getroffen hat.
Was fehlt, ist ein Datensatzformat, das verschlüsselt (damit der sensible Kontext privat bleibt), signiert (damit Produzenten zur Verantwortung gezogen werden können), indexierbar (damit Prüfer nicht entschlüsseln müssen, um zu prüfen) und verkettbar ist (damit der Lebenszyklus einer einzigen Entscheidung, Anfrage, Genehmigung, Ausführung zusammen als eine nachweisbare Einheit bleibt).
Das ist es, was Veil und VeilCapsule bieten. Und seit heute ist es unter npm unter Apache 2.0 verfügbar.
Die Design-Erkenntnis: indexierbar UND verschlüsselt.
Das ist die Designentscheidung, die VeilCapsule von einer generischen verschlüsselten Datenbank unterscheidet. Und es ist die, auf der ich verweilen möchte, denn die meisten Teams, die versuchen, eine Prüfungs-Engine zu bauen, machen diesen Fehler.
Die meisten verschlüsselten Systeme erfordern einen Kompromiss. Entweder kannst du die Daten durchsuchen, in welchem Fall die Verschlüsselung nicht wirklich etwas schützt, oder du kannst es nicht, in welchem Fall die Daten nicht wirklich nützlich sind. Prüfer können nicht prüfen, was sie nicht lesen können. Compliance-Reviewer werden blockiert. Operationsteams erstellen Schatten-CSV-Dateien, die den gesamten Zweck zunichte machen.
VeilCapsule teilt den Datensatz in zwei Schichten.
• Die strukturierte Klartextschicht, Betrag, Währung, Empfänger, Genehmiger, Zeitstempel, Entscheidung, das Tool, das genannt wird. In der Datenbank indexiert. Abfragbar wie jede normale Spalte.
• Die verschlüsselte Erzählungsschicht, die Begründung des LLM, die ursprüngliche Anweisung des Benutzers, der Kontext der Anbieter-Negotiation. Nur vom vorgesehenen Betrachter entschlüsselbar.
Ein Compliance-Reviewer kann aggregierte Abfragen wie "Zeig mir jede Agentenentscheidung über zehntausend Dollar, die nicht von einem Menschen zwischen Q1 und Q3 genehmigt wurde" gegen zehntausend Kapseln ausführen, ohne jemals einen einzigen Datensatz zu entschlüsseln.
Sie sehen, dass es passiert ist und was für eine Art von Sache es war. Nur wenige Datensätze der strukturierten Signale erfordern einen tieferen Blick auf die Erzählung.
Der Prüfer sieht, dass es passiert ist und was für eine Art von Sache es war. Sie entschlüsseln nur die wenigen Datensätze, die die strukturierten Signale erfordern, um einen näheren Blick auf die Erzählung zu werfen.
Das ist die Eigenschaft, die Veil tatsächlich als ein System von Aufzeichnungen nutzbar macht. Nicht eine Datenbank mit aufgesetzter Verschlüsselung. Ein Datensatzformat, das von Grund auf so konzipiert ist, dass es inspiziert werden kann, ohne exponiert zu werden.
So sieht es in der Praxis aus.
Konkretes Beispiel. Ein Benutzer gibt in einen Discord-Bot ein: "2550 für den Flug von LHE nach DXB zu 0xaC773…"
Der Betrag überschreitet die $50 Eskalationsschwelle, mit der der Agent konfiguriert wurde. Daher werden drei Kapseln geschrieben, die durch eine einzige action_id verbunden sind:
• Kapsel 1, ESKALIEREN. Der Agent zeichnet auf, was angefordert wurde, warum es eskaliert ist und wer es angefordert hat. Die Erzählung, die genaue Formulierung des Benutzers und die Begründung des LLM sind verschlüsselt. Die Klartext-Metadaten erfassen den Betrag, die Währung, den Empfänger und den Eskalationsgrund.
• Kapsel 2, GENEHMIGT. Ein menschlicher Genehmiger antwortet in Discord. Die Begründung des Genehmigers ist verschlüsselt. Der Klartext erfasst, wer genehmigt hat, wann und dass die action_id dieselbe wie cap1 ist.
• Kapsel 3, AUSGEFÜHRT. Die Übertragung wird durchgeführt. Klartext erfasst den txHash und den Erfolgstatus; die verschlüsselte Schicht erfasst die Begründung des Ausführenden und jeden Fehlerkontext.
Lies diese drei Datensätze zusammen, und ein Prüfer kann beweisen, was angefordert wurde, warum es eskaliert ist, wer es von wo eskaliert hat, wer es genehmigt hat und wann, dass die Ausführung mit der genehmigten Absicht übereinstimmt und was die Kette erreicht hat, alles ohne die Erzählung zu entschlüsseln.
Die Erzählung, die Begründung des LLM und die genauen Worte des Benutzers bleiben nur für den vorgesehenen Empfänger lesbar.
Wenn etwas sechs Monate später schiefgeht, sind die forensischen Untersuchungen nicht heroisch. Sie sind ein einzelner SQL-Join.
Der nicht verwahrende Modus.
Es gibt eine zweite Designentscheidung, die es wert ist, hervorgehoben zu werden, denn sie ist die, die für Verbraucheranwendungen am wichtigsten ist.
Standardmäßig sind Veil-Kapseln an den Betreiber verschlüsselt. Das ist in Ordnung für eine Unternehmenstreasury-Bereitstellung, bei der der Betreiber der einzige beabsichtigte Prüfer ist. Aber für einen verbraucherorientierten Agenten, einen persönlichen KI-Zahlungsdienstleister, einen Assistenten, der deine Abonnements verwaltet, einen Bot, der Rechnungen mit deinen Freunden aufteilt, sollte der Betreiber deine Daten nicht lesen können.
So wird Veil mit einem nicht verwahrenden Modus ausgeliefert. Der Benutzer leitet ein Veil-Schlüsselpaar aus einer Signatur in seinem eigenen EVM-Wallet ab. Ihr öffentlicher Schlüssel wird einmal beim Betreiber registriert. Von diesem Zeitpunkt an wird jede Kapsel über diesen Benutzer an ihn verschlüsselt.
Der Betreiber speichert den Chiffretext, kann ihn aber nicht entschlüsseln. Nur der Benutzer kann durch erneutes Signieren der Ableitungsnachricht in seinem Wallet den geheimen Schlüssel regenerieren und seine eigene Prüfgeschichte lesen.
Die Implikationen sind bedeutend. Ein Betreiber kann vorgeladen werden und nur Chiffretext produzieren. Ein Verbraucher-KI-Assistent kann Millionen von Benutzern bedienen und bleibt dabei strukturell unfähig, ihre Daten zu lesen. Die gleichen Primitiven, die Web3 die Selbstverwahrung von Geld ermöglichten, geben jetzt die Selbstverwahrung des Prüfpfads.
Wo Veil im Stack sitzt.
Veil ist die Evidenzschicht. Sie sitzt unter den Teilen des Stacks, die Entscheidungen treffen, xBPP, unserem offenen Richtlinienstandard, und den Teilen, die menschliche Genehmigungen verwalten. Sie speist den Teil des Stacks, der die Vanar Governance-Konsole visualisiert, die jede Organisation verwenden kann, um ihre Kapselketten als Zeitlinien zu inspizieren, nach strukturierten Metadaten zu filtern und die Erzählung selektiv für autorisierte Zuschauer zu entschlüsseln.
Die vollständige Annahme des Vanar-Stacks bedeutet xBPP für automatisierte Richtlinien, die Genehmigungsengine für menschliche Eingriffe, wo die Richtlinie es erfordert, Veil für den signierten und verschlüsselten Datensatz und die Konsole für die menschenlesbare Oberfläche über diese Datensätze. Jedes Teil kann unabhängig übernommen werden. Der gesamte Stack interoperiert konventionell.
Und es sitzt bequem neben dem Rest des Agenten-Ökosystems. x402, ERC-8004, ACP, diese Standards definieren, wie Agenten bezahlen. Veil definiert, welche Beweise bleiben, nachdem sie es getan haben. Wir konkurrieren mit keinem von ihnen. Wir füllen die gleiche Lücke, auf die sie alle hingewiesen haben und die sie nicht geschlossen haben.
Warum das gerade jetzt wichtig ist.
Drei Kräfte konvergieren.
KI-Agenten machen den Sprung von Chat zu Aktion. Produktionsbereitstellungen im Jahr 2026 sind nicht mehr experimentell. Die Agenten, die Treasury-Operationen bei einem Fortune-500-Unternehmen im nächsten Jahr durchführen, existieren heute bereits als Prototypen. Die Frage ist, welche Prüfungs-Engine sie mitbringen.
Regulierungsbehörden holen auf. Das EU AI-Gesetz, MiCA und die Richtlinien der SEC zur automatisierten Entscheidungsfindung erfordern alle auditierbare Aufzeichnungen von KI-Entscheidungen. "Vertrau mir, meine Protokolle sind in Ordnung" hört auf, akzeptabel zu sein. Auditierbar, signiert, verschlüsselt, abfragbar - das ist die Messlatte.
Und die Benutzer fordern die Kontrolle über ihre eigenen Daten. Die Kräfte, die die DSGVO und die Datenschutzpositionierung von Apple hervorgebracht haben, erzeugen jetzt eine Nachfrage nach benutzerbesessenen Prüfpfaden, wenn KI in ihrem Namen handelt. Die Unternehmen, die dies richtig machen, werden den marktführenden Verbraucher-Agentenmarkt besitzen. Diejenigen, die es nicht tun, werden weiterhin für Verstöße um Entschuldigung bitten.
Die Teams, die die Prüfungs-Engine jetzt richtig aufbauen, werden die sein, die in achtzehn Monaten KI-Agenten an regulierte Käufer verkaufen. Die Teams, die Protokolle zusammenflicken, werden auf Vorladungen antworten müssen.
Beweis, nicht Versprechen.
Wenn dein KI-Agent Entscheidungen trifft, die wichtig sind, und zunehmend alle von ihnen, benötigst du eine Evidenzschicht, die einer Prüfung standhält.
Anwendungsprotokolle sind es nicht. Klartextdatenbanken sind es nicht. Blockchain ist es nicht.
Veil ist speziell die Form des Evidenzdatensatzes, nach der die regulierte Welt gefragt hat: verschlüsselt, signiert, indexierbar, verkettbar und überprüfbar, durch genau die richtigen Parteien, genau dann, wenn sie dazu berechtigt sind.
Die Pakete sind auf npm live. Die Krypto ist Standard. Die Konvention ist offen. Apache 2.0, mit einer Patentgenehmigung, damit dein juristisches Team es ohne Reibung übernehmen kann.
Wir haben xBPP veröffentlicht, weil die Frage, ob ein Agent handeln sollte, einen Standard benötigte, bevor Agenten in die Produktion gehen konnten. Wir veröffentlichen Veil aus demselben Grund, denn die Frage, was sie getan haben, muss beantwortet werden. Von dir. Von deinem Prüfer. Von deinem Regulierer. Und vom Benutzer.
npm- und GitHub-Pakete für Veil Capsule und Veil Keys aus Wallet sind jetzt unter der Apache 2.0-Lizenz verfügbar.
Vollständige Dokumentation, Spezifikationen und das gesamte Kapselschema finden Sie unter https://veilprotocol.org/