Właśnie wypuściliśmy Veil, otwartą warstwę dowodową dla autonomicznych agentów AI, na licencji Apache 2.0.
Oto problem, który rozwiązujemy, i dlaczego "zaufaj mi, moje logi są w porządku" wkrótce przestanie być akceptowalne.
Sześć miesięcy temu w Vanar, wypuściliśmy xBPP, otwarty standard do decydowania, czy agent AI powinien mieć pozwolenie na podjęcie danej akcji.
ALLOW, BLOCK, lub ESCALATE. Zamyka to, co nazywaliśmy Luką Agentyczną: pytanie, czy agent powinien działać, oddzielone czysto od pytania, czy może.
Dziś zamykamy drugą część.
Ponieważ gdy tylko agent zadziała, gdy tylko przeniesie pieniądze, podpisze transakcję, złoży raport, ktoś w końcu poprosi cię o udowodnienie, co zrobił. A jak się sprawy mają, większość zespołów nie potrafi.
Luka audytu.
Agenci AI nie są już tylko czatem. Podpisują transakcje. Przenoszą fundusze skarbcowe. Składają raporty wydatków. Negocjują ceny z dostawcami. Wykonują przepływy pracy związane z zgodnością. Każda z tych akcji to decyzja, którą ktoś w końcu zostanie poproszony o obronę.
A teraz prawie każdy zespół prowadzący produkcyjne agenty ma jedną z trzech strategii audytowych, z których każda jest wadliwa.
Pierwsza to logi aplikacji. Zmienne. Nieuregulowane. Zwykle brakuje w nich uzasadnienia decyzji. Bezużyteczne jako dowody międzyorganizacyjne. Jeśli kiedykolwiek musiałeś odtworzyć, co się wydarzyło w incydencie na podstawie zapytania Datadog, wiesz dokładnie, jak źle to się skaluje.
Drugą są tabele zdarzeń bazy danych. Tekst jawny, co oznacza, że każdy z dostępem do odczytu widzi narrację klienta, co jest katastrofą zgodności czekającą na wydarzenie.
Zmienny, co oznacza, że można go manipulować. I brak podpisu producenta, co oznacza brak trwałego śladu tożsamości. Tak naprawdę nie możesz udowodnić, kto podjął decyzję.
Trzecim jest umieszczanie wszystkiego na łańcuchu. Na łańcuchu jest publicznie. Publiczne jest niedopuszczalne dla zdecydowanej większości danych biznesowych. "Po prostu umieść to na blockchainie" to odpowiedź kogoś, kto nie spotkał CFO.
Brakuje formatu rekordu, który jest szyfrowany (więc wrażliwy kontekst pozostaje prywatny), podpisany (więc producenci mogą być pociągnięci do odpowiedzialności), indeksowalny (więc recenzenci nie muszą odszyfrowywać, aby przeprowadzać audyt) i łańcuchowy (więc cykl życia jednej decyzji, wniosku, zatwierdzenia, wykonania pozostaje razem jako jedna udowodniona jednostka).
To właśnie Veil i VeilCapsule oferują. A od dziś jest dostępne na npm na licencji Apache 2.0.
Spostrzeżenie projektowe: indeksowalne I szyfrowane.
To jest decyzja projektowa, która oddziela VeilCapsule od ogólnej szyfrowanej bazy danych. I to jest to, na czym chcę się skupić, ponieważ większość zespołów, które próbują zbudować warstwę audytu, popełnia ten błąd.
Większość szyfrowanych systemów wymusza kompromis. Albo możesz przeszukiwać dane, w takim przypadku szyfrowanie tak naprawdę nic nie chroni, albo nie możesz, w takim przypadku dane nie są naprawdę użyteczne. Audytorzy nie mogą przeprowadzić audytu tego, czego nie mogą przeczytać. Recenzenci zgodności napotykają przeszkody. Zespoły operacyjne budują cienie CSV, które obalają cały cel.
VeilCapsule dzieli rekord na dwie warstwy.
• Strukturalna warstwa tekstu jawnego, kwota, waluta, odbiorca, zatwierdzający, znacznik czasu, decyzja, nazwa narzędzia. Zindeksowane w bazie danych. Możliwe do zapytania jak każda normalna kolumna.
• Szyfrowana warstwa narracyjna, rozumowanie LLM, pierwotna instrukcja użytkownika, kontekst negocjacji z dostawcą. Odszyfrowywalne tylko przez zamierzonego widza.
Recenzent zgodności może uruchamiać zapytania zbiorcze, takie jak "pokaż mi każdą decyzję agenta powyżej dziesięciu tysięcy dolarów, która nie została zatwierdzona przez człowieka między Q1 a Q3" przeciwko dziesięciu tysiącom kapsuł, bez odszyfrowania pojedynczego rekordu.
Widzisz, że to się wydarzyło i jakiego rodzaju to było. Tylko kilka rekordów, które sygnał strukturalny wskazuje, wymaga głębszego spojrzenia na narrację.
Audytor widzi, że to się zdarzyło i jakiego rodzaju to było. Odszyfrowują tylko te nieliczne rekordy, które sygnał strukturalny wskazuje na potrzebę bliższego przyjrzenia się.
To jest właściwość, która sprawia, że Veil jest rzeczywiście użyteczny jako system zapisów. Nie baza danych z szyfrowaniem przyklejonym. Format zapisu zaprojektowany od podstaw, aby był inspekcyjny bez narażania na ujawnienie.
Jak to wygląda w praktyce.
Konkretne przykłady. Użytkownik wpisuje do bota Discord: "2550 za lot z LHE do DXB do 0xaC773…"
Kwota przekracza próg eskalacji 50 dolarów, z którym agent został skonfigurowany. Tak więc zapisano trzy kapsuły, powiązane jednym action_id:
• Kapsuła 1, ESKALACJA. Agent rejestruje, co zostało zażądane, dlaczego to eskalowało i kto to zażądał. Narracja, dokładne sformułowanie użytkownika i rozumowanie LLM są szyfrowane. Tekst jawny rejestruje kwotę, walutę, odbiorcę oraz powód eskalacji.
• Kapsuła 2, ZATWIERDZONA. Ludzkie zatwierdzenie odpowiada w Discordzie. Uzasadnienie zatwierdzającego jest szyfrowane. Tekst jawny rejestruje, kto zatwierdził, kiedy i że action_id jest taki sam jak cap1.
• Kapsuła 3, WYKONANA. Transfer przechodzi. Tekst jawny rejestruje txHash i status sukcesu; warstwa szyfrowana rejestruje uzasadnienie wykonawcy i wszelkie konteksty błędów.
Przeczytaj te trzy rekordy razem, a recenzent może udowodnić, co zostało zażądane, dlaczego to eskalowało, kto to eskalował skąd, kto zatwierdził i kiedy, że wykonanie odpowiada zatwierdzonemu zamiarowi oraz co trafiło na łańcuch, wszystko bez odszyfrowania narracji.
Narracja, rozumowanie LLM i dokładne słowa użytkownika pozostają czytelne tylko dla zamierzonego odbiorcy.
Jeśli coś pójdzie nie tak sześć miesięcy później, dowody nie są heroiczne. To jeden SQL join.
Tryb non-custodial.
Jest druga decyzja projektowa, którą warto zaznaczyć, ponieważ to ta, która ma największe znaczenie dla aplikacji konsumenckich.
Domyślnie kapsuły Veil są szyfrowane dla operatora. To w porządku w przypadku wdrożenia skarbcowego, gdzie operator jest jedynym zamierzonym recenzentem. Ale dla agenta skierowanego do konsumentów, osobistego AI płatnika, asystenta, który obsługuje twoje subskrypcje, bota, który dzieli rachunki z twoimi przyjaciółmi, operator nie powinien mieć możliwości odczytania twoich danych.
Więc Veil działa w trybie non-custodial. Użytkownik wyprowadza parę kluczy Veil z podpisu w swoim własnym portfelu EVM. Jego klucz publiczny jest rejestrowany u operatora tylko raz. Od tego momentu każda kapsuła dotycząca tego użytkownika jest szyfrowana dla niego.
Operator przechowuje szyfrogram, ale nie może go odszyfrować. Tylko użytkownik, podpisując ponownie wiadomość pochodną w swoim portfelu, może odtworzyć klucz tajny i przeczytać swoją historię audytu.
Implikacje są znaczące. Operator może być wezwany do sądu i wyprodukować tylko szyfrogram. Konsumencki asystent AI może obsługiwać miliony użytkowników, pozostając strukturalnie niezdolnym do odczytania ich danych. Te same prymitywy, które dały Web3 samoopieka nad pieniędzmi, teraz dają jej samoopieka nad śladami audytów.
Gdzie Veil znajduje się w stosie.
Veil to warstwa dowodowa. Siedzi pod częściami stosu, które podejmują decyzje, xBPP, nasz otwarty standard polityki i części, które zarządzają ludzkimi zatwierdzeniami. Zasila część stosu, która wizualizuje Konsolę Zarządzania Vanar, z której każda organizacja może korzystać do inspekcji swoich łańcuchów kapsuł jako osi czasu, filtrowania według zindeksowanych metadanych i selektywnego odszyfrowania narracji dla uprawnionych widzów.
Przyjęcie pełnego stosu Vanar oznacza xBPP do automatycznej polityki, Silnik Zatwierdzania dla ludzi w pętli, gdzie polityka wymaga, Veil do podpisanego i zaszyfrowanego rekordu oraz Konsolę dla powierzchni czytelnej dla ludzi nad tymi rekordami. Każdy element można przyjąć niezależnie. Cały stos współdziała zgodnie z konwencją.
A dobrze współistnieje z resztą ekosystemu agentów. x402, ERC-8004, ACP, te standardy definiują, jak agenci płacą. Veil definiuje, jakie dowody pozostają po tym, jak to zrobili. Nie konkurujemy z żadnym z nich. Wypełniamy tę samą lukę, którą każdy z nich wskazał, ale nie zamknął.
Dlaczego to ma znaczenie właśnie teraz.
Trzy siły się łączą.
Agenci AI przechodzą z czatu do działania. Wdrożenia produkcyjne w 2026 roku nie są już eksperymentalne. Agenci zajmujący się operacjami skarbcowymi w Fortune 500 w przyszłym roku już istnieją jako prototypy dzisiaj. Pytanie brzmi, z jaką warstwą audytu zostaną wydani.
Regulatorzy doganiają. Akt AI UE, MiCA i wytyczne SEC dotyczące zautomatyzowanych decyzji, wszystkie wymagają audytowalnych zapisów decyzji AI. "Zaufaj mi, moje logi są w porządku" przestaje być akceptowalne. Audytowalne, podpisane, zaszyfrowane, możliwe do zapytania - to jest poziom.
A użytkownicy żądają kontroli nad swoimi danymi. Siły, które wyprodukowały RODO i pozycjonowanie prywatności Apple, teraz generują popyt na audyty posiadane przez użytkowników, gdy AI działa w ich imieniu. Firmy, które to dobrze zrobią, będą dominować na rynku agentów skierowanych do konsumentów. Te, które tego nie zrobią, będą wciąż przepraszać za naruszenia.
Zespoły, które teraz prawidłowo zbudują warstwę audytu, będą tymi, które będą sprzedawać agentów AI regulowanym nabywcom za osiemnaście miesięcy. Zespoły, które łączą logi, będą odpowiadać na wezwania sądowe.
Dowód, nie obietnice.
Jeśli twój agent AI podejmuje decyzje, które mają znaczenie, a coraz częściej wszystkie mają, potrzebujesz warstwy dowodowej, która wytrzyma kontrolę.
Logi aplikacji to nie to. Bazy danych w formacie tekstowym to nie to. Blockchain to nie to.
Veil to konkretny kształt zapisu dowodowego, którego regulowany świat od dawna poszukuje: szyfrowany, podpisany, indeksowalny, łańcuchowy i weryfikowalny, przez dokładnie odpowiednie strony, dokładnie wtedy, gdy mają do tego prawo.
Pakiety są dostępne na npm. Crypto jest standardowe. Konwencja jest otwarta. Apache 2.0, z przyznaniem patentu, więc twój zespół prawny może to przyjąć bez tarć.
Wydaliśmy xBPP, ponieważ pytanie, czy agent powinien działać, wymagało standardu, zanim agenci mogli przejść do produkcji. Wydajemy Veil z tego samego powodu, ponieważ pytanie, co zrobili, musi być odpowiedziane. Przez ciebie. Przez twojego audytora. Przez twojego regulatora. I przez użytkownika.
Pakiety npm i GitHub dla Veil Capsule i Veil Keys z Portfela są teraz dostępne na licencji Apache 2.0.
Pełna dokumentacja, specyfikacje i pełny schemat kapsuły można znaleźć na https://veilprotocol.org/