EMILIA Protocol MCP Server
resmiMemerlukan persetujuan terverifikasi secara offline dari manusia yang disebutkan namanya sebelum agen AI mengambil tindakan yang tidak dapat dibatalkan — pelepasan pembayaran, perubahan catatan, penerapan. Aturan dua orang, Tanda Terima Kepercayaan Ed25519, dirancang oleh IETF, Apache-2.0.
Dokumentasi
Protokol EMILIA
Mesin tanpa rem
Selama lima puluh tahun, keamanan perangkat lunak menjawab satu pertanyaan: siapa yang diizinkan masuk? Firewall, OAuth, dan kata sandi — semuanya dibangun untuk memverifikasi identitas manusia di depan pintu.
Era itu akan segera berakhir. Pengguna dominan perangkat lunak bukan lagi manusia; mereka adalah agen AI otonom. Agen tidak hanya masuk — mereka menulis kode, memanggil alat, dan mengubah realitas dengan cepat. Setiap CISO tahu satu prompt yang buruk dapat membuat agen menghapus basis data produksi atau mentransfer uang ke rekening yang salah. Jadi mereka memblokir penerapan — menahan miliaran anggaran AI yang tidak dapat mereka belanjakan karena tim kepatuhan mereka tidak dapat menjawab satu pertanyaan:
Siapa yang menyetujui tindakan itu?
Krisis generasi kita bukanlah autentikasi. Melainkan otorisasi pada saat tindakan: bagaimana Anda membuktikan bahwa apa yang akan dilakukan agen adalah persis apa yang diotorisasi oleh manusia yang disebutkan namanya — sebelum dieksekusi?
EMILIA adalah sabuk pengaman untuk era agen.
Log keputusan adalah kesaksian. EMILIA menghasilkan tanda terima.
Tanpa tanda terima, tidak ada tindakan yang tidak dapat dibalikkan
Jika agen mencoba memindahkan uang, menghapus kode, menerapkan produksi, mengubah izin, atau memutasi status yang diatur tanpa tanda terima EMILIA yang valid, alat menolak untuk berjalan — dan jika berjalan, siapa pun dapat memverifikasi siapa yang mengotorisasi apa, secara luring, tanpa memercayai siapa pun.
Itulah keseluruhan protokolnya. Irisan pengembang adalah satu pembungkus di sekitar alat MCP yang tidak dapat dibalikkan. Lihat secara dingin, sepenuhnya luring, tanpa kunci, tanpa akun — setiap demo menjalankan seluruh putaran (ditolak → manusia yang disebutkan menandatangani tindakan persis → alat berjalan → tanda terima palsu ditolak):
node examples/mcp/payment-server.mjs # release_payment — refuses without a receipt
node examples/mcp/github-admin.mjs # delete_repo — refuses without a receipt
node examples/mcp/prod-deploy.mjs # deploy_production — refuses without a receipt
Bungkus dispatcher alat Anda sendiri dalam produksi — lihat examples/mcp/ dan /mcp:
import { withMcpGuard } from '@emilia-protocol/mcp-guard';
const guarded = withMcpGuard(handleTool, {
annotations: { release_payment: { irreversible: true, action: 'payment.release' } },
}); // missing receipt → refused, never a silent pass
Coba dalam 30 detik
# Issue a receipt offline — no API key, no backend needed
npx @emilia-protocol/issue demo
# Add EMILIA to Claude / Cursor / Cline
npx -y @emilia-protocol/mcp-server
Coba persetujuan Face ID nyata → Setujui transfer $82.000 dengan passkey Anda sendiri. Lihat seperti apa VERIFIED itu. Palsukan tanda terima. Lihat itu gagal.
Verifikasi tanda terima apa pun di browser Anda — tempelkan di sana, tidak ada yang diunggah.
Cara kerjanya — empat babak

Jalankan sendiri:
node examples/crash-test.mjs— sepenuhnya luring, tanpa kunci API.
[ INTENT ] [ DECISION ] [ CEREMONY ] [ RECEIPT ]
Agent calls a Policy-bound, hash- Named human signs Signed, offline-
tool via MCP → pinned: allow / → the EXACT action → verifiable proof.
allow-with-signoff / on their own Tamper it:
deny (+observe device (passkey). fails by design.
mode: zero change What they saw =
to production) what they signed.
Babak I — Intersepsi (asli MCP). Tanpa penulisan ulang. EMILIA mengaitkan panggilan alat di batas Model Context Protocol — saat agen mencoba menghapus file atau memindahkan modal, tindakan tersebut ditangkap di tengah jalan.
Babak II — Keputusan (terikat kebijakan, deterministik). Tindakan diperiksa terhadap kebijakan yang disematkan hash: allow, allow-with-signoff, atau deny. Ditambah mode amati yang tidak mengubah apa pun dalam produksi dan melaporkan apa yang akan ditahan. Deterministik, dapat diaudit — bukan skor risiko kotak hitam.
Babak III — Upacara (persetujuan manusia terikat perangkat). Ketika kebijakan memerlukan manusia, EMILIA menjalankan persetujuan WebAuthn / passkey yang terikat pada tindakan persis — Face ID / Touch ID di perangkat operator sendiri. Apa yang dilihat manusia adalah apa yang mereka tandatangani. Tidak ada skrip yang dapat memalsukannya; tidak ada putaran otonom yang dapat melewatinya.
Babak IV — Tanda terima (bukti). Hasilnya adalah tanda terima otorisasi yang ditandatangani yang dapat diverifikasi siapa pun secara luring, dengan kode sumber terbuka, tanpa backend, tanpa kepercayaan vendor. Rusak dan verifikasi gagal secara konstruksi. Secara opsional jangkarkan untuk penandaan waktu publik — intinya tidak memerlukan blockchain.
Mengapa pengembang menggunakannya
Anda menginginkan agen yang benar-benar melakukan sesuatu — tetapi Anda lumpuh oleh putaran tak terkendali, pengeluaran API berlebih, dan penghancuran data yang tidak disengaja. EMILIA memberi Anda server MCP plug-and-play + pembungkus SDK tipis. Terapkan hash kebijakan, dan panggilan alat yang tidak dapat dibalikkan mendapatkan lapisan persetujuan-dan-bukti yang diperkuat secara kriptografis, dipetakan ke NIST-AI-RMF — tanpa membangun alur kerja persetujuan atau infrastruktur audit dari awal.
# langchain-emilia — wrap any LangChain tool with an EP gate
from langchain_emilia import EmiliaGateClient
gate = EmiliaGateClient(base_url="https://www.emiliaprotocol.ai", api_key="...")
safe_tool = gate.wrap(your_destructive_tool)
pip install langchain-emilia # PyPI
npm install @emilia-protocol/verify # npm
Agen Anda tidak bisa berlari lebih cepat dari tali pengikatnya.
Mengapa perusahaan membutuhkannya
Setiap pergeseran platform menciptakan primitif keamanan baru: web mendapatkan SSL, cloud mendapatkan Okta / IAM, ekonomi agen membutuhkan kepercayaan tingkat tindakan. Perusahaan menahan anggaran AI yang tidak diizinkan oleh kepatuhan untuk dibelanjakan — EMILIA adalah kunci yang membukanya, dengan mengubah agen yang tidak dapat diprediksi menjadi infrastruktur siap audit yang memetakan primitif-demi-primitif ke kontrol NIST AI RMF, EU AI Act, dan SOC 2 CC6/7.
Lapisan terkelola (GovGuard / FinGuard) memperluas standar terbuka dengan paket kebijakan spesifik sektor, pilot mode amati, dan paket bukti siap audit — tanpa pengadaan yang diperlukan untuk memulai.
Standar
EMILIA adalah standar terbuka, bukan parit produk. Intinya adalah Apache-2.0 dan dilacak sebagai Draf Internet IETF.
| Draf Internet IETF | Diposting: authorization-receipts · quorum. Dipentaskan di standards/: authorization-evidence-chain (EP-AEC, komposisi) · evidence-record (EP-EVIDENCE-RECORD, retensi jangka panjang). Peta lapangan: survei lanskap. |
| Verifikator lintas bahasa | JavaScript · Python · Go — ketiganya terbukti setuju pada vektor kesesuaian adversarial, setiap dorongan (npm run conformance). Itu adalah standar IETF untuk standar nyata: beberapa implementasi independen yang dapat dioperasikan. |
| Verifikasi formal | 26 properti keamanan TLA+ (0 kesalahan) · 35 fakta Alloy, 22 asersi — keduanya berjalan di CI |
| Registri MCP | Registri MCP resmi · Glama (Grade A, lencana Resmi) · Smithery |
| Lisensi | Apache-2.0 |
Tiga implementasi independen terbukti setuju — lihat CONFORMANCE.md, atau verifikasi tanda terima sendiri di emiliaprotocol.ai/verify.
Tumpukan EP
Eye observes. Handshake verifies. Signoff owns. Commit seals.
| Lapisan | Fungsinya |
|---|---|
| EP Eye | Mengamati dan mengklasifikasikan perilaku agen (OBSERVE → SHADOW → ENFORCE) |
| EP Handshake | Upacara persetujuan kriptografis dengan pengikatan 7 properti |
| EP Signoff | Kepemilikan manusia yang disebutkan — WebAuthn / passkey Kelas A, terikat perangkat; kuorum multi-pihak (M-dari-N / terurut — aturan dua orang) untuk tindakan dengan taruhan tertinggi |
| EP Commit | Penutupan tindakan atomik, tidak dapat diubah dengan tanda terima berantai Merkle |
Poin bukti
| Metrik | Nilai |
|---|---|
| Tes otomatis | 4.220 di 173 file |
| Properti keamanan TLA+ | 26 diverifikasi (T1–T26), 0 kesalahan — lihat PROOF_STATUS.md |
| Asersi relasional Alloy | 35 fakta + 22 asersi di dua model — diverifikasi di CI |
| Kasus tim merah yang dikatalogkan | 85 — RED_TEAM_CASES.md |
| Temuan keamanan yang diperbaiki | 31 |
| Kesesuaian (7/7) | node conformance/ep-conformance-test.js https://www.emiliaprotocol.ai |
| Kesesuaian lintas bahasa | 8 suite — tanda terima · persetujuan perangkat · kuorum multi-pihak · pencabutan · pengesahan waktu · tanda-terima-kepercayaan · asal-usul · catatan-bukti — verifikator JS / Python / Go setuju (node conformance/run.mjs) |
| Handshake buat p95 | 575ms pada 50 VU — PERFORMANCE_PROOF.md |
Objek inti EP
EP menstandarisasi tiga objek yang dapat dioperasikan yang dapat diproduksi dan diverifikasi oleh implementasi yang sesuai:
| Objek | Definisinya |
|---|---|
| Tanda Terima Kepercayaan | Catatan portabel yang ditandatangani dari peristiwa otorisasi — apa yang terjadi |
| Profil Kepercayaan | Ringkasan standar dari status kepercayaan yang dapat diamati — apa yang diketahui |
| Keputusan Kepercayaan | Hasil yang dievaluasi kebijakan dengan alasan dan jalur banding — apa yang harus dilakukan sekarang |
Ekstensi EP (Handshake, Signoff, Commit, Delegation) menambahkan penegakan yang lebih kuat di mana sistem harus membatasi eksekusi. Lapisan produk (GovGuard / FinGuard) dibangun di atasnya — bukan protokol itu sendiri.
Mulai cepat dalam lima panggilan
- Buat kebijakan
- Mulai handshake
- Sajikan bukti
- Verifikasi
- Signoff dan konsumsi
Demo 90 detik · Mulai Cepat · Panduan agen · Draf IETF · Discord
Apa itu EP — dan bukan
EP adalah otorisasi pada saat tindakan, bukan sistem identitas, bukan dompet, bukan skor reputasi.
- Adalah: standar kepercayaan untuk mengikat identitas aktor, otoritas, kebijakan, dan konteks tindakan persis sebelum eksekusi
- Bukan: pengganti OAuth / OIDC (itu menjawab siapa Anda — EP menjawab siapa yang menyetujui tindakan persis ini)
- Bukan: produk berpemilik (intinya adalah Apache-2.0 dan dilacak IETF)
- Bukan: blockchain (tanda terima adalah pahlawannya; penandaan waktu publik opsional adalah catatan kaki)
Lihat CONFORMANCE.md · SECURITY.md · THREAT_MODEL.md · GOVERNANCE.md