EMILIA Protocol MCP Server

resmi

Memerlukan persetujuan terverifikasi secara offline dari manusia yang disebutkan namanya sebelum agen AI mengambil tindakan yang tidak dapat dibatalkan — pelepasan pembayaran, perubahan catatan, penerapan. Aturan dua orang, Tanda Terima Kepercayaan Ed25519, dirancang oleh IETF, Apache-2.0.

Dokumentasi

Protokol EMILIA

CI Verify Sample Receipt npm License IETF Internet-Draft Discord


Mesin tanpa rem

Selama lima puluh tahun, keamanan perangkat lunak menjawab satu pertanyaan: siapa yang diizinkan masuk? Firewall, OAuth, dan kata sandi — semuanya dibangun untuk memverifikasi identitas manusia di depan pintu.

Era itu akan segera berakhir. Pengguna dominan perangkat lunak bukan lagi manusia; mereka adalah agen AI otonom. Agen tidak hanya masuk — mereka menulis kode, memanggil alat, dan mengubah realitas dengan cepat. Setiap CISO tahu satu prompt yang buruk dapat membuat agen menghapus basis data produksi atau mentransfer uang ke rekening yang salah. Jadi mereka memblokir penerapan — menahan miliaran anggaran AI yang tidak dapat mereka belanjakan karena tim kepatuhan mereka tidak dapat menjawab satu pertanyaan:

Siapa yang menyetujui tindakan itu?

Krisis generasi kita bukanlah autentikasi. Melainkan otorisasi pada saat tindakan: bagaimana Anda membuktikan bahwa apa yang akan dilakukan agen adalah persis apa yang diotorisasi oleh manusia yang disebutkan namanya — sebelum dieksekusi?

EMILIA adalah sabuk pengaman untuk era agen.

Log keputusan adalah kesaksian. EMILIA menghasilkan tanda terima.


Tanpa tanda terima, tidak ada tindakan yang tidak dapat dibalikkan

Jika agen mencoba memindahkan uang, menghapus kode, menerapkan produksi, mengubah izin, atau memutasi status yang diatur tanpa tanda terima EMILIA yang valid, alat menolak untuk berjalan — dan jika berjalan, siapa pun dapat memverifikasi siapa yang mengotorisasi apa, secara luring, tanpa memercayai siapa pun.

Itulah keseluruhan protokolnya. Irisan pengembang adalah satu pembungkus di sekitar alat MCP yang tidak dapat dibalikkan. Lihat secara dingin, sepenuhnya luring, tanpa kunci, tanpa akun — setiap demo menjalankan seluruh putaran (ditolak → manusia yang disebutkan menandatangani tindakan persis → alat berjalan → tanda terima palsu ditolak):

node examples/mcp/payment-server.mjs    # release_payment  — refuses without a receipt
node examples/mcp/github-admin.mjs      # delete_repo      — refuses without a receipt
node examples/mcp/prod-deploy.mjs       # deploy_production — refuses without a receipt

Bungkus dispatcher alat Anda sendiri dalam produksi — lihat examples/mcp/ dan /mcp:

import { withMcpGuard } from '@emilia-protocol/mcp-guard';
const guarded = withMcpGuard(handleTool, {
  annotations: { release_payment: { irreversible: true, action: 'payment.release' } },
}); // missing receipt → refused, never a silent pass

Coba dalam 30 detik

# Issue a receipt offline — no API key, no backend needed
npx @emilia-protocol/issue demo
# Add EMILIA to Claude / Cursor / Cline
npx -y @emilia-protocol/mcp-server

Coba persetujuan Face ID nyata → Setujui transfer $82.000 dengan passkey Anda sendiri. Lihat seperti apa VERIFIED itu. Palsukan tanda terima. Lihat itu gagal.

Verifikasi tanda terima apa pun di browser Anda — tempelkan di sana, tidak ada yang diunggah.


Cara kerjanya — empat babak

EMILIA crash test — an autonomous agent tries to wire $82,000; the policy engine holds it, a named human signs off on their own device, the receipt verifies offline, and a forged copy fails.

Jalankan sendiri: node examples/crash-test.mjs — sepenuhnya luring, tanpa kunci API.

  [ INTENT ]          [ DECISION ]           [ CEREMONY ]           [ RECEIPT ]
  Agent calls a     Policy-bound, hash-    Named human signs     Signed, offline-
  tool via MCP   →  pinned: allow /     →  the EXACT action  →  verifiable proof.
                    allow-with-signoff /   on their own          Tamper it:
                    deny  (+observe        device (passkey).      fails by design.
                    mode: zero change      What they saw =
                    to production)         what they signed.

Babak I — Intersepsi (asli MCP). Tanpa penulisan ulang. EMILIA mengaitkan panggilan alat di batas Model Context Protocol — saat agen mencoba menghapus file atau memindahkan modal, tindakan tersebut ditangkap di tengah jalan.

Babak II — Keputusan (terikat kebijakan, deterministik). Tindakan diperiksa terhadap kebijakan yang disematkan hash: allow, allow-with-signoff, atau deny. Ditambah mode amati yang tidak mengubah apa pun dalam produksi dan melaporkan apa yang akan ditahan. Deterministik, dapat diaudit — bukan skor risiko kotak hitam.

Babak III — Upacara (persetujuan manusia terikat perangkat). Ketika kebijakan memerlukan manusia, EMILIA menjalankan persetujuan WebAuthn / passkey yang terikat pada tindakan persis — Face ID / Touch ID di perangkat operator sendiri. Apa yang dilihat manusia adalah apa yang mereka tandatangani. Tidak ada skrip yang dapat memalsukannya; tidak ada putaran otonom yang dapat melewatinya.

Babak IV — Tanda terima (bukti). Hasilnya adalah tanda terima otorisasi yang ditandatangani yang dapat diverifikasi siapa pun secara luring, dengan kode sumber terbuka, tanpa backend, tanpa kepercayaan vendor. Rusak dan verifikasi gagal secara konstruksi. Secara opsional jangkarkan untuk penandaan waktu publik — intinya tidak memerlukan blockchain.


Mengapa pengembang menggunakannya

Anda menginginkan agen yang benar-benar melakukan sesuatu — tetapi Anda lumpuh oleh putaran tak terkendali, pengeluaran API berlebih, dan penghancuran data yang tidak disengaja. EMILIA memberi Anda server MCP plug-and-play + pembungkus SDK tipis. Terapkan hash kebijakan, dan panggilan alat yang tidak dapat dibalikkan mendapatkan lapisan persetujuan-dan-bukti yang diperkuat secara kriptografis, dipetakan ke NIST-AI-RMF — tanpa membangun alur kerja persetujuan atau infrastruktur audit dari awal.

# langchain-emilia — wrap any LangChain tool with an EP gate
from langchain_emilia import EmiliaGateClient

gate = EmiliaGateClient(base_url="https://www.emiliaprotocol.ai", api_key="...")
safe_tool = gate.wrap(your_destructive_tool)
pip install langchain-emilia   # PyPI
npm install @emilia-protocol/verify  # npm

Agen Anda tidak bisa berlari lebih cepat dari tali pengikatnya.


Mengapa perusahaan membutuhkannya

Setiap pergeseran platform menciptakan primitif keamanan baru: web mendapatkan SSL, cloud mendapatkan Okta / IAM, ekonomi agen membutuhkan kepercayaan tingkat tindakan. Perusahaan menahan anggaran AI yang tidak diizinkan oleh kepatuhan untuk dibelanjakan — EMILIA adalah kunci yang membukanya, dengan mengubah agen yang tidak dapat diprediksi menjadi infrastruktur siap audit yang memetakan primitif-demi-primitif ke kontrol NIST AI RMF, EU AI Act, dan SOC 2 CC6/7.

Lapisan terkelola (GovGuard / FinGuard) memperluas standar terbuka dengan paket kebijakan spesifik sektor, pilot mode amati, dan paket bukti siap audit — tanpa pengadaan yang diperlukan untuk memulai.


Standar

EMILIA adalah standar terbuka, bukan parit produk. Intinya adalah Apache-2.0 dan dilacak sebagai Draf Internet IETF.

Draf Internet IETFDiposting: authorization-receipts · quorum. Dipentaskan di standards/: authorization-evidence-chain (EP-AEC, komposisi) · evidence-record (EP-EVIDENCE-RECORD, retensi jangka panjang). Peta lapangan: survei lanskap.
Verifikator lintas bahasaJavaScript · Python · Go — ketiganya terbukti setuju pada vektor kesesuaian adversarial, setiap dorongan (npm run conformance). Itu adalah standar IETF untuk standar nyata: beberapa implementasi independen yang dapat dioperasikan.
Verifikasi formal26 properti keamanan TLA+ (0 kesalahan) · 35 fakta Alloy, 22 asersi — keduanya berjalan di CI
Registri MCPRegistri MCP resmi · Glama (Grade A, lencana Resmi) · Smithery
LisensiApache-2.0

Tiga implementasi independen terbukti setuju — lihat CONFORMANCE.md, atau verifikasi tanda terima sendiri di emiliaprotocol.ai/verify.


Tumpukan EP

Eye observes. Handshake verifies. Signoff owns. Commit seals.
LapisanFungsinya
EP EyeMengamati dan mengklasifikasikan perilaku agen (OBSERVE → SHADOW → ENFORCE)
EP HandshakeUpacara persetujuan kriptografis dengan pengikatan 7 properti
EP SignoffKepemilikan manusia yang disebutkan — WebAuthn / passkey Kelas A, terikat perangkat; kuorum multi-pihak (M-dari-N / terurut — aturan dua orang) untuk tindakan dengan taruhan tertinggi
EP CommitPenutupan tindakan atomik, tidak dapat diubah dengan tanda terima berantai Merkle

Poin bukti

MetrikNilai
Tes otomatis4.220 di 173 file
Properti keamanan TLA+26 diverifikasi (T1–T26), 0 kesalahan — lihat PROOF_STATUS.md
Asersi relasional Alloy35 fakta + 22 asersi di dua model — diverifikasi di CI
Kasus tim merah yang dikatalogkan85 — RED_TEAM_CASES.md
Temuan keamanan yang diperbaiki31
Kesesuaian (7/7)node conformance/ep-conformance-test.js https://www.emiliaprotocol.ai
Kesesuaian lintas bahasa8 suite — tanda terima · persetujuan perangkat · kuorum multi-pihak · pencabutan · pengesahan waktu · tanda-terima-kepercayaan · asal-usul · catatan-bukti — verifikator JS / Python / Go setuju (node conformance/run.mjs)
Handshake buat p95575ms pada 50 VU — PERFORMANCE_PROOF.md

Objek inti EP

EP menstandarisasi tiga objek yang dapat dioperasikan yang dapat diproduksi dan diverifikasi oleh implementasi yang sesuai:

ObjekDefinisinya
Tanda Terima KepercayaanCatatan portabel yang ditandatangani dari peristiwa otorisasi — apa yang terjadi
Profil KepercayaanRingkasan standar dari status kepercayaan yang dapat diamati — apa yang diketahui
Keputusan KepercayaanHasil yang dievaluasi kebijakan dengan alasan dan jalur banding — apa yang harus dilakukan sekarang

Ekstensi EP (Handshake, Signoff, Commit, Delegation) menambahkan penegakan yang lebih kuat di mana sistem harus membatasi eksekusi. Lapisan produk (GovGuard / FinGuard) dibangun di atasnya — bukan protokol itu sendiri.


Mulai cepat dalam lima panggilan

  1. Buat kebijakan
  2. Mulai handshake
  3. Sajikan bukti
  4. Verifikasi
  5. Signoff dan konsumsi

Demo 90 detik · Mulai Cepat · Panduan agen · Draf IETF · Discord


Apa itu EP — dan bukan

EP adalah otorisasi pada saat tindakan, bukan sistem identitas, bukan dompet, bukan skor reputasi.

  • Adalah: standar kepercayaan untuk mengikat identitas aktor, otoritas, kebijakan, dan konteks tindakan persis sebelum eksekusi
  • Bukan: pengganti OAuth / OIDC (itu menjawab siapa Anda — EP menjawab siapa yang menyetujui tindakan persis ini)
  • Bukan: produk berpemilik (intinya adalah Apache-2.0 dan dilacak IETF)
  • Bukan: blockchain (tanda terima adalah pahlawannya; penandaan waktu publik opsional adalah catatan kaki)

Lihat CONFORMANCE.md · SECURITY.md · THREAT_MODEL.md · GOVERNANCE.md