EMILIA Protocol MCP Server

공식

명명된 인간의 오프라인 검증 가능한 승인을 요구하여 AI 에이전트가 되돌릴 수 없는 조치(결제 해제, 기록 변경, 배포)를 취하기 전에 승인을 받도록 합니다. 두 사람 규칙, Ed25519 신뢰 영수증, IETF 초안, Apache-2.0.

문서

EMILIA Protocol

CI Verify Sample Receipt npm License IETF Internet-Draft Discord


브레이크 없는 엔진

50년 동안 소프트웨어 보안은 한 가지 질문에 답해왔습니다. 누가 들어올 수 있는가? 방화벽, OAuth, 비밀번호 — 모두 문 앞에서 인간의 신원을 확인하기 위해 만들어졌습니다.

그 시대는 끝나가고 있습니다. 소프트웨어의 주된 사용자는 더 이상 인간이 아니라 자율 AI 에이전트입니다. 에이전트는 단순히 로그인만 하지 않습니다. 코드를 작성하고, 도구를 호출하며, 실시간으로 현실을 바꿉니다. 모든 CISO는 단 하나의 잘못된 프롬프트가 에이전트로 하여금 프로덕션 데이터베이스를 날리거나 잘못된 계좌로 송금하게 만들 수 있다는 것을 압니다. 그래서 그들은 배포를 막고 있습니다. 수십억 달러의 AI 예산을 쌓아두고도 쓸 수 없는 이유는 컴플라이언스 팀이 한 가지 질문에 답할 수 없기 때문입니다.

누가 그 행동을 승인했는가?

우리 세대의 위기는 인증이 아닙니다. 행동 순간의 권한 부여입니다. 에이전트가 하려는 일이 이름이 명시된 인간이 승인한 바로 그 일임을 실행 전에 어떻게 증명할 수 있을까요?

EMILIA는 에이전트 시대의 안전벨트입니다.

결정 로그는 증언입니다. EMILIA는 영수증을 생성합니다.


영수증 없이, 되돌릴 수 없는 행동은 없다

에이전트가 유효한 EMILIA 영수증 없이 자금을 이동하거나, 코드를 삭제하거나, 프로덕션에 배포하거나, 권한을 변경하거나, 규제 대상 상태를 변경하려고 하면 도구가 실행을 거부합니다. 그리고 만약 실행된다면, 누구든지 누가 정확히 무엇을 승인했는지 오프라인에서, 누구도 신뢰하지 않고 검증할 수 있습니다.

이것이 프로토콜의 전부입니다. 개발자 웨지는 되돌릴 수 없는 MCP 도구를 감싸는 하나의 래퍼입니다. 콜드, 완전 오프라인, 키 없음, 계정 없음 — 각 데모는 전체 루프를 실행합니다(거부 → 명명된 인간이 정확한 행동에 서명 → 도구 실행 → 위조된 영수증 거부):

node examples/mcp/payment-server.mjs    # release_payment  — refuses without a receipt
node examples/mcp/github-admin.mjs      # delete_repo      — refuses without a receipt
node examples/mcp/prod-deploy.mjs       # deploy_production — refuses without a receipt

프로덕션에서 자신의 도구 디스패처를 래핑하세요 — examples/mcp//mcp 참조:

import { withMcpGuard } from '@emilia-protocol/mcp-guard';
const guarded = withMcpGuard(handleTool, {
  annotations: { release_payment: { irreversible: true, action: 'payment.release' } },
}); // missing receipt → refused, never a silent pass

30초 만에 시도하기

# Issue a receipt offline — no API key, no backend needed
npx @emilia-protocol/issue demo
# Add EMILIA to Claude / Cursor / Cline
npx -y @emilia-protocol/mcp-server

실제 Face ID 서명오프 시도 → 자신의 패스키로 $82,000 송금을 승인하세요. VERIFIED가 어떻게 보이는지 확인하세요. 영수증을 위조하세요. 실패하는 것을 보세요.

브라우저에서 모든 영수증 검증 — 붙여넣기만 하면, 아무것도 업로드되지 않습니다.


작동 방식 — 네 개의 막

EMILIA crash test — an autonomous agent tries to wire $82,000; the policy engine holds it, a named human signs off on their own device, the receipt verifies offline, and a forged copy fails.

직접 실행해보세요: node examples/crash-test.mjs — 완전 오프라인, API 키 불필요.

  [ INTENT ]          [ DECISION ]           [ CEREMONY ]           [ RECEIPT ]
  Agent calls a     Policy-bound, hash-    Named human signs     Signed, offline-
  tool via MCP   →  pinned: allow /     →  the EXACT action  →  verifiable proof.
                    allow-with-signoff /   on their own          Tamper it:
                    deny  (+observe        device (passkey).      fails by design.
                    mode: zero change      What they saw =
                    to production)         what they signed.

제1막 — 가로채기 (MCP 네이티브). 재작성 없음. EMILIA는 Model Context Protocol 경계에서 도구 호출을 후킹합니다 — 에이전트가 파일을 삭제하거나 자본을 이동하려는 순간, 행동이 공중에서 포착됩니다.

제2막 — 결정 (정책 바인딩, 결정론적). 행동은 해시 고정된 정책에 대해 검사됩니다: allow, allow-with-signoff, 또는 deny. 또한 프로덕션에서 아무것도 변경하지 않고 보류되었을 내용을 보고하는 관찰 모드가 있습니다. 결정론적이고 감사 가능 — 블랙박스 위험 점수가 아닙니다.

제3막 — 의식 (장치 바인딩 인간 서명오프). 정책이 인간을 요구할 때, EMILIA는 정확한 행동에 바인딩된 WebAuthn / 패스키 서명오프를 실행합니다 — 운영자 자신의 장치에서 Face ID / Touch ID. 인간이 본 것이 그들이 서명한 것입니다. 어떤 스크립트도 위조할 수 없고, 어떤 자율 루프도 건너뛸 수 없습니다.

제4막 — 영수증 (증거). 결과는 누구나 오프라인에서, 오픈소스 코드로, 백엔드 없이, 벤더 신뢰 없이 검증할 수 있는 서명된 권한 부여 영수증입니다. 변조하면 검증이 구조적으로 실패합니다. 선택적으로 공개 타임스탬핑을 위해 앵커링할 수 있습니다 — 핵심에는 블록체인이 필요하지 않습니다.


개발자가 사용하는 이유

실제로 무언가를 하는 에이전트를 원하지만, 폭주 루프, API 과소비, 우발적 데이터 파괴로 인해 마비되어 있습니다. EMILIA는 플러그 앤 플레이 MCP 서버 + 얇은 SDK 래퍼를 제공합니다. 정책 해시를 적용하면 되돌릴 수 없는 도구 호출이 암호학적으로 강화되고 NIST-AI-RMF에 매핑된 승인 및 증거 계층을 획득합니다 — 승인 워크플로우나 감사 인프라를 처음부터 구축할 필요 없이.

# langchain-emilia — wrap any LangChain tool with an EP gate
from langchain_emilia import EmiliaGateClient

gate = EmiliaGateClient(base_url="https://www.emiliaprotocol.ai", api_key="...")
safe_tool = gate.wrap(your_destructive_tool)
pip install langchain-emilia   # PyPI
npm install @emilia-protocol/verify  # npm

당신의 에이전트는 목줄을 벗어날 수 없습니다.


기업이 필요한 이유

모든 플랫폼 전환은 새로운 보안 프리미티브를 만들어냅니다. 웹은 SSL을, 클라우드는 Okta / IAM을 얻었고, 에이전트 경제는 행동 수준의 신뢰가 필요합니다. 기업들은 컴플라이언스가 지출을 허용하지 않는 AI 예산을 쌓아두고 있습니다 — EMILIA는 예측 불가능한 에이전트를 감사 준비된 인프라로 전환하여, 프리미티브별로 NIST AI RMF, EU AI Act, SOC 2 CC6/7 통제에 매핑함으로써 그 예산을 푸는 열쇠입니다.

관리형 계층(GovGuard / FinGuard)은 섹터별 정책 팩, 관찰 모드 파일럿, 감사 준비된 증거 패키지로 개방형 표준을 확장합니다 — 시작하는 데 조달이 필요하지 않습니다.


표준

EMILIA는 제품 해자가 아닌 개방형 표준입니다. 핵심은 Apache-2.0이며 IETF Internet-Draft로 추적됩니다.

IETF Internet-Drafts게시됨: authorization-receipts · quorum. standards/에 스테이징됨: authorization-evidence-chain (EP-AEC, 구성) · evidence-record (EP-EVIDENCE-RECORD, 장기 보존). 필드 맵: landscape survey.
크로스 언어 검증기JavaScript · Python · Go — 세 가지 모두가 적대적 적합성 벡터에 대해 매 푸시마다 동의함이 입증됨 (npm run conformance). 이것이 진정한 표준을 위한 IETF 기준입니다: 여러 독립적인 상호 운용 가능한 구현.
형식 검증26개의 TLA+ 안전 속성 (오류 0) · 35개의 Alloy 사실, 22개의 어설션 — 둘 다 CI에서 실행
MCP 레지스트리공식 MCP 레지스트리 · Glama (Grade A, 공식 배지) · Smithery
라이선스Apache-2.0

세 개의 독립적인 구현이 동의함이 입증됨 — CONFORMANCE.md 참조, 또는 emiliaprotocol.ai/verify에서 직접 영수증을 검증하세요.


EP 스택

Eye observes. Handshake verifies. Signoff owns. Commit seals.
계층하는 일
EP Eye에이전트 행동을 관찰하고 분류합니다 (OBSERVE → SHADOW → ENFORCE)
EP Handshake7가지 속성 바인딩을 갖춘 암호학적 동의 의식
EP Signoff명명된 인간 소유권 — WebAuthn / 패스키 Class A, 장치 바인딩; 최고 위험 행동을 위한 다자 쿼럼 (M-of-N / 순서형 — 2인 규칙)
EP Commit머클 체인 영수증을 포함한 원자적이고 불변의 행동 종료

증명 포인트

지표
자동화된 테스트173개 파일에 걸쳐 4,220개
TLA+ 안전 속성26개 검증됨 (T1–T26), 오류 0 — PROOF_STATUS.md 참조
Alloy 관계형 어설션두 모델에 걸쳐 35개 사실 + 22개 어설션 — CI에서 검증됨
레드팀 케이스 카탈로그화85개 — RED_TEAM_CASES.md
보안 발견 사항 수정됨31개
적합성 (7/7)node conformance/ep-conformance-test.js https://www.emiliaprotocol.ai
크로스 언어 적합성8개 스위트 — 영수증 · 장치 서명오프 · 다자 쿼럼 · 취소 · 시간 증명 · 신뢰 영수증 · 출처 · 증거 기록 — JS / Python / Go 검증기가 동의함 (node conformance/run.mjs)
핸드셰이크 생성 p9550 VU에서 575ms — PERFORMANCE_PROOF.md

EP 핵심 객체

EP는 모든 적합한 구현이 생성하고 검증할 수 있는 세 가지 상호 운용 가능한 객체를 표준화합니다:

객체정의
Trust Receipt권한 부여 이벤트의 휴대 가능하고 서명된 기록 — 무슨 일이 일어났는가
Trust Profile관찰 가능한 신뢰 상태의 표준화된 요약 — 무엇이 알려져 있는가
Trust Decision이유와 이의 제기 경로가 포함된 정책 평가 결과 — 지금 무엇을 해야 하는가

EP 확장(Handshake, Signoff, Commit, Delegation)은 시스템이 실행을 제한해야 하는 곳에 더 강력한 강제력을 추가합니다. 제품 계층(GovGuard / FinGuard)은 그 위에 구축되며, 프로토콜 자체가 아닙니다.


다섯 번의 호출로 빠른 시작

  1. 정책 생성
  2. 핸드셰이크 시작
  3. 증거 제시
  4. 검증
  5. 서명오프 및 소비

90초 데모 · 빠른 시작 · 에이전트 연습 · IETF 초안 · Discord


EP가 무엇인지 — 그리고 무엇이 아닌지

EP는 행동 순간의 권한 부여이며, 신원 시스템도, 지갑도, 평판 점수도 아닙니다.

  • 이다: 실행 전에 행위자 신원, 권한, 정책, 정확한 행동 컨텍스트를 바인딩하기 위한 신뢰 표준
  • 아니다: OAuth / OIDC의 대체재 (그것들은 당신이 누구인가에 답하고, EP는 누가 이 정확한 행동을 승인했는가에 답합니다)
  • 아니다: 독점 제품 (핵심은 Apache-2.0이며 IETF 추적됨)
  • 아니다: 블록체인 (영수증이 주인공이며, 선택적 공개 타임스탬핑은 각주입니다)

CONFORMANCE.md · SECURITY.md · THREAT_MODEL.md · GOVERNANCE.md 참조