EMILIA Protocol MCP Server
resmiBir AI ajanının geri döndürülemez bir işlem yapmasından önce — ödeme serbest bırakma, kayıt değişikliği, dağıtım — adı geçen bir insanın çevrimdışı doğrulanabilir onayını gerektirir. İki kişi kuralı, Ed25519 Güven Makbuzları, IETF tarafından hazırlanmış, Apache-2.0.
Dokümantasyon
EMILIA Protokolü
Frene dayanmayan motor
Elli yıldır yazılım güvenliği tek bir soruya yanıt verdi: kimin girmesine izin var? Güvenlik duvarları, OAuth ve parolalar — hepsi kapıda bir insan kimliğini doğrulamak için inşa edildi.
O dönem sona eriyor. Yazılımın baskın kullanıcıları artık insanlar değil; otonom yapay zeka ajanları. Ajanlar sadece giriş yapmaz — kod yazar, araçları çağırır ve anında gerçekliği değiştirir. Her CISO, tek bir kötü komutun bir ajanın üretim veritabanını silmesine veya yanlış hesaba para transfer etmesine yol açabileceğini bilir. Bu yüzden dağıtımı engelliyorlar — uyum ekipleri tek bir soruyu yanıtlayamadığı için harcayamadıkları milyarlarca dolarlık yapay zeka bütçesinin üzerinde oturuyorlar:
Bu eylemi kim onayladı?
Neslimizin krizi kimlik doğrulama değil. Eylem anında yetkilendirme: bir ajanın yapmak üzere olduğu şeyin, tam olarak adı belirtilmiş bir insanın yetkilendirdiği şey olduğunu — yürütmeden önce — nasıl kanıtlarsınız?
EMILIA, ajan çağı için emniyet kemeridir.
Karar kayıtları tanıklıktır. EMILIA makbuz üretir.
Makbuz yoksa, geri döndürülemez eylem de yok
Bir ajan, geçerli bir EMILIA makbuzu olmadan para taşımaya, kod silmeye, üretime dağıtmaya, izinleri değiştirmeye veya düzenlenmiş durumu değiştirmeye çalışırsa, araç çalışmayı reddeder — ve çalışırsa, herkes, kimin tam olarak neyi yetkilendirdiğini, çevrimdışı olarak, kimseye güvenmeden doğrulayabilir.
Tüm protokol budur. Geliştirici kaması, geri döndürülemez bir MCP aracının etrafındaki bir sarmalayıcıdır. Soğuk, tamamen çevrimdışı, anahtarsız, hesapsız görün — her demo tüm döngüyü çalıştırır (reddedildi → adı belirtilmiş insan tam eylemi imzalar → araç çalışır → sahte makbuz reddedilir):
node examples/mcp/payment-server.mjs # release_payment — refuses without a receipt
node examples/mcp/github-admin.mjs # delete_repo — refuses without a receipt
node examples/mcp/prod-deploy.mjs # deploy_production — refuses without a receipt
Kendi araç dağıtıcınızı üretimde sarın — bkz. examples/mcp/ ve /mcp:
import { withMcpGuard } from '@emilia-protocol/mcp-guard';
const guarded = withMcpGuard(handleTool, {
annotations: { release_payment: { irreversible: true, action: 'payment.release' } },
}); // missing receipt → refused, never a silent pass
30 saniyede deneyin
# Issue a receipt offline — no API key, no backend needed
npx @emilia-protocol/issue demo
# Add EMILIA to Claude / Cursor / Cline
npx -y @emilia-protocol/mcp-server
Gerçek bir Face ID onayını deneyin → Kendi geçiş anahtarınızla 82.000 dolarlık bir havaleyi onaylayın. DOĞRULANDI'nın nasıl göründüğünü görün. Makbuzu taklit edin. Başarısız olduğunu görün.
Herhangi bir makbuzu tarayıcınızda doğrulayın — yapıştırın, hiçbir şey yüklenmez.
Nasıl çalışır — dört perde

Kendiniz çalıştırın:
node examples/crash-test.mjs— tamamen çevrimdışı, API anahtarı yok.
[ INTENT ] [ DECISION ] [ CEREMONY ] [ RECEIPT ]
Agent calls a Policy-bound, hash- Named human signs Signed, offline-
tool via MCP → pinned: allow / → the EXACT action → verifiable proof.
allow-with-signoff / on their own Tamper it:
deny (+observe device (passkey). fails by design.
mode: zero change What they saw =
to production) what they signed.
Perde I — Yakalama (MCP-yerel). Yeniden yazma yok. EMILIA, araç çağrısını Model Bağlam Protokolü sınırında yakalar — bir ajanın bir dosyayı silmeye veya sermayeyi taşımaya çalıştığı an, eylem havada yakalanır.
Perde II — Karar (politikaya bağlı, deterministik). Eylem, hash ile sabitlenmiş bir politikaya göre kontrol edilir: allow, allow-with-signoff veya deny. Ayrıca üretimde hiçbir şeyi değiştirmeyen ve tutulacak olanın ne olacağını raporlayan bir gözlem modu. Deterministik, denetlenebilir — bir kara kutu risk puanı değil.
Perde III — Tören (cihaza bağlı insan onayı). Politika bir insan gerektirdiğinde, EMILIA tam eyleme bağlı bir WebAuthn / geçiş anahtarı onayı çalıştırır — operatörün kendi cihazında Face ID / Touch ID. İnsanın gördüğü, imzaladığı şeydir. Hiçbir betik bunu taklit edemez; hiçbir otonom döngü bunu atlayamaz.
Perde IV — Makbuz (kanıt). Sonuç, herkesin çevrimdışı olarak, açık kaynak kodla, arka uç olmadan, satıcı güveni olmadan doğrulayabileceği imzalı bir yetkilendirme makbuzudur. Kurcalayın ve doğrulama yapı gereği başarısız olur. İsteğe bağlı olarak genel zaman damgası için sabitleyin — çekirdek bir blok zincirine ihtiyaç duymaz.
Geliştiriciler neden kullanır
Gerçekten bir şeyler yapan ajanlar istiyorsunuz — ancak kontrolden çıkan döngüler, aşırı API harcaması ve kazara veri imhasıyla felç oluyorsunuz. EMILIA size tak-çalıştır bir MCP sunucusu + ince bir SDK sarmalayıcı verir. Bir politika hash'i uygulayın ve geri döndürülemez araç çağrıları, sıfırdan onay iş akışları veya denetim altyapısı oluşturmadan, kriptografik olarak güçlendirilmiş, NIST-AI-RMF ile eşlenmiş bir onay ve kanıt katmanı kazanır.
# langchain-emilia — wrap any LangChain tool with an EP gate
from langchain_emilia import EmiliaGateClient
gate = EmiliaGateClient(base_url="https://www.emiliaprotocol.ai", api_key="...")
safe_tool = gate.wrap(your_destructive_tool)
pip install langchain-emilia # PyPI
npm install @emilia-protocol/verify # npm
Ajanınız tasmasını aşamaz.
Kuruluşlar neden ihtiyaç duyar
Her platform değişimi yeni bir güvenlik ilkelini basar: web SSL'i, bulut Okta / IAM'i aldı, ajan ekonomisinin eylem düzeyinde güvene ihtiyacı var. Kuruluşlar, uyumun harcamalarına izin vermediği yapay zeka bütçelerinin üzerinde oturuyor — EMILIA, öngörülemez ajanları, ilkel bazında NIST AI RMF, AB AI Yasası ve SOC 2 CC6/7 kontrolleriyle eşlenen denetime hazır altyapıya dönüştürerek bu bütçelerin kilidini açan anahtardır.
Yönetilen katman (GovGuard / FinGuard), sektöre özel politika paketleri, gözlem modu pilotları ve denetime hazır kanıt paketleriyle açık standardı genişletir — başlamak için satın alma gerekmez.
Standart
EMILIA bir ürün hendeği değil, açık bir standarttır. Çekirdek Apache-2.0 lisanslıdır ve bir IETF İnternet Taslağı olarak izlenir.
| IETF İnternet Taslakları | Yayınlandı: authorization-receipts · quorum. standards/ içinde aşamalandırıldı: authorization-evidence-chain (EP-AEC, bileşim) · evidence-record (EP-EVIDENCE-RECORD, uzun süreli saklama). Alan haritası: landscape survey. |
| Çapraz dil doğrulayıcılar | JavaScript · Python · Go — üçü de her itmede düşmanca uygunluk vektörleri üzerinde anlaştığı kanıtlandı (npm run conformance). Bu, gerçek bir standart için IETF çıtasıdır: birden çok bağımsız birlikte çalışabilir uygulama. |
| Biçimsel doğrulama | 26 TLA+ güvenlik özelliği (0 hata) · 35 Alloy olgusu, 22 iddia — her ikisi de CI'da çalışır |
| MCP kayıtları | Resmi MCP kaydı · Glama (A Sınıfı, Resmi rozet) · Smithery |
| Lisans | Apache-2.0 |
Anlaştığı kanıtlanmış üç bağımsız uygulama — bkz. CONFORMANCE.md veya bir makbuzu emiliaprotocol.ai/verify adresinde kendiniz doğrulayın.
EP yığını
Eye observes. Handshake verifies. Signoff owns. Commit seals.
| Katman | Ne yapar |
|---|---|
| EP Eye | Ajan davranışını gözlemler ve sınıflandırır (OBSERVE → SHADOW → ENFORCE) |
| EP Handshake | 7 özellikli bağlama ile kriptografik onay töreni |
| EP Signoff | Adı belirtilmiş insan sahipliği — WebAuthn / geçiş anahtarı A Sınıfı, cihaza bağlı; en yüksek riskli eylemler için çok taraflı yeter sayı (M-of-N / sıralı — iki kişi kuralı) |
| EP Commit | Merkle zincirli makbuzlarla atomik, değişmez eylem kapanışı |
Kanıt noktaları
| Metrik | Değer |
|---|---|
| Otomatik testler | 173 dosyada 4.220 |
| TLA+ güvenlik özellikleri | 26 doğrulandı (T1–T26), 0 hata — bkz. PROOF_STATUS.md |
| Alloy ilişkisel iddialar | İki modelde 35 olgu + 22 iddia — CI'da doğrulandı |
| Kataloglanan kırmızı takım vakaları | 85 — RED_TEAM_CASES.md |
| Düzeltilen güvenlik bulguları | 31 |
| Uygunluk (7/7) | node conformance/ep-conformance-test.js https://www.emiliaprotocol.ai |
| Çapraz dil uygunluğu | 8 paket — makbuzlar · cihaz onayları · çok taraflı yeter sayı · iptal · zaman onayı · güven makbuzu · köken · kanıt kaydı — JS / Python / Go doğrulayıcıları anlaşıyor (node conformance/run.mjs) |
| Handshake oluşturma p95 | 50 VU'da 575ms — PERFORMANCE_PROOF.md |
EP Çekirdek nesneleri
EP, uyumlu herhangi bir uygulamanın üretebileceği ve doğrulayabileceği üç birlikte çalışabilir nesneyi standartlaştırır:
| Nesne | Ne olduğu |
|---|---|
| Güven Makbuzu | Bir yetkilendirme olayının taşınabilir, imzalı kaydı — ne oldu |
| Güven Profili | Gözlemlenebilir güven durumunun standartlaştırılmış bir özeti — ne biliniyor |
| Güven Kararı | Nedenler ve itiraz yolu ile politika değerlendirmeli sonuç — şimdi ne yapılacak |
EP Uzantıları (Handshake, Signoff, Commit, Delegation), sistemlerin yürütmeyi kısıtlaması gereken yerlerde daha güçlü yaptırım ekler. Ürün katmanları (GovGuard / FinGuard) protokolün kendisi değil, üzerine inşa edilmiştir.
Beş çağrıda hızlı başlangıç
- Politika oluştur
- El sıkışmayı başlat
- Kanıt sun
- Doğrula
- Onayla ve tüket
90 saniyelik demo · Hızlı Başlangıç · Ajan izlenecek yolu · IETF Taslağı · Discord
EP ne — ve ne değil
EP, eylem anında yetkilendirmedir, bir kimlik sistemi değil, bir cüzdan değil, bir itibar puanı değil.
- Olan: aktör kimliğini, yetkiyi, politikayı ve tam eylem bağlamını yürütmeden önce bağlamak için bir güven standardı
- Olmayan: OAuth / OIDC'nin yerine geçen bir şey (onlar kim olduğun sorusunu yanıtlar — EP bu tam eylemi kim onayladı sorusunu yanıtlar)
- Olmayan: özel mülk bir ürün (çekirdek Apache-2.0 lisanslıdır ve IETF tarafından izlenir)
- Olmayan: bir blok zinciri (kahraman makbuzdur; isteğe bağlı genel zaman damgası bir dipnottur)
Bkz. CONFORMANCE.md · SECURITY.md · THREAT_MODEL.md · GOVERNANCE.md