EMILIA Protocol MCP Server

chính thức

Yêu cầu sự chấp thuận có thể xác minh ngoại tuyến của một người cụ thể trước khi tác nhân AI thực hiện hành động không thể đảo ngược — giải ngân thanh toán, thay đổi hồ sơ, triển khai. Quy tắc hai người, Biên nhận tin cậy Ed25519, do IETF soạn thảo, Apache-2.0.

Tài liệu

EMILIA Protocol

CI Verify Sample Receipt npm License IETF Internet-Draft Discord


Cỗ máy không phanh

Trong năm mươi năm, bảo mật phần mềm chỉ trả lời một câu hỏi: ai được phép vào? Tường lửa, OAuth, và mật khẩu — tất cả được xây dựng để xác minh danh tính con người ngay tại cửa.

Kỷ nguyên đó đang kết thúc. Người dùng chính của phần mềm không còn là con người; họ là các tác nhân AI tự hành. Các tác nhân không chỉ đăng nhập — chúng viết mã, gọi công cụ, và thay đổi thực tại ngay lập tức. Mọi CISO đều biết một lời nhắc độc hại có thể khiến tác nhân xóa sổ cơ sở dữ liệu sản xuất hoặc chuyển tiền vào tài khoản sai. Vì vậy, họ đang chặn triển khai — ngồi trên hàng tỷ đô la ngân sách AI không thể chi tiêu vì đội ngũ tuân thủ của họ không thể trả lời một câu hỏi:

Ai đã phê duyệt hành động đó?

Cuộc khủng hoảng của thế hệ chúng ta không phải là xác thực. Đó là ủy quyền tại thời điểm hành động: làm thế nào để chứng minh rằng những gì một tác nhân sắp làmchính xác những gì một con người được chỉ định đã ủy quyền — trước khi nó thực thi?

EMILIA là dây an toàn cho kỷ nguyên tác nhân.

Nhật ký quyết định là lời khai. EMILIA tạo ra biên lai.


Không biên lai, không hành động không thể đảo ngược

Nếu một tác nhân cố gắng chuyển tiền, xóa mã, triển khai sản xuất, thay đổi quyền, hoặc biến đổi trạng thái được quản lý mà không có biên lai EMILIA hợp lệ, công cụ sẽ từ chối chạy — và nếu nó chạy, bất kỳ ai cũng có thể xác minh ai đã ủy quyền chính xác điều gì, ngoại tuyến, không cần tin tưởng ai.

Đó là toàn bộ giao thức. Lớp bao bọc dành cho nhà phát triển là một trình bao quanh một công cụ MCP không thể đảo ngược. Xem nó hoạt động, hoàn toàn ngoại tuyến, không khóa, không tài khoản — mỗi bản demo chạy toàn bộ vòng lặp (bị từ chối → con người được chỉ định ký vào hành động chính xác → công cụ chạy → biên lai giả mạo bị từ chối):

node examples/mcp/payment-server.mjs    # release_payment  — refuses without a receipt
node examples/mcp/github-admin.mjs      # delete_repo      — refuses without a receipt
node examples/mcp/prod-deploy.mjs       # deploy_production — refuses without a receipt

Bọc trình điều phối công cụ của riêng bạn trong sản xuất — xem examples/mcp//mcp:

import { withMcpGuard } from '@emilia-protocol/mcp-guard';
const guarded = withMcpGuard(handleTool, {
  annotations: { release_payment: { irreversible: true, action: 'payment.release' } },
}); // missing receipt → refused, never a silent pass

Dùng thử trong 30 giây

# Issue a receipt offline — no API key, no backend needed
npx @emilia-protocol/issue demo
# Add EMILIA to Claude / Cursor / Cline
npx -y @emilia-protocol/mcp-server

Dùng thử ký duyệt Face ID thực tế → Phê duyệt giao dịch chuyển khoản $82.000 bằng passkey của chính bạn. Xem VERIFIED trông như thế nào. Giả mạo biên lai. Xem nó thất bại.

Xác minh bất kỳ biên lai nào trong trình duyệt của bạn — dán vào, không có gì được tải lên.


Cách thức hoạt động — bốn hồi

EMILIA crash test — an autonomous agent tries to wire $82,000; the policy engine holds it, a named human signs off on their own device, the receipt verifies offline, and a forged copy fails.

Tự chạy: node examples/crash-test.mjs — hoàn toàn ngoại tuyến, không cần khóa API.

  [ INTENT ]          [ DECISION ]           [ CEREMONY ]           [ RECEIPT ]
  Agent calls a     Policy-bound, hash-    Named human signs     Signed, offline-
  tool via MCP   →  pinned: allow /     →  the EXACT action  →  verifiable proof.
                    allow-with-signoff /   on their own          Tamper it:
                    deny  (+observe        device (passkey).      fails by design.
                    mode: zero change      What they saw =
                    to production)         what they signed.

Hồi I — Chặn bắt (MCP-native). Không viết lại. EMILIA móc nối lệnh gọi công cụ tại ranh giới Model Context Protocol — khoảnh khắc một tác nhân cố gắng xóa tệp hoặc di chuyển vốn, hành động bị bắt giữa không trung.

Hồi II — Quyết định (ràng buộc chính sách, xác định). Hành động được kiểm tra dựa trên chính sách được ghim băm: allow, allow-with-signoff, hoặc deny. Cộng với chế độ quan sát không thay đổi gì trong sản xuất và báo cáo những gì lẽ ra đã bị giữ lại. Xác định, có thể kiểm toán — không phải điểm rủi ro hộp đen.

Hồi III — Nghi thức (ký duyệt con người gắn với thiết bị). Khi chính sách yêu cầu con người, EMILIA chạy ký duyệt WebAuthn / passkey gắn với hành động chính xác — Face ID / Touch ID trên thiết bị của chính người vận hành. Những gì con người thấy là những gì họ ký. Không script nào có thể giả mạo; không vòng lặp tự hành nào có thể bỏ qua.

Hồi IV — Biên lai (bằng chứng). Kết quả là một biên lai ủy quyền đã ký mà bất kỳ ai cũng có thể xác minh ngoại tuyến, bằng mã nguồn mở, không cần backend, không cần tin tưởng nhà cung cấp. Giả mạo nó và xác minh thất bại theo cấu trúc. Tùy chọn neo nó để đóng dấu thời gian công khai — cốt lõi không cần blockchain.


Tại sao nhà phát triển sử dụng nó

Bạn muốn các tác nhân thực sự làm mọi thứ — nhưng bạn bị tê liệt bởi các vòng lặp mất kiểm soát, chi tiêu API quá mức, và hủy hoại dữ liệu ngẫu nhiên. EMILIA cung cấp cho bạn một máy chủ MCP cắm-và-chạy + một SDK wrapper mỏng. Áp dụng hàm băm chính sách, và các lệnh gọi công cụ không thể đảo ngược đạt được một lớp phê duyệt-và-bằng chứng được bảo vệ bằng mật mã, ánh xạ theo NIST-AI-RMF — mà không cần xây dựng quy trình phê duyệt hoặc cơ sở hạ tầng kiểm toán từ đầu.

# langchain-emilia — wrap any LangChain tool with an EP gate
from langchain_emilia import EmiliaGateClient

gate = EmiliaGateClient(base_url="https://www.emiliaprotocol.ai", api_key="...")
safe_tool = gate.wrap(your_destructive_tool)
pip install langchain-emilia   # PyPI
npm install @emilia-protocol/verify  # npm

Tác nhân của bạn không thể chạy quá dây xích của nó.


Tại sao doanh nghiệp cần nó

Mỗi sự thay đổi nền tảng tạo ra một nguyên thủy bảo mật mới: web có SSL, đám mây có Okta / IAM, nền kinh tế tác nhân cần niềm tin cấp hành động. Các doanh nghiệp đang ngồi trên ngân sách AI mà bộ phận tuân thủ không cho phép họ chi tiêu — EMILIA là chìa khóa mở khóa chúng, bằng cách biến các tác nhân không thể đoán trước thành cơ sở hạ tầng sẵn sàng kiểm toán, ánh xạ từng nguyên thủy tới các kiểm soát NIST AI RMF, Đạo luật AI EU, và SOC 2 CC6/7.

Lớp được quản lý (GovGuard / FinGuard) mở rộng tiêu chuẩn mở với các gói chính sách theo ngành, thí điểm chế độ quan sát, và các gói bằng chứng sẵn sàng kiểm toán — không cần mua sắm để bắt đầu.


Tiêu chuẩn

EMILIA là một tiêu chuẩn mở, không phải hào sản phẩm. Cốt lõi là Apache-2.0 và được theo dõi như một IETF Internet-Draft.

IETF Internet-DraftsĐã đăng: authorization-receipts · quorum. Được dàn dựng trong standards/: authorization-evidence-chain (EP-AEC, thành phần) · evidence-record (EP-EVIDENCE-RECORD, lưu giữ dài hạn). Bản đồ lĩnh vực: khảo sát tổng quan.
Trình xác minh đa ngôn ngữJavaScript · Python · Go — cả ba đã được chứng minh đồng thuận trên các vector tuân thủ đối kháng, mỗi lần đẩy (npm run conformance). Đó là tiêu chuẩn IETF cho một tiêu chuẩn thực sự: nhiều triển khai tương tác độc lập.
Xác minh hình thức26 thuộc tính an toàn TLA+ (0 lỗi) · 35 sự kiện Alloy, 22 khẳng định — cả hai chạy trong CI
Sổ đăng ký MCPSổ đăng ký MCP chính thức · Glama (Hạng A, Huy hiệu Chính thức) · Smithery
Giấy phépApache-2.0

Ba triển khai độc lập được chứng minh đồng thuận — xem CONFORMANCE.md, hoặc tự xác minh biên lai tại emiliaprotocol.ai/verify.


Ngăn xếp EP

Eye observes. Handshake verifies. Signoff owns. Commit seals.
LớpChức năng
EP EyeQuan sát và phân loại hành vi tác nhân (OBSERVE → SHADOW → ENFORCE)
EP HandshakeNghi thức đồng thuận mật mã với ràng buộc 7 thuộc tính
EP SignoffQuyền sở hữu con người được chỉ định — WebAuthn / passkey Hạng A, gắn với thiết bị; túc số đa bên (M-of-N / có thứ tự — quy tắc hai người) cho các hành động rủi ro cao nhất
EP CommitĐóng hành động nguyên tử, bất biến với biên lai chuỗi Merkle

Điểm chứng minh

Chỉ sốGiá trị
Kiểm thử tự động4.220 trên 173 tệp
Thuộc tính an toàn TLA+26 đã xác minh (T1–T26), 0 lỗi — xem PROOF_STATUS.md
Khẳng định quan hệ Alloy35 sự kiện + 22 khẳng định trên hai mô hình — đã xác minh trong CI
Ca đối kháng được lập danh mục85 — RED_TEAM_CASES.md
Phát hiện bảo mật đã khắc phục31
Tuân thủ (7/7)node conformance/ep-conformance-test.js https://www.emiliaprotocol.ai
Tuân thủ đa ngôn ngữ8 bộ — biên lai · ký duyệt thiết bị · túc số đa bên · thu hồi · chứng thực thời gian · biên lai tin cậy · xuất xứ · hồ sơ bằng chứng — trình xác minh JS / Python / Go đồng thuận (node conformance/run.mjs)
Handshake create p95575ms tại 50 VUs — PERFORMANCE_PROOF.md

Đối tượng lõi EP

EP tiêu chuẩn hóa ba đối tượng tương tác mà bất kỳ triển khai tuân thủ nào cũng có thể tạo ra và xác minh:

Đối tượngMô tả
Biên lai Tin cậyBản ghi di động, đã ký về một sự kiện ủy quyền — điều gì đã xảy ra
Hồ sơ Tin cậyTóm tắt tiêu chuẩn hóa về trạng thái tin cậy có thể quan sát — điều gì đã biết
Quyết định Tin cậyKết quả được đánh giá chính sách với lý do và lộ trình kháng nghị — phải làm gì bây giờ

Phần mở rộng EP (Handshake, Signoff, Commit, Delegation) thêm thực thi mạnh mẽ hơn khi hệ thống phải ràng buộc thực thi. Các lớp sản phẩm (GovGuard / FinGuard) được xây dựng trên cùng — không phải chính giao thức.


Bắt đầu nhanh trong năm lệnh gọi

  1. Tạo chính sách
  2. Khởi tạo handshake
  3. Trình bày bằng chứng
  4. Xác minh
  5. Ký duyệt và tiêu thụ

Demo 90 giây · Bắt đầu nhanh · Hướng dẫn tác nhân · IETF Draft · Discord


EP là gì — và không là gì

EP là ủy quyền tại thời điểm hành động, không phải hệ thống danh tính, không phải ví, không phải điểm danh tiếng.

  • : tiêu chuẩn tin cậy để ràng buộc danh tính tác nhân, thẩm quyền, chính sách, và ngữ cảnh hành động chính xác trước khi thực thi
  • Không là: sự thay thế cho OAuth / OIDC (những thứ đó trả lời bạn là ai — EP trả lời ai đã phê duyệt hành động chính xác này)
  • Không là: sản phẩm độc quyền (cốt lõi là Apache-2.0 và được IETF theo dõi)
  • Không là: blockchain (biên lai là anh hùng; đóng dấu thời gian công khai tùy chọn là chú thích phụ)

Xem CONFORMANCE.md · SECURITY.md · THREAT_MODEL.md · GOVERNANCE.md