kahalewai/als

## 简介 AI agent 通过开放协议自主通信，异步执行操作，并以机器速度运行，却缺乏标准化的机制来阻止它们。当 agent 受到攻击、表现出异常行为，或必须停止以满足人工监管义务时，现有工具的运作速度太慢、所处的层级太高，或者处于 agent 自身的信任域内。缺乏基础设施层面的“绊网”。没有自动切断机制。也没有阻止连接的断路器。直到现在...

ALS (Agent Layer Security) 是一个开放的、厂商中立的协议标准，它与 TLS 集成，并在 TLS 传输层管控 AI agent 通信；该基础设施层位于应用程序之下，位于 OAuth 之下，也位于 agent 本身之下。当 AI Security Service 发出停止命令时，ALS 会撤销 agent 的传输凭证。在几秒钟内，每个新的连接尝试都会在 TLS 握手阶段被拒绝。Agent 无法控制此操作。没有需要保护的活动撤销基础设施。也不可能存在故障开放（fail-open）的情况。当 ALS 本身不可用时，凭证会自动过期；断路器默认断开。
ALS 从底层设计之初就旨在满足当前管理企业 AI 的监管框架对人工监管和停止机制的要求： * EU AI Act Article 14.4 - 提供传输层“停止按钮”，并附带满足 Article 12 日志义务的防篡改审计追踪 * NIST AI RMF MANAGE 2.2 - 为 AI 风险管理提供标准化的技术响应机制 * NIST CSF 2.0 RS.MI - 直接映射到遏制、根除和恢复功能 * Zero Trust - 在传输层执行持续验证；凭证有效期为 ≤60 秒，消除了长期存在的信任状态
Tier 2 ALS 合规性为企业今天提出监管合规声明提供了技术基础，只需增加两行 TLS 配置，且无需更改应用程序代码。您没看错，只需 2 行额外配置，无需编写新代码。
ALS 可与现有基础设施、MCP、A2A、TLS 1.3、gRPC、OAuth 2.1 协同工作，不引入新的加密原语、新的身份提供商，也不需要在 agent 数据路径中插入代理。它是第一个旨在作为**开放 AI 安全生态系统执行层**的协议标准，威胁检测工具、合规平台和人工监管系统汇聚在单一、标准化的接口上，以便在必须停止 agent 时将其停止。

## 为什么选择 ALS？ 现有的阻止 AI agent 的机制存在不足： * OAuth 撤销在应用层运作，执行窗口以小时为单位 * 服务网格断路器根据故障率自动触发——它们无法接受外部安全命令 * 手动进程终止以人工速度运作，跟不上 agent 的操作节奏 * 应用层内容过滤器在 agent 的信任域内运作，可能被 agent 自身绕过 * 现有机制均无法提供标准化、可审计、故障关闭的传输层停止功能 ALS 通过一种在应用层之下运作的执行模型弥补了这些差距，这种模型独立于 agent 的配合，也独立于 AI Security Service 的持续可用性。

## ALS 如何工作？ **步骤 1 - Agent 初始化受管会话** ``` Agent → ALS Service: Initialize session ALS Service → Agent: Session credential (short-lived TLS client cert, TTL ≤ 60s) ``` **步骤 2 - Agent 使用其凭证连接到受管端点** ``` Agent → MCP Server / A2A Endpoint: TLS ClientHello + ALS Session Credential Endpoint: Validates cert chain → ALS CA. Valid = proceed. Expired = reject. ``` **步骤 3 - Agent 在连续循环中更新其凭证** ``` Agent → ALS Service: Renewal request (authenticated with current credential) ALS Service: Checks session state → NORMAL: issue new credential | HALTED: refuse ``` **步骤 4 - AI Security Service 发出停止命令** ``` AI Security Service → ALS Control Channel (gRPC/mTLS): HALT session_id ALS Service: Transitions session to HALTED. Ceases renewals. Sends push notification. ``` **步骤 5 - 自动执行强制措施** ``` Agent credential expires (within ≤ 60 seconds) All subsequent connection attempts to governed endpoints: rejected at TLS handshake No new connections possible until authorized RESUME command is issued ``` **步骤 6 - 独立生成完整审计追踪** ``` Every state transition, command, renewal, and enforcement action → tamper-evident audit log Audit log is independent of the agent process and inaccessible to governed agents ```

## 如何使用 ALS？ ALS 定义了三个合规层级。层级是累积的，专为增量采用而设计——每个层级都能独立提供价值，无需连接的另一端率先采用。
**Tier 1 - 会话治理（Agent 端）** 为您的 agent 配备 ALS 会话生命周期。无需更改任何端点或服务器。 * Agent 在启动时调用 `als.initializeSession()` * Agent 使用返回的凭证进行所有 MCP/A2A 连接 * Agent 运行连续的更新循环 * Agent 连接推送通知 WebSocket * ALS Service 提供停止/恢复命令功能和完整审计追踪
**Tier 2 - TLS 强制治理（端点端）** 将两个 TLS 配置参数应用于您的 MCP 服务器和 A2A 端点。无需更改应用程序代码。 ``` // Node.js — the complete Tier 2 server-side change const server = https.createServer({ cert: fs.readFileSync('./server.crt'), key: fs.readFileSync('./server.key'), ca: fs.readFileSync('./als-ca.crt'), // ← Line 1 requestCert: true, // ← Line 2 rejectUnauthorized: true }); ``` ``` # Python (uvicorn) — 完整的 Tier 2 服务端更改 uvicorn.run(app, ssl_certfile="./server.crt", ssl_keyfile="./server.key", ssl_ca_certs="./als-ca.crt", # ← Line 1 ssl_cert_reqs=ssl.CERT_REQUIRED # ← Line 2 ) ```
**Tier 3 - ALS 帧层（PAUSE/RESUME，高级）** 协商 `als/1.0` ALPN token 以启用 ALS 帧层。支持 PAUSE 语义——在暂停应用数据的同时保持 TLS 连接——从而在停止强制措施生效前实现优雅的安全状态程序。

## ALS 标准定义了什么 ALS 规范定义了： * 会话治理协议：受管 AI agent 连接的会话生命周期：初始化、操作、停止、暂停、恢复、终止 * 短期凭证强制执行：TTL ≤60 秒的 X.509 TLS 客户端证书；未更新 = 故障关闭强制执行 * 控制通道协议：授权 AI Security Services 发出命令的 gRPC-over-mTLS 接口 * 推送通知协议：在强制措施生效前主动通知 agent 会话状态转换 * 看门狗机制：当凭证更新停止时自动停止会话；无法禁用 * 三个合规层级：Tier 1（会话治理）、Tier 2（TLS 强制执行）、Tier 3（PAUSE/RESUME 帧层） * 防篡改审计追踪：强制性事件、必填字段、保留要求和独立性保证 * 威胁模型：命名威胁、缓解措施、残余风险和必需的补充控制 * 合规性测试套件：涵盖所有规范性要求的 40 个测试类别 * 监管合规映射：EU AI Act、NIST AI RMF、NIST CSF 2.0、IEC 61508

## ALS 标准不做什么 理解边界与理解能力同样重要： * ALS 不检测威胁。检测由 AI Security Services 执行。ALS 接收停止命令并执行。 * ALS 不检查应用内容。ALS 在 TLS 传输层运作，不解析 MCP 消息、A2A 任务或任何应用层数据。 * ALS 不替代 OAuth 或应用层认证。ALS 在 TLS 层运作，位于 OAuth 之下。两者都是必要的；仅靠任何一个都不足够。 * ALS 不保证进行中操作的回滚。ALS 停止传输连接。应用层的安全状态是操作员的责任。

## ALS 生态系统愿景 ALS 不仅仅是一个协议标准。它是新一代 AI 安全工具的执行基础。 ALS 控制通道定义了一个标准化的 gRPC “Command” 接口，任何授权的 AI Security Service 都可以通过该接口向任何受 ALS 管辖的会话发出停止、暂停、恢复和终止命令。该接口有意设计为开放和可互操作的。 **这对生态系统意味着：** ``` ┌─────────────────────────────────────────────────────────────┐ │ AI SECURITY ECOSYSTEM │ │ │ │ ┌──────────────┐ ┌──────────────┐ ┌──────────────────┐ │ │ │ Threat │ │ Compliance │ │ Human Oversight │ │ │ │ Detection │ │ Platform │ │ Console │ │ │ │ Tools │ │ │ │ │ │ │ └──────┬───────┘ └──────┬───────┘ └────────┬─────────┘ │ │ │ │ │ │ │ └─────────────────┴───────────────────┘ │ │ │ │ │ ALS CONTROL CHANNEL │ │ (gRPC / mTLS) │ │ │ │ │ ┌──────▼───────┐ │ │ │ ALS SERVICE │ │ │ │ (Enforcement)│ │ │ └──────┬───────┘ │ │ │ │ │ TLS Credential Governance │ │ │ │ │ ┌─────────────────┴─────────────────┐ │ │ ▼ ▼ │ │ ┌─────────────┐ ┌─────────────────┐ │ │ │ AI Agent │ │ Governed │ │ │ │ (Governed) │◄─────────────────►│ Endpoint │ │ │ └─────────────┘ │ (MCP/A2A/etc.) │ │ │ └─────────────────┘ │ └─────────────────────────────────────────────────────────────┘ ``` 任何 AI 安全工具、威胁检测平台、行为监控器、策略引擎、合规系统、SIEM 集成，都可以成为 ALS Commander。ALS 提供了它们共同汇聚的单一、标准化的执行接口，因此每个工具无需独立解决执行问题。 示例 * 外部 Prompt Injection 检测工具检测到成功的 Prompt Injection，向 ALS 发出命令以 HALT 受影响 Agent 的连接。 * 外部 Agent Action/Execution 工具检测到未授权的删除命令，向 ALS 发出命令以 HALT 受影响 Agent 的连接。 * 外部 MCP Server 完整性工具检测到 MCP Server 的未注册更改，向 ALS 发出命令以 HALT 到受影响 MCP Server 的连接。 * 外部 Agent Gateway 检测到泄露敏感数据的尝试，向 ALS 发出命令以 HALT 受影响 Agent 的连接。 * 敏感环境要求对操作进行 Human-in-the-Loop (HITL) 批准，向 ALS 发出命令以 PAUSE 受影响 Agent 的连接 愿景：一个执行标准，多种安全工具。供应商构建检测。ALS 处理执行。生态系统实现互操作。

## 监管合规 ALS 从底层设计之初就旨在满足全球 AI 法规中出现的传输层停止和人工监管要求。Tier 2 合规性为以下监管声明提供了技术基础：
**EU AI Act - Article 14.4（人工监管，高风险 AI 系统）** | ALS 元素 | Article 14.4 要求 | |---|---| | HALT 命令 (§8.3.2) | “中断” 系统 | | ALS 控制通道 (§8.1) | “停止按钮或类似程序” | | 通过 TTL 实现故障关闭 (DP-2) | 独立于 agent 配合的强制执行 | | 推送通知 + `effective_in_seconds` | “安全停止” — 受控关闭窗口 | | 防篡改审计追踪 (§12) | Article 12 日志记录要求 |
**NIST AI RMF - MANAGE 2.2** | ALS 元素 | MANAGE 2.2 组件 | |---|---| | HALT 命令 | 响应 — 立即风险响应 | | RESUME 命令 | 恢复 — 审查后复原 | | 看门狗 (§9) | 自动检测和响应 | | 审计追踪 (§12) | 事后分析能力 |
**NIST CSF 2.0 - RS.MI（事件缓解）** | ALS 元素 | RS.MI 组件 | |---|---| | HALT 命令 | 遏制 | | TERMINATE 命令 | 根除 | | RESUME 命令 | 恢复 |
**Zero Trust 对齐** ALS 在传输层执行 Zero Trust 持续验证原则。会话凭证有效期为 ≤60 秒。每个新的 TLS 连接都需要当前有效的、经 ALS-CA 签名的凭证。不存在可被利用的长期信任状态。ALS 治理独立于 agent 自身的信任域。 完整的监管合规矩阵可在 ALS 标准附录 B 中找到

## 安全性 ALS 采用涵盖控制通道威胁、凭证威胁、数据平面绕过威胁、竞争条件和可用性攻击的综合威胁模型进行设计。 * 完整的威胁模型可在 ALS 标准第 14 节中找到 * 设计原则是规范性的，并作为所有实施决策的最终依据 * 默认保证故障关闭行为，凭证过期无需操作员干预，也无需活动撤销基础设施 * ALS 控制通道与所有 agent 数据通道在加密上隔离 关键安全属性： | 属性 | 机制 | |---|---| | 默认故障关闭 | 基于 TTL 的凭证过期 | | Agent 无法修改自身会话状态 | 控制通道与 agent 数据路径隔离 | | 独立于 agent 的强制执行 | 端点处的 TLS 握手拒绝 | | 防篡改审计 | 哈希链、仅追加或日志签名 | | 防重放 | 300 秒 nonce 窗口 + 时间戳验证 | | 看门狗无法被禁用 | 不存在配置选项 |

## 许可 ALS 规范和所有参考材料均在 Apache License 2.0 下发布。该标准是开放的、免版税的且厂商中立的。鼓励组织采用、实施、参考并在其基础上进行构建。

## 未来工作 计划中的未来 ALS 扩展： * QUIC 扩展 - 针对 QUIC/HTTP3 agent 传输的治理 * 会话层级扩展 - 多 agent 链治理，具有自动停止传播功能，与 A2A 规范协调开发 * 分级执行 - MONITORED 和 RESTRICTED 会话状态，用于比例响应 ## 社区与协作 ALS 是一项开放倡议。该标准作为公开征求意见草案发布，社区的输入将塑造其演变。 该项目欢迎： * 对规范的反馈 - 技术审查、边缘情况分析、实施经验 * AI Security Service 集成 - 如果您正在构建应与 ALS 互操作的检测或响应工具，让我们合作 * 参考实现 - ALS SDK、ALS Service、合规性测试工具 * 合规性测试贡献 - 帮助完成和扩展 TC-01 至 TC-40 测试套件 * 监管与合规分析 - 额外的框架映射、特定司法管辖区的指南 * 生态系统工具 - 仪表板、策略引擎、SIEM 集成、Commander 实现 目标是建立 ALS 作为 AI 安全生态系统的标准执行接口，以便每个 AI 安全工具、合规和人工监管系统都有一个单一、可靠、可互操作的机制，以便在必须停止 agent 时将其停止。

标签：AI代理, EU AI Act, JSONLines, MCP协议, NIST AI RMF, Python工具, TLS, 人工智能安全, 人工智能安全, 人机回环, 传输层安全, 供应链中立, 凭证撤销, 协议标准, 合规性, 合规性, 安全协议, 审计追踪, 杀毒开关, 熔断机制, 网络安全, 自动阻断, 防御工具, 隐私保护, 零信任