← 返回信息流
技术博客arXiv cs.AI·3 小时前

CAVA: Canonical Action Verification and Attestation for Runtime Governance of Agentic AI Systems

AI 深度解读

背景

随着 Agentic AI(自主行动型人工智能)系统日益普及,其运行时环境变得极其异构:本地编码钩子、SDK 工具、浏览器自动化、托管代理追踪、API 网关、工作流引擎等。同一个操作性动作(如发布代码、变更身份状态、转移资金、导出数据)可能被多种不兼容的运行时记录所表示。这导致一个基本的治理问题难以回答:某个动作实际批准了什么?批准与执行之间由什么证据绑定?独立验证者之后能否复现相同的动作身份?现有方案缺乏一个统一的、可验证的运行时语义层来解决这一矛盾。

核心内容

本文提出 CAVA(Canonical Action Verification and Attestation),即规范动作验证与证明,这是一种运行时语义层,用于将异构的 Agent 活动转换为规范的运行时动作对象。CAVA 位于 Proof-Carrying Agent Actions(PCAA) 的下层:PCAA 定义了由部署者拥有的“路由-审查-证明”治理流程,而 CAVA 定义了该流程所治理的稳定动作对象。

CAVA 正式化了以下概念:

  • 规范动作身份(Canonical Action Identity):为每个 Agent 操作定义一个唯一的、可复现的身份标识,不受底层运行时异构性的影响。
  • 语义模式检测(Semantic Pattern Detection):识别动作的语义等价模式,允许策略引擎基于语义而非原始记录来匹配动作。
  • 批准绑定(Approval Binding):将批准(approval)与具体的规范动作对象绑定,确保执行前经过审批。
  • 收据完整性(Receipt Integrity):生成可验证的收据,证明动作已被批准并执行,且未被篡改。
  • 运行时可移植投影(Runtime-Portable Projection):规范动作对象可在不同运行时之间无损投影,保持身份一致。
  • 可选的证明基底(Optional Attestation Substrates):支持硬件或软件证明来增强可信度。

论文通过一个包含 96 个种子、384 个变体的基准测试研究了参考实现,涵盖以下维度:

  • 语义等价(Semantic Equivalence)
  • 语义分离(Semantic Separation)
  • 包装器绕过(Wrapper Bypass)
  • 误报控制(False-Positive Control)
  • 批准绑定(Approval Binding)
  • 收据可复现性(Receipt Reproducibility)
  • 证明篡改检测(Attestation Tamper Detection)
  • 运行时可移植性(Runtime Portability)
  • 语义模式检测(Semantic Pattern Detection)
  • 策略退化(Policy Degradation)
  • Azure 部署演练(Azure Deployment Drills)

研究结果表明,CAVA 能够有效将异构活动标准化,并支持可验证的运行时治理,为部署者侧 AI 治理提供了必要的底层基础设施。

关键要点

  • CAVA 是一个运行时语义层,位于 PCAA 治理流程之下,专门用于将异构 Agent 系统的运行时活动转化为规范且可验证的“规范动作对象”。
  • 核心创新在于“规范动作身份”的形式化定义:同一语义动作在不同运行时中的表示应当映射到同一规范身份,便于策略匹配和事后审计。
  • 语义模式检测支持策略基于动作的语义含义(而非原始记录格式)进行决策,提高治理的鲁棒性。
  • 批准绑定与收据完整性相结合,使得每个动作的执行都有可追溯的审批证据链,且独立第三方可以复现验证。
  • 运行时可移植投影确保规范动作对象可以在本地、云端、浏览器等不同环境中无损使用。
  • 基准测试覆盖 11 个维度,使用 384 个变体,验证了 CAVA 在语义等价、分离、防绕过、误报控制、批准绑定、收据复现、防篡改、可移植性等方面的有效性。
  • 研究还包括 Azure 部署演练,表明 CAVA 可在实际云环境中运行。

意义与影响

CAVA 为 Agentic AI 的运行时治理提供了一种系统化的解决方案。在此之前,由于运行时异构性,同一个操作被不同记录表示,导致治理逻辑无法统一。CAVA 通过定义一个稳定的规范动作对象层,使得部署者能够:

  • 统一策略引擎:策略可以针对规范动作身份和语义模式编写,无需适配每个运行时的细节。
  • 增强审计和合规:收据与批准绑定,且可独立验证,满足严格的监管要求。
  • 提升防篡改能力:通过证明基底,可检测运行时环节的恶意篡改或绕过。
  • 支持跨平台治理:规范动作对象可移植,适合多云或混合部署场景。

该工作将动作级规范化(action-level canonicalization)和策略可寻址语义模式(policy-addressable semantic patterns)确立为部署者侧 AI 治理的必要基础,为未来更低成本、更可靠的 Agentic AI 系统管控铺平道路。CAVA 与 PCAA 的结合,有望成为 Agentic AI 治理体系的标准参考架构。

查看原文 →arxiv.org