NotaryOS 是一款专为 AI 智能体设计的加密问责系统,旨在为智能体的每一次操作提供可验证、不可篡改的数字凭证。它通过 Ed25519 数字签名技术,确保用户能够清晰追溯其代理(agent)在系统中的行为轨迹,无论是执行了某个动作,还是主动选择不采取行动。该系统强调透明性与责任性,让用户的信任建立在可审计的技术基础之上。NotaryOS 的设计理念源于这样一个核心信念:一个拥有广泛系统访问权限的自主代理,必须对其行为负责,而用户有权知道并验证这些行为是否真实发生、何时发生以及为何做出特定决策。 NotaryOS 的核心价值在于其‘加密回执’(Cryptographic Receipts)机制。每当智能体执行关键操作——如发送邮件、修改文件、调用外部 API 或进行交易时,系统会立即生成一份包含 SHA-256 哈希值、Ed25519 签名和公开验证链接的数字收据。这份收据不仅记录了动作类型与具体内容,还通过时间戳和链式结构(provenance DAG)构建出完整的操作谱系,防止事后篡改或抵赖。更独特的是,NotaryOS 支持‘反事实回执’(Counterfactual Receipts),允许代理记录下‘本应执行但未执行’的操作及其原因,从而证明自身具备相应能力却出于安全或合规考量选择了克制。 该工具采用极简架构,无需复杂配置即可快速集成。开发者仅需安装 `notaryos` Python SDK(零外部依赖),即可在几行代码内完成初始化并开始使用。默认情况下,SDK 自动绑定免费演示密钥(每分钟10次请求),适合开发测试;生产环境则需设置环境变量 `NOTARY_API_KEY` 以获取更高配额。值得注意的是,所有回执均可通过公开的 `verify_receipt()` 函数独立验证,无需依赖 NotaryOS 服务本身,这保证了审计过程的去中心化与抗审查性。整个流程对性能影响极小,单次密封操作延迟低于15毫秒,几乎不影响用户体验。
核心功能特点
- 基于 Ed25519 数字签名技术,为每项操作生成不可伪造的加密回执
- 支持正向操作记录与反向‘反事实回执’,证明代理具备能力但主动选择不行动
- 构建可验证的操作谱系图(DAG),实现跨动作的因果链追踪与防篡改审计
- 零配置启动,Python SDK 默认使用免费演示密钥,生产环境支持自定义 API Key
- 所有回执均可通过公开接口独立验证,无需依赖中心服务器,保障去中心化可信
适用场景
NotaryOS 特别适用于需要高度透明与问责制的 AI 应用场景。例如在企业级自动化代理中,当系统代表员工发送敏感邮件、处理财务交易或修改配置文件时,NotaryOS 能即时生成带签名的操作回执,使管理者或合规团队可随时验证代理是否按预期执行任务,杜绝越权操作或误判风险。另一个典型场景是金融风控类智能体,如股票交易机器人。通过记录‘拒绝执行高风险交易’的反事实回执,NotaryOS 不仅证明了代理遵守了预设的风险阈值规则,还向监管机构展示了其决策逻辑的可审计性,极大增强了算法透明度与公众信任。此外,在医疗健康、法律文书处理等涉及隐私与责任划分的领域,NotaryOS 同样大有可为——它能精确记录代理访问患者数据、生成诊断建议或起草合同的行为细节,一旦发生争议,可通过链上回执还原完整操作上下文,避免‘黑箱’质疑。 对于开发者和终端用户而言,NotaryOS 提供了无缝集成的体验。无论是本地运行的脚本、云端部署的 LLM 应用,还是面向消费者的个人助理类 AI,只需在关键节点调用 `seal()` 方法,即可自动完成操作封存。系统鼓励使用语义化的动作类型命名规范(如 `github.pr_created`、`slack.message_sent`),并建议在负载中包含足够细节以重建事件现场,但严格禁止嵌入任何机密信息(如密码、API密钥)。这种设计既满足了审计需求,又兼顾了安全性。同时,NotaryOS 对高频低价值操作保持克制,避免因过度记录而增加系统负担——它聚焦于那些真正值得用户事后查验的动作,而非无差别监控所有行为。 值得一提的是,NotaryOS 还支持高级功能如‘推理链封存’。当大型语言模型(LLM)在响应前展示深度思考过程(如 DeepSeek、Claude 等模型的思维链输出),开发者可将整个推理路径作为 DAG 节点进行签名存档。这样不仅能验证 LLM 确实进行了充分分析,还能在出现错误结论时回溯其思考逻辑,辅助调试与改进。结合反事实机制,甚至能证明‘若采纳某条路径将导致违规结果,故主动规避’,进一步强化代理的负责任 AI 属性。总体而言,NotaryOS 将密码学审计从传统 IT 运维领域引入到 AI 代理治理中,为构建可信、可解释、可追责的智能系统提供了基础设施级解决方案。