# AXR：AI智能体工作流的密码学签名审计追踪协议

> 本文介绍了AXR协议，一个用于AI智能体工作流的轻量级防篡改密码学签名执行记录系统，提供从核心签名到完整审计的多层成熟度架构。

- 板块: [Openclaw Llm](https://www.zingnex.cn/forum/board/openclaw-llm)
- 发布时间: 2026-06-13T17:15:44.000Z
- 最近活动: 2026-06-13T17:57:19.297Z
- 热度: 154.3
- 关键词: AI智能体, 审计追踪, 密码学签名, Merkle树, 可审计性, 合规, Ed25519, 防篡改, 工作流记录, 透明度
- 页面链接: https://www.zingnex.cn/forum/thread/axr-ai
- Canonical: https://www.zingnex.cn/forum/thread/axr-ai
- Markdown 来源: ingested_event

---

## 原作者与来源

- 原作者/维护者：chrisconen
- 来源平台：GitHub
- 原始标题：AXR
- 原始链接：https://github.com/chrisconen/AXR
- 来源发布时间/更新时间：2026-06-13

## AI智能体的可审计性挑战

随着AI智能体在关键业务场景中的广泛应用，一个根本性问题日益凸显：如何确保智能体行为的可审计性和可追溯性？当智能体自主执行复杂工作流、调用外部工具、做出关键决策时，我们需要一种可靠机制来记录和验证这些行为。

传统的日志系统存在明显局限：日志可以被篡改、难以验证完整性、缺乏密码学保证。在需要合规审计、责任追溯的场景中，这些局限可能是致命的。

AXR（Agent Execution Receipt，智能体执行收据）正是为解决这一挑战而设计的轻量级协议，它提供了防篡改的密码学签名执行记录，为AI智能体工作流建立了可信的审计追踪机制。

## 双轴设计：协议与实现分离

AXR采用了独特的设计理念，将协议规范与生产实现分离为两个独立维度：

### 协议合约（Protocol Contract）

协议版本1.5.1定义了冻结的线格式、CLI/验证器行为和公共JS SDK。版本号追踪的是合约本身，而非生产足迹。当前协议规范在`AXR-SPEC-1.x.md`文件中定义。

1.0版本后的所有新增功能都保持向后兼容，包括紧急见证撤销（1.1）、程序化验证（1.2/1.3）、临时见证暂停（1.4）和部分控制披露（1.5）。

### 生产实现（Live Production Profile）

生产版本0.2.1核心加上每小时Merkle锚定，自2026年6月起在生产环境中运行。0.3-1.5层已经过规范定义、测试和跨实现验证，但尚未经过生产环境的实际演练。

## 多层成熟度架构

AXR以单一仓库形式提供多个成熟度层级，用户可以根据需求选择合适的功能层级：

### 核心层（0.2.1版本）- 稳定

核心层提供基础功能：签名、链式记录、每步输入哈希、规范化、跨实现奇偶校验。 hardened n8n节点包括：
- 受保护的规范化器
- HMAC customer_ref
- 故障开放设计
- 逻辑哈希

这一层已经过生产测试，线格式已冻结，是构建更高层功能的基础。

### 锚定层（0.3版本）- 已部署

锚定层增加了Merkle批处理、签名树头、监控和OTS提交功能。每小时锚定cron任务在生产环境中运行（本地后端），使用独立的STH密钥。OTS比特币证明委托给`ots verify`。

### 可编辑收据层（0.4版本）- 稳定

支持可编辑收据、副作用证明、信任根、密钥角色分离、增量锚定和严格模式。已在1.0合约中冻结。

### 密钥继承层（0.5版本）- 稳定

实现根锚定密钥轮换（侧车、监控、双验证器、CLI），具有跨实现奇偶校验和多智能体对抗审查。尚未经过生产环境演练。

### 根生命周期层（0.6版本）- 稳定

提供法定人数根（M-of-N）、根轮换/恢复、撤销和仪式CLI。具有跨实现奇偶校验，法定人数策略是威胁模型的一部分。

### SIEM导出层（0.6版本）- 稳定

提供OCSF检测结果映射和通用webhook，OCSF形状输出（未经正式认证），设计为尽力交付。

### 控制日志层（0.7版本）- 稳定

支持日志内锚定和治理记录的锚定分发，具有跨实现奇偶校验，填补了带外扣留/吸收差距。

### 见证共同签名层（0.8版本）- 稳定

提供预防性等价防御（有状态见证门STH可接受性），在`--require-witnesses`和持久见证状态下具有预防性能力。

## 快速开始

AXR设计为零依赖，仅需Node.js（>=18）和一个零依赖Python验证器。

```bash
git clone https://github.com/chrisconen/AXR && cd AXR
npm test          # 41个测试套件，包括JS<->Python跨实现奇偶校验
```

生成密钥、构建签名日志并验证：

```bash
# 1. 生成Ed25519密钥对（操作员签名密钥）
node -e "const c=require('crypto'),{privateKey:k,publicKey:p}=c.generateKeyPairSync('ed25519');require('fs').writeFileSync('priv.pem',k.export({type:'pkcs8',format:'pem'}));require('fs').writeFileSync('pub.pem',p.export({type:'spki',format:'pem'}))"

# 2. 锚定receipts.jsonl：构建签名树头，写入anchor_ref
node axr...
```

## 核心机制详解

### 密码学签名

AXR使用Ed25519算法进行数字签名，这是目前最安全和高效的签名算法之一。每条执行记录都包含操作员的数字签名，确保记录的不可否认性和完整性。

### 链式记录结构

收据采用链式结构，每条新记录都包含前一条记录的哈希引用。这种设计使得任何试图篡改历史记录的行为都会被立即发现，因为哈希链会断裂。

### 输入哈希

每步执行都记录输入数据的哈希值，确保执行的可重现性。相同的输入应该产生相同的输出，输入哈希为验证执行正确性提供了基础。

### 规范化处理

在签名之前，数据经过严格的规范化处理，消除格式差异。这确保了不同实现、不同平台生成的签名可以互验证。

### Merkle树锚定

为了进一步提高安全性，AXR支持Merkle树批处理和锚定。多笔收据的哈希被组织成Merkle树，树头被定期锚定到外部可信源（如比特币区块链），提供时间证明和防篡改保证。

## 安全与合规价值

AXR为AI智能体应用提供了关键的安全和合规能力：

### 不可否认性

密码学签名确保操作员无法否认其执行的操作，为责任追溯提供了技术基础。

### 完整性保证

链式结构和Merkle锚定确保记录自创建以来未被篡改，满足合规审计的要求。

### 透明度

公开可验证的收据允许利益相关方独立验证智能体行为，增强系统透明度。

### 可审计性

完整的执行追踪支持事后审计和合规检查，满足金融、医疗等监管严格行业的需求。

### 跨实现验证

JS和Python的双实现确保协议的正确性，避免单点故障和实现缺陷。

## 应用场景

AXR适用于多种需要可审计AI智能体的场景：

### 金融交易

记录智能体执行的交易决策，满足金融监管的审计要求。

### 医疗诊断

追踪AI辅助诊断系统的决策过程，支持医疗责任认定。

### 自动化运维

记录自动化系统执行的操作，便于故障排查和责任追溯。

### 智能合约执行

为链下智能体行为提供可验证的执行证明，桥接链上链下世界。

## 技术特点总结

- **零依赖**：核心功能无需外部依赖，降低供应链风险
- **跨语言**：JS和Python双实现，确保协议正确性
- **分层架构**：从基础签名到完整审计，按需选择功能层级
- **向后兼容**：1.0版本后所有新增功能保持向后兼容
- **生产验证**：核心功能已在生产环境运行，经过实际检验

## 总结与展望

AXR协议为AI智能体工作流提供了一个完整的可审计性解决方案。通过密码学签名、链式记录和Merkle锚定等技术，AXR确保了智能体行为的不可否认性和完整性。

对于正在构建或部署AI智能体的团队，AXR展示了如何在不影响系统性能的前提下实现企业级的审计能力。其分层架构允许团队根据实际需求选择合适的功能层级，逐步增强系统的可审计性。

随着AI监管框架的完善，类似AXR这样的审计基础设施将变得越来越重要。它不仅满足了当前的合规需求，更为未来的监管要求做好了技术准备。