掌握你的 AI 智能体做了什么 — 并在 风险操作 发生前将其拦下。
你的智能体执行的每一个动作都会获得一份经过签名、篡改可检测的凭据 — 你可以亲自离线验证的证明,无需 NOA 账户。今天就能从 npm 安装 MCP 代理或 SDK 核心;将有风险的动作暂停以等待你的确认,此功能将在下一个版本中推出。适用于任何智能体或模型。
凭据已出具 · 智能体动作已封存
$1,000,000 退款 · 标记为高风险 · 你已批准 · 篡改可检测 · 示例
用大白话说
你已经在用的 AI 助手,正开始 做 事,而不只是回答问题。
NOA 是一道安全刹车,防止你的 AI 误转账、误删文件,或在 未经检查的情况下做出重要举动。
可以把它想象成大额银行转账前的第二次批准 — 只不过是为 AI 智能体准备的。
四个问题,四个直白的答案。
它是什么?
你的 AI 助手与真实世界之间的一道安全层。在它做出真正重要的事之前,NOA 会先进行检查。
它如何工作?
安全的动作直接通过。有风险的动作会暂停,等待你的批准。被禁止的动作会被拦截。每一个动作都会留下一份你可以亲自验证的、篡改可检测的凭据。
你为什么需要它?
AI 会犯错,而 AI 助手正开始做出真实的操作 — 付款、发邮件、删除、改动线上系统。错误的动作一旦执行,就无法挽回。NOA 在它执行之前将其拦下。
你能得到什么
让你终于有信心放手让 AI 做真正的工作。每一个动作都有一份可验证、篡改可检测的凭据。由你决定哪些需要你的确认。适用于任何 AI。开源 — 一切都可阅读、可验证。
AI 智能体正开始 做 事 — 付款、退款、发邮件、删除、部署。而 AI 会犯错。
错误的动作一旦执行,就无法挽回。这正是团队让智能体停留在只读状态的原因 — 因为不敢赋予它们真正的权力。
事后
日志告诉你发生了什么。
等它出现在日志里时,钱已经转出、数据行已经删除。后视镜阻止不了撞车。
执行之前
NOA 决定什么 应该发生 — 在它执行之前。
有风险的动作会等待检查或批准。幻觉永远到不了那个不可逆的步骤。
三个步骤,从智能体的意图到一份你可以验证的凭据。
- 01
智能体提出一个动作
你的智能体调用一个工具 — 退一笔款、发一封邮件、删除一张表。集成之后,NOA 会在请求执行之前拦截它。
agent → propose( payment.refund ) - 02
NOA 对它进行把关
安全的动作在亚毫秒内自动放行。有风险的需要人工批准。被禁止的会被直接拦截 — 依据你所编写的策略。
自动放行安全动作批准有风险动作拦截禁止动作 - 03
出具一份篡改可检测的凭据
每一个裁决都被封存进一份哈希链凭据 — 谁、做了什么、依据哪条规则、结果如何。可逆的动作可以回滚。
receipt rcpt_… · hash sha256:… · prevHash ↩
每一份凭据都链接到上一份。改动任何一份过往凭据,链条都会在下一个哈希处断裂。
一个出现幻觉的智能体试图退款 $1,000,000。
NOA 不只是拦截 — 对于有风险的调用,它可以暂停以等待你的确认,然后执行并封存一份凭据。用 SDK 核心包裹一个工具,现已在 npm 上线;下方的批准暂停功能将在下一个版本中推出。
用 noa-mcp-adapter-core 的 preCheck 包裹任何工具 — 与模型无关 — NOA 便会在每一次调用执行之前对其把关:自动放行安全动作,拦截禁止动作。右侧时间线中的批准暂停步骤将在下一个版本中推出。
SDK 核心(noa-mcp-adapter-core)和 MCP 代理(noa-mcp-proxy)今天已在 npm 上线 — 时间线中的批准暂停仅为示意,将在下一个版本中推出。今天就能亲自验证一份凭据: npx noa-receipt verify (见右侧)。
亲自验证
也可从源码验证: git clone github.com/NordenSoft/noa → node dist/src/cli.js verify …
离线。无需 NOA 账户。验证器会重新计算每一个哈希,并检查每一个 prevHash 链接 — 如果有人改动过某份过往凭据,验证会恰好在那个序号处失败。
或者现在就在浏览器里验证一条链一个需要你 盲目信任 的信任层,算不上信任层。
NOA 的策略规则和凭据格式 — 即治理/凭据组件 — 是开源的(Apache-2.0)。规则由你阅读。凭据由你验证。 离线。无需 NOA 账户。
开销
在安全路径上,一次策略检查耗时不到一毫秒。大多数动作根本不会暂停。
失败模式
默认失败即关闭(可配置)。如果 NOA 无法做出决定,有风险的动作会等待 — 不会蒙混过关。
不含 PII 的凭据
凭据只存储参数的哈希 — 绝不存储原始数据、客户信息或密钥。
直截了当的答案,包括那些不太好听的。
实际上不会。安全路径上的一次策略检查耗时不到一毫秒,绝大多数动作都会自动放行,从不暂停。只有真正有风险的调用才会等待 — 而且只有在你配置了它们需要等待时才会。
四种接入方式。选一种适合你技术栈的。
验证 CLI、MCP 代理和工具把关 SDK 核心今天全都已在 npm 上线。运行时的人工介入审批 — 将有风险的动作暂停以等待你的确认 — 将在下一个版本中推出。
把代理放在任何 MCP 宿主前端 — 每一次工具调用今天就受到治理:自动放行安全动作,拦截禁止动作,无需改写代码。
$ npx noa-mcp-proxy -- node your-server.mjs
→ every tools/call gated: ALLOW → forwarded + receipted
DENY → blocked + receipted在 CrewAI、LangChain 或你自己的执行器中为单个工具调用把关 — 一次函数调用,适用于任何框架。
$ npm install noa-mcp-adapter-core
const { decision, receipt } = preCheckSession(toolCall, opts);
if (decision === 'ALLOW') await run(toolCall);
// receipt is signed + hash-chained either way一种小巧、不含 PII、经哈希链化的 JSON 格式。附 JSON-Schema + 一致性测试套件。
{
"spec": "noa.receipt/0.1",
"governance": { "verdict": "EXECUTED" },
"chain": { "seq": 42, "hash": "sha256:…" }
}重新计算每一个哈希,检查每一个 prevHash 链接。离线,无需任何服务。
$ npx noa-receipt verify receipts.json --keyring keys.json
→ ✓ VALID · signatures + chain intact
(or) ✗ TAMPERED at seq=37放手赋予你的智能体真正的权力 — 安全地.
NOA 是开源的,现已上线 — 无需等候名单,无需注册。装上这些包,在你自己的环境中运行,并亲自离线验证每一份凭据。托管控制平面已列入路线图。