Skip to content
开源 · Apache-2.0 · 与模型无关

掌握你的 AI 智能体做了什么 — 并在 风险操作 发生前将其拦下。

你的智能体执行的每一个动作都会获得一份经过签名、篡改可检测的凭据 — 你可以亲自离线验证的证明,无需 NOA 账户。今天就能从 npm 安装 MCP 代理或 SDK 核心;将有风险的动作暂停以等待你的确认,此功能将在下一个版本中推出。适用于任何智能体或模型。

安全 → 自动放行 有风险 → 需你批准 禁止 → 拦截

凭据已出具 · 智能体动作已封存

noa.receipt/0.1EXECUTED
idrcpt_01J9X4P2K7M3QV8ZB6N0WYHT5R
actionpayment.refund
riskHIGH
agentsupport-agent
modelvendor/model
paramsHashsha256:9f2c41a0e8b7d6c5f4a3b2c1d0e9f8a7b6c5d4e3f2a1b0c9d8e7f6a5b4c3d2e1
approvedByHUMAN:you@acme.com
ruleIdapproval-request
seq#42
prevHashsha256:1a2b3c4d5e6f7a8b9c0d1e2f3a4b5c6d7e8f9a0b1c2d3e4f5a6b7c8d9e0f1a2b
hashsha256:c4d5e6f7a8b9c0d1e2f3a4b5c6d7e8f9a0b1c2d3e4f5a6b7c8d9e0f1a2b3c4d5

$1,000,000 退款 · 标记为高风险 · 你已批准 · 篡改可检测 · 示例

用大白话说

你已经在用的 AI 助手,正开始 事,而不只是回答问题。

NOA 是一道安全刹车,防止你的 AI 误转账、误删文件,或在 未经检查的情况下做出重要举动。

可以把它想象成大额银行转账前的第二次批准 — 只不过是为 AI 智能体准备的。

简短版

四个问题,四个直白的答案。

它是什么?

你的 AI 助手与真实世界之间的一道安全层。在它做出真正重要的事之前,NOA 会先进行检查。

它如何工作?

安全的动作直接通过。有风险的动作会暂停,等待你的批准。被禁止的动作会被拦截。每一个动作都会留下一份你可以亲自验证的、篡改可检测的凭据。

你为什么需要它?

AI 会犯错,而 AI 助手正开始做出真实的操作 — 付款、发邮件、删除、改动线上系统。错误的动作一旦执行,就无法挽回。NOA 在它执行之前将其拦下。

你能得到什么

让你终于有信心放手让 AI 做真正的工作。每一个动作都有一份可验证、篡改可检测的凭据。由你决定哪些需要你的确认。适用于任何 AI。开源 — 一切都可阅读、可验证。

问题所在

AI 智能体正开始 事 — 付款、退款、发邮件、删除、部署。而 AI 会犯错。

错误的动作一旦执行,就无法挽回。这正是团队让智能体停留在只读状态的原因 — 因为不敢赋予它们真正的权力。

事后

日志告诉你发生了什么。

等它出现在日志里时,钱已经转出、数据行已经删除。后视镜阻止不了撞车。

执行之前

NOA 决定什么 应该发生 — 在它执行之前。

有风险的动作会等待检查或批准。幻觉永远到不了那个不可逆的步骤。

工作原理

三个步骤,从智能体的意图到一份你可以验证的凭据。

  1. 01

    智能体提出一个动作

    你的智能体调用一个工具 — 退一笔款、发一封邮件、删除一张表。集成之后,NOA 会在请求执行之前拦截它。

    agent → propose( payment.refund )
  2. 02

    NOA 对它进行把关

    安全的动作在亚毫秒内自动放行。有风险的需要人工批准。被禁止的会被直接拦截 — 依据你所编写的策略。

    自动放行安全动作批准有风险动作拦截禁止动作
  3. 03

    出具一份篡改可检测的凭据

    每一个裁决都被封存进一份哈希链凭据 — 谁、做了什么、依据哪条规则、结果如何。可逆的动作可以回滚。

    receipt rcpt_… · hash sha256:… · prevHash ↩

每一份凭据都链接到上一份。改动任何一份过往凭据,链条都会在下一个哈希处断裂。

演示

一个出现幻觉的智能体试图退款 $1,000,000。

NOA 不只是拦截 — 对于有风险的调用,它可以暂停以等待你的确认,然后执行并封存一份凭据。用 SDK 核心包裹一个工具,现已在 npm 上线;下方的批准暂停功能将在下一个版本中推出。

agent.ts已在 npm 上线

用 noa-mcp-adapter-core 的 preCheck 包裹任何工具 — 与模型无关 — NOA 便会在每一次调用执行之前对其把关:自动放行安全动作,拦截禁止动作。右侧时间线中的批准暂停步骤将在下一个版本中推出。

SDK 核心(noa-mcp-adapter-core)和 MCP 代理(noa-mcp-proxy)今天已在 npm 上线 — 时间线中的批准暂停仅为示意,将在下一个版本中推出。今天就能亲自验证一份凭据: npx noa-receipt verify (见右侧)。

noa · 示意(下一个版本)
已批准 + 已执行 + 已出具凭据
noa · 禁止动作
已拦截 — 从未运行

亲自验证

$ npx noa-receipt verify receipt.json --keyring keys.json
✓ 篡改可检测 · 链条完整 · 3/3 份凭据有效

也可从源码验证: git clone github.com/NordenSoft/noa node dist/src/cli.js verify …

离线。无需 NOA 账户。验证器会重新计算每一个哈希,并检查每一个 prevHash 链接 — 如果有人改动过某份过往凭据,验证会恰好在那个序号处失败。

或者现在就在浏览器里验证一条链
为什么开源

一个需要你 盲目信任 的信任层,算不上信任层。

NOA 的策略规则和凭据格式 — 即治理/凭据组件 — 是开源的(Apache-2.0)。规则由你阅读。凭据由你验证。 离线。无需 NOA 账户。

$npx noa-receipt verify receipt.json --keyring keys.json→ ✓ 篡改可检测
致存疑者

开销

在安全路径上,一次策略检查耗时不到一毫秒。大多数动作根本不会暂停。

失败模式

默认失败即关闭(可配置)。如果 NOA 无法做出决定,有风险的动作会等待 — 不会蒙混过关。

不含 PII 的凭据

凭据只存储参数的哈希 — 绝不存储原始数据、客户信息或密钥。

常见问题

直截了当的答案,包括那些不太好听的。

实际上不会。安全路径上的一次策略检查耗时不到一毫秒,绝大多数动作都会自动放行,从不暂停。只有真正有风险的调用才会等待 — 而且只有在你配置了它们需要等待时才会。

面向开发者

四种接入方式。选一种适合你技术栈的。

验证 CLI、MCP 代理和工具把关 SDK 核心今天全都已在 npm 上线。运行时的人工介入审批 — 将有风险的动作暂停以等待你的确认 — 将在下一个版本中推出。

MCP 代理零代码 · 已在 npm 上线

把代理放在任何 MCP 宿主前端 — 每一次工具调用今天就受到治理:自动放行安全动作,拦截禁止动作,无需改写代码。

$ npx noa-mcp-proxy -- node your-server.mjs
→ every tools/call gated: ALLOW → forwarded + receipted
  DENY → blocked + receipted
preCheckSession()一次函数调用 · 已在 npm 上线

在 CrewAI、LangChain 或你自己的执行器中为单个工具调用把关 — 一次函数调用,适用于任何框架。

$ npm install noa-mcp-adapter-core
const { decision, receipt } = preCheckSession(toolCall, opts);
if (decision === 'ALLOW') await run(toolCall);
// receipt is signed + hash-chained either way
NOA Receipt开放规范

一种小巧、不含 PII、经哈希链化的 JSON 格式。附 JSON-Schema + 一致性测试套件。

{
  "spec": "noa.receipt/0.1",
  "governance": { "verdict": "EXECUTED" },
  "chain": { "seq": 42, "hash": "sha256:…" }
}
npx noa-receipt verify验证 · 已在 npm 上线

重新计算每一个哈希,检查每一个 prevHash 链接。离线,无需任何服务。

$ npx noa-receipt verify receipts.json --keyring keys.json
→ ✓ VALID · signatures + chain intact
  (or) ✗ TAMPERED at seq=37

放手赋予你的智能体真正的权力 — 安全地.

NOA 是开源的,现已上线 — 无需等候名单,无需注册。装上这些包,在你自己的环境中运行,并亲自离线验证每一份凭据。托管控制平面已列入路线图。

$npm install noa-receipt

无需等候名单。开源核心今天就能通过 npm 或源码使用 — 托管产品已列入路线图。