信任模型
Huoban 编排的是会影响代码、文件、网络、凭据、发布动作和成本的 AI 能力。 因此信任模型必须从第一版写入标准。即使签名、provenance、trust graph 等机制后续实现,方向也不能后补。基本原则
- 外部 Skill / Adapter 默认不可信。
- Trust 不是单个字段,而是 source、version、signature、policy、sandbox、review 的组合。
declaredSideEffects是声明,不等于验证。observedSideEffects是审计材料,不等于预防机制。- Policy 决定 allow / deny / requireApproval。
- Checkpoint 是人工信任边界。
- Sandbox 是执行边界。
Trust 的组成
level 不应单独决定安全。它只是综合状态的摘要。
Side Effects
Huoban 区分可能副作用和实际副作用。declaredSideEffects
由 Skill 或 Adapter 声明:observedSideEffects
由 Run 记录:标准副作用词表
第一版可包含:readFilewriteFiledeleteFileexecuteCommandmodifyGitIndexmodifyGitHistorynetworkAccesssendMessagepublishRemotespendMoneyaccessSecretinstallDependencychangePermissionunknown
unknown 必须保守处理。
Policy
Policy 是印坊规矩。 它不描述项目上下文,而是定义行为边界。Checkpoint
Checkpoint 是高风险动作前的人工或规则确认。 常见触发条件:- Policy 要求审批。
- Adapter 未被信任。
- Side effects 为 unknown。
- Eval 失败。
- Profile 合并冲突。
- Run 即将发布远程内容。
approverequestChangesrejectskipabort
Sandbox
Sandbox 是执行隔离边界。 Huoban 标准不需要第一版规定某个具体沙箱实现,但必须让 runtime 声明自己是否提供:- 文件系统隔离。
- 网络隔离。
- 环境变量过滤。
- Secret 访问限制。
- Git 写入限制。
- 外部命令限制。
默认信任规则
推荐默认规则:- 本地用户手写对象:
reviewed,但仍受 Policy 约束。 - 外部
SKILL.md导入:untrusted。 - 外部 registry 来源:
untrusted,除非有签名和 review。 - Side effects unknown:必须 checkpoint。
- 涉及 secret、remote publish、money、git history:默认 require approval 或 deny。
不做什么
v0.1 不需要实现完整:- hosted trust graph
- package signing
- provenance verification
- SBOM-like metadata
- public registry trust scoring