Announcement4-week governed pilot: move one real workflow into controlled production
KLA Digital Logo
KLA Digital
Dokumentationsmenü
KLA Dokumentation
Produktmodule

Evidence Room

Exportieren Sie kryptografisch versiegelte Sealed Evidence Bundles und Control Packs, die Prüfer eigenständig verifizieren können, ohne KLA vertrauen zu müssen.

3 Min. Lesezeit698 Wörter

Der Evidence Room (/evidence-room) ist der Ort, an dem gesteuerte Agentenaktivität zu prüffähigem Nachweis wird. Er stellt signierte Aufzeichnungen, Ausführungs-Lineage und Policy-Zustand zu portablen, manipulationssicheren Artefakten zusammen, die Sie einem externen Prüfer übergeben können und die dieser auf dem eigenen Laptop, offline und ohne jegliches Vertrauen in KLA verifizieren kann. Diese Seite richtet sich an Compliance-, Risiko- und Audit-Verantwortliche, die eine Nachweisakte aufbauen, sowie an die Plattformbetreiber, die diese exportieren und teilen.

Der Evidence Room nutzt die Ausgabe der Evidence-by-Default-Pipeline: OpenTelemetry-Spans fließen in den KLA Collector (der personenbezogene Daten, also PII, schwärzt) und anschließend in das kryptografische ImmuDB-Ledger, das Merkle proofs erzeugt: mathematische Fingerabdrücke, die jede spätere Manipulation erkennbar machen.

Sealed Evidence Bundles

Ein Sealed Evidence Bundle ist das zentrale Exportobjekt: ein in sich abgeschlossenes .zip, das alles bündelt, was zur Rekonstruktion und zum Nachweis eines Ausschnitts der Agentenhistorie nötig ist.

Inhalt Was es belegt
Signierte JSON-Aufzeichnungen Die exakten Agentenaktionen, Tool-Aufrufe und Kosten, die aufgetreten sind
Lineage Records Der vollständige Schritt-für-Schritt-Trace jedes gesteuerten Laufs
Policy-Zustand Welches Policy-Pack aktiv war und welche Entscheidung es zurückgab: allow, warn, require_approval oder block
Decision Desk-Ergebnisse Jede menschliche Freigabe oder Escalation, die eine require_approval-Entscheidung aufgelöst hat
Merkle proofs Kryptografische Verankerung zurück zu einem veröffentlichten Root-Hash des Ledgers
🛡️ Important
Ein **Lineage Record** ist die KLA-Bezeichnung für einen durchgängigen Trace eines Agentenlaufs. Wird ein Lineage Record zusammen mit seiner Policy-Entscheidung und dem Decision Desk-Ergebnis gebündelt, ergibt sich eine vollständige, belastbare Darstellung eines einzelnen Laufs in einer Datei.

Unabhängige Verifizierung

Genau darum geht es im Evidence Room: Die Verifizierung hängt nicht davon ab, KLA zu vertrauen. Ein Prüfer berechnet die Merkle proofs innerhalb eines Bundles neu und gleicht sie gegen den veröffentlichten Root-Hash ab, um vollständig eigenständig zu bestätigen, dass der Nachweis echt und unverändert ist. Alle Prüfungen laufen offline, ein Netzwerkzugriff ist nicht erforderlich.

kla evidence verify \
  --bundle evidence-room_acme-prod_exp_9f2c_v1.zip \
  --out ./report

Der Verifizierer bestätigt Signaturen, berechnet den Merkle-Root neu und validiert den Ledger-Anker; anschließend schreibt er eine verification-report.json sowie einen menschenlesbaren HTML-Bericht. Der Exit-Code 0 bedeutet, dass das Bundle versiegelt und vertrauenswürdig ist.

flowchart LR
  A["Agentenaktivität"] --> B["KLA Collector<br/>PII-Schwärzung"]
  B --> C["ImmuDB-Ledger<br/>Merkle proofs"]
  C --> D["Sealed Evidence Bundle"]
  D --> E["Prüfer verifiziert offline"]

Export-Jobs und sichere Freigabe-Links

Nachweissätze können sich über Monate an Aktivität erstrecken, daher laufen Exporte als asynchrone Jobs. Sie definieren den Umfang (einen Datumsbereich, einen Agenten oder einen einzelnen Lineage Record), reihen den Export in die Warteschlange ein und verfolgen ihn bis zum Abschluss, ohne eine Sitzung offen halten zu müssen.

curl -X POST https://api.kla.digital/v1/evidence.export \
  -H "Authorization: Bearer $KLA_ACCESS_TOKEN" \
  -H "x-tenant-id: acme-prod" \
  -d '{"agent":"refund-approver","from":"2026-01-01","to":"2026-03-31"}'

Sobald das Bundle bereit ist, erzeugen Sie einen sicheren Freigabe-Link: eine zeitlich begrenzte, zugriffsbeschränkte Download-URL, die Sie an einen externen Regulierer oder Prüfer senden können, ohne diesem ein KLA-Konto einzurichten. Der Empfänger lädt das Bundle herunter und verifiziert es mit den oben beschriebenen Schritten.

💡 Tip
Freigabe-Links sind beschränkt und laufen ab. Setzen Sie das kürzeste Zeitfenster, das zum Prüfungsplan des Prüfers passt; der Link widerruft sich selbst, sobald er abläuft.

Control Mapping und Control Packs

Rohnachweise beantworten, was geschehen ist. Prüfer müssen außerdem wissen, welche Anforderung dadurch erfüllt wird. Control Mapping verknüpft einzelne Governance-Signale (eine Policy-Entscheidung, eine Freigabe, ein Schwärzungsereignis) mit konkreten Klauseln eines Compliance-Rahmenwerks.

Ein Control Pack ist ein compliance-orientierter Export: ein Sealed Evidence Bundle, das um ein Rahmenwerk statt um einen Zeitraum herum organisiert ist. KLA liefert Mappings für gängige Regime mit:

  • EU AI Act, Anhang IV: Anforderungen an die technische Dokumentation für Hochrisiko-KI-Systeme, abgebildet auf die Instruktionen Ihrer Agenten, die Policy-Kontrollen und den Audit Trail.
  • SOC 2: Kriterien für Change-Management, Zugriffskontrolle und Monitoring, belegt durch Releases, Decision Desk-Aufzeichnungen und kontinuierliche Lineage.

Mit einem Control Pack beantworten Sie eine Anfrage zur technischen Dokumentation nach dem EU AI Act oder eine SOC 2 Type II-Prüfung mit einer einzigen verifizierbaren Datei statt mit einem Ordner voller Screenshots. Nutzen Sie den Lineage Explorer, um einen bestimmten Lauf zu untersuchen, und exportieren Sie ihn dann direkt als Teil des Packs in den Evidence Room.

ZurückAssurance Center
WeiterEinen Agent durchgängig steuern
Evidence Room | Developer Docs | KLA Control Plane