Evidence Room | Developer Docs

La Evidence Room (/evidence-room) es donde la actividad gobernada de los agentes se convierte en prueba lista para auditoría. Compila registros firmados, el linaje de ejecución y el estado de las políticas en artefactos portátiles y a prueba de manipulaciones que puedes entregar a un auditor externo, y que el auditor puede verificar en su propio portátil, sin conexión —comprobando las firmas, cada hash de artefacto y la propia raíz Merkle del bundle—, sin una conexión en vivo con KLA. Esta página está dirigida a los responsables de cumplimiento, riesgo y auditoría que elaboran un expediente de evidencia, y a los operadores de plataforma que lo exportan y comparten.

La Evidence Room consume la salida de la canalización Evidence-by-Default: los spans de OpenTelemetry fluyen hacia el KLA Collector (que oculta la información de identificación personal, o PII) y luego hacia el ledger criptográfico de solo anexado ImmuDB. Cada bundle exportado se sella con hashes y firmas, de modo que cualquier manipulación posterior del contenido del bundle es detectable sin conexión.

Sealed Evidence Bundles

Un Sealed Evidence Bundle es el objeto de exportación central: un .zip autocontenido que empaqueta todo lo necesario para reconstruir y demostrar una porción del historial de un agente.

Contenido	Qué demuestra
Registros JSON firmados	Las acciones exactas del agente, las llamadas a herramientas y los costes que se produjeron
Lineage Records	La traza completa, paso a paso, de cada ejecución gobernada
Estado de las políticas	Qué paquete de políticas estaba activo y la decisión que devolvió: `allow`, `warn`, `require_approval` o `block`
Resultados de Decision Desk	Cualquier aprobación humana o Escalation que resolvió una decisión `require_approval`
Merkle proofs y ancla del ledger	La propia raíz Merkle de artefactos del bundle, más el ancla del ledger immudb y su prueba conservada para este manifiesto

🛡️ Important

Un **Lineage Record** es el nombre que KLA da a una traza completa de extremo a extremo de la ejecución de un agente. Empaquetar un Lineage Record junto con su decisión de política y el resultado de Decision Desk produce una historia completa y defendible de una sola ejecución en un único archivo.

Verificación independiente

Este es el objetivo de la Evidence Room: la mayor parte de la verificación se ejecuta sin conexión, sin confiar en los sistemas en vivo de KLA. Un auditor verifica las firmas SEK y TEK, confirma el hash y el tamaño de cada artefacto y recalcula la propia raíz Merkle del bundle, todo ello en su propio portátil y sin necesidad de acceso a la red. El bundle también incluye el ancla del ledger immudb y un recibo de OpenTimestamps de Bitcoin para este manifiesto; sin conexión, el verificador confirma que están presentes y que se vinculan al manifiesto (la inclusión completa en el ledger y la confirmación en cadena requieren, respectivamente, el estado firmado del ledger y la cadena de Bitcoin).

kla evidence verify \
  --bundle evidence-room_acme-prod_exp_9f2c_v1.zip \
  --out ./report

El verificador confirma las firmas SEK y TEK, recalcula la propia raíz Merkle del bundle y comprueba que el ancla del ledger immudb y el recibo de OpenTimestamps se vinculan a este manifiesto; a continuación escribe un verification-report.json y un informe HTML legible por humanos. Un código de salida 0 significa que todas las comprobaciones sin conexión se superaron.

flowchart LR
  A["Actividad del agente"] --> B["KLA Collector<br/>Ocultación de PII"]
  B --> C["Ledger ImmuDB<br/>Merkle proofs"]
  C --> D["Sealed Evidence Bundle"]
  D --> E["El auditor verifica sin conexión"]

Trabajos de exportación y enlaces de uso compartido seguros

Los conjuntos de evidencia pueden abarcar meses de actividad, por lo que las exportaciones se ejecutan como trabajos asíncronos. Defines el alcance (un rango de fechas, un agente o un único Lineage Record), pones en cola la exportación y la supervisas hasta su finalización sin necesidad de mantener una sesión abierta.

curl -X POST https://api.kla.digital/v1/evidence.export \
  -H "Authorization: Bearer $KLA_ACCESS_TOKEN" \
  -H "x-tenant-id: acme-prod" \
  -d '{"agent":"refund-approver","from":"2026-01-01","to":"2026-03-31"}'

Cuando el bundle esté listo, genera un enlace de uso compartido seguro: una URL de descarga con tiempo limitado y alcance de acceso controlado que puedes enviar a un regulador o auditor externo sin necesidad de aprovisionarle una cuenta de KLA. El destinatario descarga el bundle y lo verifica con los pasos anteriores.

💡 Tip

Los enlaces de uso compartido tienen alcance limitado y caducan. Establece la ventana más corta que se ajuste al calendario de revisión del auditor; el enlace se revoca automáticamente cuando expira.

Control Mapping y Control Packs

La evidencia en bruto responde qué ocurrió. Los auditores también necesitan saber qué requisito satisface. El Control Mapping vincula señales de gobernanza individuales (una decisión de política, una aprobación, un evento de ocultación de datos) con cláusulas específicas de un marco de cumplimiento.

Un Control Pack es una exportación orientada al cumplimiento: un Sealed Evidence Bundle organizado en torno a un marco en lugar de un rango de tiempo. KLA incluye mapeos para los regímenes más comunes:

EU AI Act, Anexo IV: requisitos de documentación técnica para sistemas de IA de alto riesgo, mapeados a las instrucciones de tus agentes, los controles de política y el audit trail.
SOC 2: criterios de gestión de cambios, control de acceso y monitorización, evidenciados mediante Releases, registros de Decision Desk y Lineage continuo.

Un Control Pack te permite responder a una solicitud de documentación técnica de la EU AI Act o a una revisión SOC 2 Type II con un único archivo verificable en lugar de una carpeta de capturas de pantalla. Usa el Lineage Explorer para investigar una ejecución concreta y luego expórtala directamente a la Evidence Room como parte del pack.