Evidence Room
Exportez des Sealed Evidence Bundles et des Control Packs cryptographiquement scellés que les auditeurs peuvent vérifier hors ligne — signatures, hachages et racine Merkle propre au bundle — sans connexion active à KLA.
L'Evidence Room (/evidence-room) est l'endroit où l'activité gouvernée des agents devient une preuve prête pour l'audit. Elle compile les enregistrements signés, la traçabilité d'exécution et l'état des politiques en artefacts portables et infalsifiables que vous pouvez remettre à un auditeur externe, et que ce dernier peut vérifier sur son propre ordinateur portable, hors ligne — en contrôlant les signatures, le hachage de chaque artefact et la racine Merkle propre au bundle — sans connexion active à KLA. Cette page s'adresse aux responsables conformité, risque et audit qui constituent un dossier de preuve, ainsi qu'aux opérateurs de la plateforme qui l'exportent et le partagent.
L'Evidence Room consomme la sortie du pipeline Evidence-by-Default : les spans OpenTelemetry alimentent le KLA Collector (qui expurge les informations personnelles identifiables, ou PII), puis le registre cryptographique en ajout seul ImmuDB. Chaque bundle exporté est scellé avec des hachages et des signatures, de sorte que toute falsification ultérieure du contenu du bundle est détectable hors ligne.
Sealed Evidence Bundles
Un Sealed Evidence Bundle est l'objet d'export central : un fichier .zip autonome qui empaquette tout ce qui est nécessaire pour reconstituer et prouver une portion de l'historique d'un agent.
| Contenu | Ce qu'il prouve |
|---|---|
| Enregistrements JSON signés | Les actions exactes de l'agent, les appels d'outils et les coûts effectivement survenus |
| Lineage Records | La trace complète, étape par étape, de chaque exécution gouvernée |
| État des politiques | Quel pack de politiques était actif et la décision qu'il a renvoyée : allow, warn, require_approval ou block |
| Résultats du Decision Desk | Toute approbation humaine ou Escalation ayant résolu une décision require_approval |
| Merkle proofs et ancrage du registre | La racine Merkle propre aux artefacts du bundle, ainsi que l'ancrage du registre immudb et sa preuve conservée pour ce manifeste |
Vérification indépendante
C'est tout l'intérêt de l'Evidence Room : l'essentiel de la vérification s'exécute hors ligne, sans faire confiance aux systèmes en ligne de KLA. Un auditeur vérifie les signatures SEK et TEK, confirme le hachage et la taille de chaque artefact, et recalcule la racine Merkle propre au bundle — entièrement sur son propre ordinateur portable, sans nécessiter d'accès réseau. Le bundle embarque également l'ancrage du registre immudb et un reçu Bitcoin OpenTimestamps pour ce manifeste ; hors ligne, le vérificateur confirme qu'ils sont présents et qu'ils se rattachent au manifeste (l'inclusion complète dans le registre et la confirmation sur la chaîne nécessitent respectivement l'état signé du registre et la chaîne Bitcoin).
kla evidence verify \
--bundle evidence-room_acme-prod_exp_9f2c_v1.zip \
--out ./report
Le vérificateur confirme les signatures SEK et TEK, recalcule la racine Merkle propre au bundle et vérifie que l'ancrage du registre immudb et le reçu OpenTimestamps se rattachent à ce manifeste, puis écrit un fichier verification-report.json ainsi qu'un rapport HTML lisible par un humain. Un code de sortie 0 signifie que tous les contrôles hors ligne ont réussi.
flowchart LR A["Activité de l'agent"] --> B["KLA Collector<br/>Expurgation des PII"] B --> C["Registre ImmuDB<br/>Merkle proofs"] C --> D["Sealed Evidence Bundle"] D --> E["L'auditeur vérifie hors ligne"]
Tâches d'export et liens de partage sécurisés
Un ensemble de preuves peut couvrir des mois d'activité ; les exports s'exécutent donc sous forme de tâches asynchrones. Vous définissez le périmètre (une plage de dates, un agent ou un seul Lineage Record), vous mettez l'export en file d'attente et vous suivez son avancement jusqu'à son achèvement, sans avoir à maintenir une session ouverte.
curl -X POST https://api.kla.digital/v1/evidence.export \
-H "Authorization: Bearer $KLA_ACCESS_TOKEN" \
-H "x-tenant-id: acme-prod" \
-d '{"agent":"refund-approver","from":"2026-01-01","to":"2026-03-31"}'
Une fois le bundle prêt, générez un lien de partage sécurisé : une URL de téléchargement à durée limitée et au périmètre d'accès restreint que vous pouvez envoyer à un régulateur ou un auditeur externe sans avoir à lui provisionner un compte KLA. Le destinataire télécharge le bundle et le vérifie en suivant les étapes ci-dessus.
Control Mapping et Control Packs
Une preuve brute répond à la question que s'est-il passé. Les auditeurs ont aussi besoin de savoir quelle exigence elle satisfait. Le Control Mapping relie chaque signal de gouvernance (une décision de politique, une approbation, un événement d'expurgation) à des clauses précises d'un référentiel de conformité.
Un Control Pack est un export orienté conformité : un Sealed Evidence Bundle organisé autour d'un référentiel plutôt que d'une plage temporelle. KLA fournit des mappings pour les régimes courants :
- EU AI Act, Annexe IV : les exigences de documentation technique pour les systèmes d'IA à haut risque, mises en correspondance avec les instructions de vos agents, les contrôles de politique et la piste d'audit.
- SOC 2 : les critères de gestion des changements, de contrôle d'accès et de surveillance, attestés par les Releases, les enregistrements du Decision Desk et le Lineage continu.
Un Control Pack vous permet de répondre à une demande de documentation technique au titre de l'EU AI Act ou à une revue SOC 2 Type II avec un seul fichier vérifiable, plutôt qu'avec un dossier de captures d'écran. Utilisez le Lineage Explorer pour examiner une exécution précise, puis exportez-la directement dans l'Evidence Room en l'intégrant au pack.