Announcement4-week governed pilot: move one real workflow into controlled production
KLA Digital Logo
KLA Digital
Menu de la documentation
Documentation KLA
Modules produit

Evidence Room

Exportez des Sealed Evidence Bundles et des Control Packs cryptographiquement scellés que les auditeurs peuvent vérifier de façon autonome, sans avoir à faire confiance à KLA.

4 min de lecture838 mots

L'Evidence Room (/evidence-room) est l'endroit où l'activité gouvernée des agents devient une preuve prête pour l'audit. Elle compile les enregistrements signés, la traçabilité d'exécution et l'état des politiques en artefacts portables et infalsifiables que vous pouvez remettre à un auditeur externe, et que ce dernier peut vérifier sur son propre ordinateur portable, hors ligne, sans jamais avoir à faire confiance à KLA. Cette page s'adresse aux responsables conformité, risque et audit qui constituent un dossier de preuve, ainsi qu'aux opérateurs de la plateforme qui l'exportent et le partagent.

L'Evidence Room consomme la sortie du pipeline Evidence-by-Default : les spans OpenTelemetry alimentent le KLA Collector (qui expurge les informations personnelles identifiables, ou PII), puis le registre cryptographique ImmuDB qui produit des Merkle proofs : des empreintes mathématiques qui rendent toute falsification ultérieure détectable.

Sealed Evidence Bundles

Un Sealed Evidence Bundle est l'objet d'export central : un fichier .zip autonome qui empaquette tout ce qui est nécessaire pour reconstituer et prouver une portion de l'historique d'un agent.

Contenu Ce qu'il prouve
Enregistrements JSON signés Les actions exactes de l'agent, les appels d'outils et les coûts effectivement survenus
Lineage Records La trace complète, étape par étape, de chaque exécution gouvernée
État des politiques Quel pack de politiques était actif et la décision qu'il a renvoyée : allow, warn, require_approval ou block
Résultats du Decision Desk Toute approbation humaine ou Escalation ayant résolu une décision require_approval
Merkle proofs L'ancrage cryptographique remontant jusqu'au hash de racine publié du registre
🛡️ Important
Un **Lineage Record** est le nom donné par KLA à une trace de bout en bout d'une exécution d'agent. Associer un Lineage Record à sa décision de politique et au résultat du Decision Desk produit un récit complet et défendable pour une seule exécution, dans un même fichier.

Vérification indépendante

C'est tout l'intérêt de l'Evidence Room : la vérification ne dépend pas de la confiance accordée à KLA. Un auditeur recalcule les Merkle proofs contenues dans un bundle par rapport au hash de racine publié et confirme, entièrement par lui-même, que la preuve est authentique et non modifiée. Tous les contrôles s'exécutent hors ligne, sans nécessiter d'accès réseau.

kla evidence verify \
  --bundle evidence-room_acme-prod_exp_9f2c_v1.zip \
  --out ./report

Le vérificateur confirme les signatures, recalcule la racine Merkle et valide l'ancrage du registre, puis écrit un fichier verification-report.json ainsi qu'un rapport HTML lisible par un humain. Un code de sortie 0 signifie que le bundle est scellé et digne de confiance.

flowchart LR
  A["Activité de l'agent"] --> B["KLA Collector<br/>Expurgation des PII"]
  B --> C["Registre ImmuDB<br/>Merkle proofs"]
  C --> D["Sealed Evidence Bundle"]
  D --> E["L'auditeur vérifie hors ligne"]

Tâches d'export et liens de partage sécurisés

Un ensemble de preuves peut couvrir des mois d'activité ; les exports s'exécutent donc sous forme de tâches asynchrones. Vous définissez le périmètre (une plage de dates, un agent ou un seul Lineage Record), vous mettez l'export en file d'attente et vous suivez son avancement jusqu'à son achèvement, sans avoir à maintenir une session ouverte.

curl -X POST https://api.kla.digital/v1/evidence.export \
  -H "Authorization: Bearer $KLA_ACCESS_TOKEN" \
  -H "x-tenant-id: acme-prod" \
  -d '{"agent":"refund-approver","from":"2026-01-01","to":"2026-03-31"}'

Une fois le bundle prêt, générez un lien de partage sécurisé : une URL de téléchargement à durée limitée et au périmètre d'accès restreint que vous pouvez envoyer à un régulateur ou un auditeur externe sans avoir à lui provisionner un compte KLA. Le destinataire télécharge le bundle et le vérifie en suivant les étapes ci-dessus.

💡 Tip
Les liens de partage sont restreints et expirent. Définissez la fenêtre la plus courte compatible avec le calendrier de revue de l'auditeur : le lien s'auto-révoque à son expiration.

Control Mapping et Control Packs

Une preuve brute répond à la question que s'est-il passé. Les auditeurs ont aussi besoin de savoir quelle exigence elle satisfait. Le Control Mapping relie chaque signal de gouvernance (une décision de politique, une approbation, un événement d'expurgation) à des clauses précises d'un référentiel de conformité.

Un Control Pack est un export orienté conformité : un Sealed Evidence Bundle organisé autour d'un référentiel plutôt que d'une plage temporelle. KLA fournit des mappings pour les régimes courants :

  • EU AI Act, Annexe IV : les exigences de documentation technique pour les systèmes d'IA à haut risque, mises en correspondance avec les instructions de vos agents, les contrôles de politique et la piste d'audit.
  • SOC 2 : les critères de gestion des changements, de contrôle d'accès et de surveillance, attestés par les Releases, les enregistrements du Decision Desk et le Lineage continu.

Un Control Pack vous permet de répondre à une demande de documentation technique au titre de l'EU AI Act ou à une revue SOC 2 Type II avec un seul fichier vérifiable, plutôt qu'avec un dossier de captures d'écran. Utilisez le Lineage Explorer pour examiner une exécution précise, puis exportez-la directement dans l'Evidence Room en l'intégrant au pack.

PrécédentAssurance Center
SuivantGouverner un agent de bout en bout
Evidence Room | Developer Docs | KLA Control Plane