Identidad registrada
Cada agente es un registro: stable agent_id, role, Ed25519 key binding, fecha de creación. No más adivinar qué proceso hizo qué; el registro es la fuente de verdad de quién existe.
Para 2027, las flotas —y una flota de procesos anónimos es un pasivo. LeanCTX convierte a cada agente en una identidad registrada: única, propiedad de un humano, gestionada en su ciclo de vida, atestiguada y revocable, con cada transición en la pista de auditoría a prueba de manipulaciones.
Los roles son perfiles de permisos reutilizables. La identidad añade la rendición de cuentas: agent_id, owner, status, key binding, attestation, heartbeat. Cuatro propiedades hacen que una flota sea gobernable.
Cada agente es un registro: stable agent_id, role, Ed25519 key binding, fecha de creación. No más adivinar qué proceso hizo qué; el registro es la fuente de verdad de quién existe.
Se rechaza el registro sin un propietario humano. La rendición de cuentas es estructural: cada entrada de auditoría, cada evento del ciclo de vida, cada paquete de evidencia rastrea a una persona que responde por el agente.
Suspende un agente o desvincula a un propietario y suspende toda su flota atómicamente; cada suspensión es auditada individualmente. La desmantelación es final y escribe la entrada de cierre de auditoría.
Hashes binarios y de configuración de roles en el registro y en cada latido. La desviación aparece inmediatamente (código de salida 3): actualización, edición de configuración o manipulación. Documentamos lo que esto NO protege.
Todo es CLI-first y honesto con el código de salida, para que tus pipelines y tu monitoreo puedan actuar en consecuencia.
$ lean-ctx agent register --id ci-reviewer-1 --role reviewer --owner alice@org registered: ci-reviewer-1 (role reviewer, owner alice@org) spiffe id: spiffe://org.example/agent/reviewer/ci-reviewer-1 $ lean-ctx agent heartbeat ci-reviewer-1 # liveness + drift; exit 3 on drift $ lean-ctx agent offboard-owner alice@org --reason "left company" suspended 2 agent(s): ci-coder-1, ci-reviewer-1 $ lean-ctx agent check ci-reviewer-1 # enforce-path decision point ci-reviewer-1: DENIED — suspended: left company # exit 1
Cada transición escribe una entrada de auditoría a prueba de manipulaciones: registrado, suspendido, reanudado o desmantelado son tipos de eventos estandarizados (OCP Parte 4), por lo que el historial de identidad aparece automáticamente en sus paquetes de evidencia. Modelo completo y amenaza: documentación de identidad del agente.
"¿Qué pasa cuando alguien se va?"
Sus agentes dejan de funcionar. Mecanicamente. La retirada de un propietario suspende cada agente activo de ese propietario en una única transacción bloqueada, conectado a su flujo de desaprovisionamiento SCIM o ejecutado desde la lista de verificación del que se va. Los agentes huérfanos son las cuentas de servicio olvidadas de la era del agente; LeanCTX los hace estructuralmente imposibles.
Un rol dice lo que un proceso puede hacer; una identidad dice quién es responsable de ello. Con flotas, las preguntas importantes son operacionales: ¿quién posee este agente, cuándo estuvo activo por última vez, quién lo apagó y por qué, qué sucede con sus permisos cuando su propietario se va? El registro responde a ellas mecánicamente: la identidad (quién) permanece separada del rol (qué), por lo que los roles siguen siendo perfiles reutilizables.
Un agente cuyo propietario humano dejó la empresa, pero que sigue funcionando con sus credenciales: la versión de la cuenta de servicio olvidada de la era del agente, excepto que lee código y ejecuta comandos. LeanCTX lo cierra estructuralmente: los propietarios son obligatorios en el registro, y un único comando (o su flujo de desaprovisionamiento SCIM) suspende toda la flota activa de un propietario en una única transacción bloqueada, auditando cada suspensión.
activo → suspendido ⇄ activo → desmantelado. La suspensión lleva una razón y es reversible; el desmantelamiento es definitivo por diseño: el registro nunca se elimina ni reactiva, porque la identidad forma parte del historial de auditoría. Cada transición escribe una entrada de auditoría a prueba de manipulaciones utilizando tipos de eventos estandarizados (agent_registered, agent_suspended, agent_resumed, agent_decommissioned — OCP Parte 4), por lo que los cambios de identidad aparecen automáticamente en los paquetes de evidencia.
El registro y cada *heartbeat* hashean el binario en ejecución y el archivo de rol activo. Un hash cambiado significa que algo ha cambiado: una actualización, una edición de configuración o manipulación, y se presenta como deriva con un código de salida distinto de cero sobre el cual su monitorización puede alertar. Es detección de deriva, no atestación remota: un atacante con control total del host puede falsificar hashes, y nuestro modelo de amenazas lo indica explícitamente. Complementa, pero no reemplaza, el endurecimiento del host y la firma de código.
Tres ganchos. SPIFFE: cada registro mapea a spiffe://<trust-domain>/agent/<role>/<agent_id>, por lo que la identidad de carga de trabajo K8s (SPIRE) y la identidad de LeanCTX son el mismo nombre. SCIM: conecte su flujo de desaprovisionamiento a la llamada de retirada del propietario. Modo de aplicación: la API de verificación es un único punto de decisión: los agentes no registrados o suspendidos son denegados; comience en modo monitor, cambie a aplicar una vez que la flota esté registrada.
Registre su primer agente en un minuto, localmente y gratis, o hable con nosotros sobre el despliegue de flotas con SCIM y SPIFFE involucrados.