Empresa · Gobernanza de Agentes

Tus agentes tienen nombres y dueños
y un interruptor de apagado.

Para 2027, las flotas —y una flota de procesos anónimos es un pasivo. LeanCTX convierte a cada agente en una identidad registrada: única, propiedad de un humano, gestionada en su ciclo de vida, atestiguada y revocable, con cada transición en la pista de auditoría a prueba de manipulaciones.

El modelo

La identidad es quien responde. El rol es lo que se ejecuta.

Los roles son perfiles de permisos reutilizables. La identidad añade la rendición de cuentas: agent_id, owner, status, key binding, attestation, heartbeat. Cuatro propiedades hacen que una flota sea gobernable.

Identidad registrada

Cada agente es un registro: stable agent_id, role, Ed25519 key binding, fecha de creación. No más adivinar qué proceso hizo qué; el registro es la fuente de verdad de quién existe.

Propiedad, siempre

Se rechaza el registro sin un propietario humano. La rendición de cuentas es estructural: cada entrada de auditoría, cada evento del ciclo de vida, cada paquete de evidencia rastrea a una persona que responde por el agente.

Revocable en una transacción

Suspende un agente o desvincula a un propietario y suspende toda su flota atómicamente; cada suspensión es auditada individualmente. La desmantelación es final y escribe la entrada de cierre de auditoría.

Atestiguado, honestamente

Hashes binarios y de configuración de roles en el registro y en cada latido. La desviación aparece inmediatamente (código de salida 3): actualización, edición de configuración o manipulación. Documentamos lo que esto NO protege.

En la práctica

Una flota, cinco comandos.

Todo es CLI-first y honesto con el código de salida, para que tus pipelines y tu monitoreo puedan actuar en consecuencia.

$ lean-ctx agent register --id ci-reviewer-1 --role reviewer --owner alice@org
registered: ci-reviewer-1 (role reviewer, owner alice@org)
spiffe id: spiffe://org.example/agent/reviewer/ci-reviewer-1

$ lean-ctx agent heartbeat ci-reviewer-1     # liveness + drift; exit 3 on drift

$ lean-ctx agent offboard-owner alice@org --reason "left company"
suspended 2 agent(s): ci-coder-1, ci-reviewer-1

$ lean-ctx agent check ci-reviewer-1         # enforce-path decision point
ci-reviewer-1: DENIED — suspended: left company   # exit 1

Cada transición escribe una entrada de auditoría a prueba de manipulaciones: registrado, suspendido, reanudado o desmantelado son tipos de eventos estandarizados (OCP Parte 4), por lo que el historial de identidad aparece automáticamente en sus paquetes de evidencia. Modelo completo y amenaza: documentación de identidad del agente.

"¿Qué pasa cuando alguien se va?"

Sus agentes dejan de funcionar. Mecanicamente. La retirada de un propietario suspende cada agente activo de ese propietario en una única transacción bloqueada, conectado a su flujo de desaprovisionamiento SCIM o ejecutado desde la lista de verificación del que se va. Los agentes huérfanos son las cuentas de servicio olvidadas de la era del agente; LeanCTX los hace estructuralmente imposibles.

FAQ

Lo que preguntan los equipos de plataforma.

¿Por qué necesitan identidades los agentes si ya tienen roles?

Un rol dice lo que un proceso puede hacer; una identidad dice quién es responsable de ello. Con flotas, las preguntas importantes son operacionales: ¿quién posee este agente, cuándo estuvo activo por última vez, quién lo apagó y por qué, qué sucede con sus permisos cuando su propietario se va? El registro responde a ellas mecánicamente: la identidad (quién) permanece separada del rol (qué), por lo que los roles siguen siendo perfiles reutilizables.

¿Qué es el problema del agente huérfano?

Un agente cuyo propietario humano dejó la empresa, pero que sigue funcionando con sus credenciales: la versión de la cuenta de servicio olvidada de la era del agente, excepto que lee código y ejecuta comandos. LeanCTX lo cierra estructuralmente: los propietarios son obligatorios en el registro, y un único comando (o su flujo de desaprovisionamiento SCIM) suspende toda la flota activa de un propietario en una única transacción bloqueada, auditando cada suspensión.

¿Cómo funciona el ciclo de vida?

activo → suspendido ⇄ activo → desmantelado. La suspensión lleva una razón y es reversible; el desmantelamiento es definitivo por diseño: el registro nunca se elimina ni reactiva, porque la identidad forma parte del historial de auditoría. Cada transición escribe una entrada de auditoría a prueba de manipulaciones utilizando tipos de eventos estandarizados (agent_registered, agent_suspended, agent_resumed, agent_decommissioned — OCP Parte 4), por lo que los cambios de identidad aparecen automáticamente en los paquetes de evidencia.

¿Qué demuestra realmente la atestación?

El registro y cada *heartbeat* hashean el binario en ejecución y el archivo de rol activo. Un hash cambiado significa que algo ha cambiado: una actualización, una edición de configuración o manipulación, y se presenta como deriva con un código de salida distinto de cero sobre el cual su monitorización puede alertar. Es detección de deriva, no atestación remota: un atacante con control total del host puede falsificar hashes, y nuestro modelo de amenazas lo indica explícitamente. Complementa, pero no reemplaza, el endurecimiento del host y la firma de código.

¿Cómo se integra esto con nuestro IAM?

Tres ganchos. SPIFFE: cada registro mapea a spiffe://<trust-domain>/agent/<role>/<agent_id>, por lo que la identidad de carga de trabajo K8s (SPIRE) y la identidad de LeanCTX son el mismo nombre. SCIM: conecte su flujo de desaprovisionamiento a la llamada de retirada del propietario. Modo de aplicación: la API de verificación es un único punto de decisión: los agentes no registrados o suspendidos son denegados; comience en modo monitor, cambie a aplicar una vez que la flota esté registrada.

Gobierne la fuerza laboral de agentes.

Registre su primer agente en un minuto, localmente y gratis, o hable con nosotros sobre el despliegue de flotas con SCIM y SPIFFE involucrados.