Signed Prompt Governance Workflow
プロンプト、制約、およびパイプライン構成に対する Fail-Closed(失敗時閉鎖)検証シーケンスと、そのガバナンス構造を定義する。
1. Goal
LLM アプリケーションにおけるプロンプトは、従来システムにおけるコードと同等の実行権限を持つ。AIKernel はこれを署名付きアーティファクトとして扱い、次を実現する。
- 実行権限の厳格化: 承認・署名されたプロンプトのみを実行対象とする。
- 改ざん検知: 保存時/転送時の改変を検出し即時遮断する。
- エンタープライズ監査: 誰が、いつ、どの意図を承認したかを暗号学的に証明可能にする。
2. Actors and Responsibilities
2.1 IPromptRepository
- 責務: 署名済みプロンプトアーティファクト(Markdown + YAML Metadata)の保管と提供。
- 特記: Git またはセキュア DB と連携し、版管理された成果物を供給する。
2.2 IPromptSignatureProvider
- 責務: PKI 等に基づく署名生成と署名検証を行う。
2.3 IPromptHashCalculator
- 責務: プロンプト本文、制約、パイプライン構造を正規化し、一意ハッシュを算出する。
2.4 IPromptVerifier
- 責務: 署名の正当性と整合性(改ざん有無)を検証する。
2.5 IPromptValidator
- 責務: 署名者権限、有効期限、実行スコープなどの認可ポリシーを検証する。
2.6 ISignatureTrustStore
- 責務: 信頼済み署名者、鍵失効、証明書有効期限などの信頼アンカー情報を解決し、
IPromptVerifier/IPromptValidatorに提供する。
3. Verification Sequence (Detailed)
sequenceDiagram\n participant App as Application / KernelHost\n participant Rep as IPromptRepository\n participant Ver as IPromptVerifier\n participant Val as IPromptValidator\n participant Exec as ExecutionPipeline\n\n App->>Rep: Load Artifact (ID: "OrderProcessing")\n Rep-->>App: Return Signed Artifact (Content + Hash + Sig)\n \n App->>Ver: VerifyIntegrity(Artifact)\n Note over Ver: Compute Hash and Check Signature\n Ver-->>App: Integrity OK / Fail\n \n App->>Val: ValidatePolicy(Artifact, CurrentContext)\n Note over Val: Check Signer Trust and Expiry and Scope\n Val-->>App: Policy OK / Fail\n\n alt Success\n App->>Exec: Unfreeze and Execute\n else Failure\n App->>App: Abort and Emit Audit Log (Security Event)\n end
4. Rejection Triggers (拒否条件)
以下のいずれかに該当した場合、実行を拒否する。
- Missing Signature:
signatureフィールド欠落。 - Hash Mismatch: 現在本文から算出したハッシュと署名対象ハッシュが不一致。
- Untrusted Signer: 署名証明書が信頼済み署名者リスト外。
- Scope Violation: 許可スコープ(例: Read-Only)と要求操作(例: Delete)が不一致。
- Expiration:
expires_atを超過。
5. Fail-Closed Rule (安全側停止)
AIKernel は「疑わしきは停止」を原則とする。
- Indeterminate State: 検証中の外部認証系障害や例外時は
Denyとする。 - No Fallback: 失敗時に警告付き続行モードは提供しない。
- Signature Mandatory for Production: Debug を除き、未署名プロンプトの読み込みを無効化する。
6. Artifact Example (Markdown and YAML)
---\nversion: 1.0.2\nid: "task-analyzer"\nsigner: "governance-team-01"\nhash_alg: "SHA256"\nhash: "a1b2c3d4..."\nsignature: "MEUCIQ..."\npolicy:\n max_token_budget: 4000\n allowed_tools: ["search", "calculator"]\n---\n# Task Analyzer\n...prompt body...
変更履歴
- v0.0.0 / v0.0.0.0: 初期ドラフト
- v0.0.1 (2026-05-06): ドキュメント規約に基づくバージョン更新
Source:
architecture/14.SIGNED_PROMPT_GOVERNANCE_WORKFLOW-jp.md