コンテンツへスキップ

プロダクト · キルスイッチ

エステートを停止 し、すべての手順を証明する一つのスイッチ

問題が起きたとき、停止ボタンを探し回るべきではありません。一度のエンゲージで、AIエステート全体、あるいは単一のエージェントを停止状態に切り替えます。この停止は、すべての統制されたアクチュエーションゲートが動作前に参照します。エンゲージは意図的に手軽に行えるようにしています。一方、解除には二人の担当者と書面によるレビューが必要です。

セルフホストで始める アクセスマップを見る

プロダクトの中で

緊急停止コンソール

実際のスクリーンショット、サンプルデータを使用しています。リアルタイムの停止状態、ワンクリックのエンゲージ(エステート全体または単一エージェント)、デュアルコントロールによる再有効化、強制される事後レビュー、そしてダウンロードできる改ざん検知可能なエビデンスパック。すべてのアクションが台帳に記録されます。

実際のスクリーンショット
Olivaresのキルスイッチコンソール:リアルタイムの停止状態(「アクティブな停止はありません — エステートは正常にアクチュエートしています」)、必須の理由入力を備えたエステート全体の緊急停止カード、そしてすべてのアクチュエーションゲートが参照する永続化された停止テーブル。

どのように動作するか

停止は手軽に、解除は慎重に

緊急停止は即座かつ無条件でなければなりません。復帰は慎重でなければなりません。このスイッチは、その非対称性を中心に設計されています。

一度のエンゲージで、すべての統制対象サーフェスへ

エンゲージすると、エステート全体、あるいは単一のエージェントを、統制されたアクチュエーションサーフェス(フック、MCP、オーケストレーション、ボイス、モデル、デプロイ、イベンティング)にわたって停止し、対象範囲内の保留中の承認を取り消します。エンゲージに承認ゲートはありません。インシデント時には、停止は無償で行えます。

唯一の信頼できる情報源

停止は、すべてのアクチュエーションゲートが動作前にリアルタイムで参照する一つのレコードです。停止がアクティブな間、対象範囲内の統制されたアクションは拒否されます — ベストエフォートではなく、デフォルトで拒否(deny-closed)です。

デュアルコントロールによる復旧

統制が守るのは再有効化です。二人の異なる担当者、その後に強制される事後レビューが必要です。一人でひそかにエステートを再び有効化することはできません。

改ざん検知可能なエビデンス

誰がいつエンゲージしたか、その範囲、理由、取り消された承認、そして再有効化とレビューのライフサイクル全体 — これらは追記専用の台帳にアンカーされ、インシデントのエビデンスパックとしてエクスポートできます。

実装されているもの

構築されたサーフェス — その到達範囲についても正直に

キルスイッチは、実在する監査済みのガバナンスサーフェスです。そのゲート判断、フロア、センチネルはエンジン内に存在し、コンソールはそのシンクライアントにすぎません。「停止」の意味について、二つの正直な注記があります:

  • これはプロセスを終了させるものではなく、拒否ゲートです。エンゲージすると、統制されたアクチュエーションゲートが参照する停止に切り替わり、対象範囲内の保留中の承認を取り消し、統制されたアクションをデフォルトで拒否(deny-closed)します。Olivaresが統制するサーフェスの外に手を伸ばして、任意のプロセスを終了させることはありません。
  • その到達範囲は接続構成に従います。アクチュエーションサーフェスが接続され統制されている場所では、停止がそこに適用されます — アクチュエーションを統制するのと同じ、デフォルトで拒否する姿勢が停止にも適用されます。
  • エンゲージは意図的に無防備にしてあります。復旧はそうではありません。再有効化にはデュアルコントロールと強制される事後レビューが必要で、すべての手順はエビデンスパックに記録されます。

キルスイッチ — よくある質問

エンゲージすると、稼働中のエージェントプロセスは終了しますか?

いいえ — これはプロセスを終了させるものではなく、拒否ゲートです。エンゲージすると、すべての統制されたアクチュエーションゲートが動作前に参照する停止に切り替わり、対象範囲内の保留中の承認を取り消すため、停止がアクティブな間、統制されたアクションはデフォルトで拒否(deny-closed)されます。これはOlivaresが統制するアクチュエーションサーフェスを統制するものであり、お客様のホスト上で任意のプロセスを終了させるために手を伸ばすことはありません。

なぜエンゲージに承認が不要なのですか?

インシデント時には、停止は即座かつ摩擦なく行えなければならないからです。統制は復帰の過程にあります。再有効化には二人の異なる担当者と強制される事後レビューが必要です。停止は設計上手軽に行えます。停止の解除は慎重に行われます。

単一のエージェントだけを停止できますか?

はい。範囲はエステート全体または単一のエージェントです。単一エージェントの停止は警告として表示され、エステート全体の停止は目立つ形で表示されます。いずれも永続化され、監査され、デュアルコントロールのもとでのみ復旧できます。

どのようなエビデンスが得られますか?

すべての停止について、誰がエンゲージしたか、いつ行ったか、その範囲、必須の理由、取り消した承認、そして再有効化と事後レビューのライフサイクル全体が記録されます — これらは追記専用でハッシュチェーンされた台帳にアンカーされ、改ざん検知可能なインシデントのエビデンスパックとしてエクスポートできます。

エステートに本物の停止ボタンを備える

Olivaresを自社のインフラにデプロイし、いざというときにオペレーターへ、停止する — そして停止したことを証明する — ための監査済みでデュアルコントロールされた一つの手段を提供しましょう。

セルフホストで始める アクセスマップを見る