Produkt · Wyłącznik awaryjny
Jeden przełącznik, by zatrzymać środowisko — i udowodnić każdy krok
Gdy coś idzie nie tak, nie powinno się szukać wyłączników po omacku. Jedno uruchomienie przełącza całe środowisko AI — lub pojedynczego agenta — w stan zatrzymania, z którym konsultuje się każda nadzorowana bramka wykonawcza, zanim podejmie działanie. Uruchomienie jest celowo proste; powrót do działania wymaga dwóch osób i pisemnego przeglądu.
W produkcie
Konsola zatrzymania awaryjnego
Autentyczny zrzut ekranu, dane przykładowe. Bieżący stan zatrzymania, uruchomienie jednym kliknięciem (dla całego środowiska lub pojedynczego agenta), ponowna aktywacja pod podwójną kontrolą, wymuszony przegląd po przywróceniu oraz możliwy do pobrania, odporny na manipulacje pakiet dowodowy — każde działanie zapisywane w rejestrze.
Jak to działa
Łatwe zatrzymanie, rozważne cofnięcie
Zatrzymanie awaryjne musi być natychmiastowe i bezwarunkowe; powrót musi być ostrożny. Przełącznik został zbudowany wokół tej asymetrii.
Jedno uruchomienie, każda nadzorowana powierzchnia
Uruchomienie zatrzymuje środowisko — lub pojedynczego agenta — we wszystkich nadzorowanych powierzchniach wykonawczych (hooki, MCP, orkiestracja, głos, modele, wdrożenia i obsługa zdarzeń) oraz cofa oczekujące zatwierdzenia objęte zakresem. Uruchomienie nie podlega żadnej bramce zatwierdzeń: podczas incydentu zatrzymanie jest darmowe.
Jedyne źródło prawdy
Zatrzymanie to wpis, z którym każda bramka wykonawcza konsultuje się na żywo, zanim podejmie działanie. Dopóki jest aktywne, nadzorowane działania objęte zakresem są blokowane — w modelu deny-closed, a nie najlepszej staranności.
Przywracanie pod podwójną kontrolą
To właśnie ponowna aktywacja jest tym, czego strzegą mechanizmy kontroli: dwie różne osoby, a następnie wymuszony przegląd po przywróceniu. Nie da się po cichu i samodzielnie włączyć środowiska z powrotem.
Dowody odporne na manipulacje
Kto dokonał uruchomienia, kiedy, zakres, uzasadnienie, cofnięte zatwierdzenia oraz pełny cykl ponownej aktywacji i przeglądu — zakotwiczone w rejestrze typu append-only i możliwe do wyeksportowania jako pakiet dowodowy incydentu.
Co jest realne
Gotowa powierzchnia — i uczciwie o jej zasięgu
Wyłącznik awaryjny to realna, audytowana powierzchnia nadzoru — jego decyzje bramek, progi i wartownicy działają w silniku; konsola jest cienkim klientem. Dwie uczciwe uwagi o tym, co oznacza „zatrzymanie”:
- To bramka odmowy, a nie mechanizm ubijania procesów. Uruchomienie przełącza zatrzymanie, z którym konsultują się nadzorowane bramki wykonawcze, oraz cofa oczekujące zatwierdzenia objęte zakresem, blokując nadzorowane działania w modelu deny-closed. Nie sięga poza powierzchnie nadzorowane przez Olivares, by zakończyć dowolne procesy.
- Jego zasięg wynika z konfiguracji połączeń: tam, gdzie powierzchnia wykonawcza jest podłączona i nadzorowana, zatrzymanie obowiązuje — ten sam model deny-closed, który rządzi wykonaniem, rządzi też zatrzymaniem.
- Uruchomienie jest celowo niestrzeżone; przywracanie nie. Ponowna aktywacja wymaga podwójnej kontroli i wymuszonego przeglądu po przywróceniu, a każdy krok trafia do pakietu dowodowego.
Wyłącznik awaryjny — pytania
Czy uruchomienie zabija działające procesy agentów?
Nie — to bramka odmowy, a nie mechanizm ubijania procesów. Uruchomienie przełącza zatrzymanie, z którym konsultuje się każda nadzorowana bramka wykonawcza, zanim podejmie działanie, oraz cofa oczekujące zatwierdzenia objęte zakresem, dzięki czemu nadzorowane działania są blokowane w modelu deny-closed, dopóki zatrzymanie jest aktywne. Obejmuje powierzchnie wykonawcze kontrolowane przez Olivares; nie sięga, by zakończyć dowolne procesy na hostach.
Dlaczego uruchomienie nie wymaga zatwierdzenia?
Ponieważ podczas incydentu zatrzymanie musi być natychmiastowe i pozbawione tarć. Mechanizm kontroli działa przy powrocie: ponowna aktywacja wymaga dwóch różnych osób i wymuszonego przeglądu po przywróceniu. Zatrzymanie jest celowo proste; cofnięcie zatrzymania jest rozważne.
Czy mogę zatrzymać tylko jednego agenta?
Tak. Zakres obejmuje całe środowisko albo pojedynczego agenta. Zatrzymanie pojedynczego agenta odczytywane jest jako ostrzeżenie; zatrzymanie całego środowiska jest wyraźnie sygnalizowane — oba są utrwalane, audytowane i możliwe do cofnięcia wyłącznie pod podwójną kontrolą.
Jakie dowody otrzymuję?
Każde zatrzymanie rejestruje, kto je uruchomił, kiedy, zakres, obowiązkowe uzasadnienie, cofnięte zatwierdzenia oraz pełny cykl ponownej aktywacji i przeglądu po przywróceniu — zakotwiczone w rejestrze append-only chronionym łańcuchem skrótów i możliwe do wyeksportowania jako odporny na manipulacje pakiet dowodowy incydentu.
Daj swojemu środowisku prawdziwy przycisk zatrzymania
Wdróż Olivares na własnej infrastrukturze i daj operatorom jeden audytowany, objęty podwójną kontrolą sposób na zatrzymanie — i na udowodnienie, że zatrzymali — gdy to się liczy.