Límites de confianza completos para la delegación programable
pap:// sella toda la pila: el límite de solicitud y el de ejecución. Los mandatos definen el alcance criptográficamente. El aislamiento a nivel del sistema operativo lo hace cumplir. Los humanos mantienen el control. Los agentes rinden cuentas. Sin necesidad de IA.
Dos límites. Un modelo de confianza completo.
La mayoría de las herramientas protegen un solo borde y lo llaman seguridad. pap:// gobierna tanto la solicitud que hace un agente como la ejecución que realiza. Un compromiso en un límite no puede propagarse por el otro.
pap:// minimiza lo que los agentes ven
Cada delegación es un mandato firmado: la acción permitida, el alcance de divulgación y un tiempo de vida. La divulgación selectiva SD-JWT revela solo los campos que una tarea necesita, negociados en un handshake de seis fases. Una solicitud hija nunca puede exceder el alcance de su padre. La contención se verifica, no se asume.
pap-sandbox minimiza lo que los agentes pueden hacer
Las acciones aprobadas se ejecutan dentro de un sandbox a nivel del sistema operativo. En Linux, seccomp deniega las llamadas al sistema que un agente nunca debería hacer: llamadas de red y de subprocesos, bloqueadas por el kernel. En cualquier entorno con Docker, un contenedor restringido hace lo mismo. Cada acción produce un recibo criptográfico que registra exactamente qué restricciones se aplicaron de verdad, cofirmado por el principal.
¿Qué es un agente?
Un agente es cualquier entidad de software que actúa en nombre de otro. Un cron que genera tus informes es un agente. Un servicio de pagos que mueve dinero por ti es un agente. Un LLM que lee tu código y abre un pull request es un agente. Lo que comparten es la delegación. Un principal, la persona o el sistema que posee los datos y tiene las llaves, entrega una tarea a algo que la llevará a cabo.
pap:// gobierna esa entrega, sea cual sea la naturaleza del agente. Un mandato define exactamente qué puede ver y hacer el agente. El sandbox lo hace cumplir. Un recibo lo registra. El protocolo nunca pregunta si un agente es "inteligente". Pregunta qué fue autorizado a hacer, y qué hizo en realidad.
Sin necesidad de IA. Un agente se define por la delegación, no por la tecnología que lo impulsa.
Si llegan los problemas legales, pap:// ya habla el idioma
"Principal" y "agente" no son palabras nuestras. Son la forma en que la ley ha tratado a una persona actuando por otra durante siglos. Un principal queda obligado por lo que su agente hace dentro de la autoridad que concedió, y no por lo que va más allá. pap:// no inventó eso. Lo hizo verificable. El mandato es la concesión de autoridad, firmada. El recibo es el registro de lo que se hizo, firmado.
Los reguladores empiezan a pedir lo mismo. El Reglamento de IA de la UE, cuyas reglas para sistemas de alto riesgo entran en vigor en agosto de 2026, dice que esos sistemas tienen que registrar su propia actividad para que pueda rastrearse (Artículo 12) y permanecer bajo control humano, con una persona capaz de intervenir, anular o apagarlos (Artículo 14). Un mandato firmado es esa decisión humana, registrada. Un recibo firmado es ese registro, y no se puede editar en silencio. Sale del protocolo desde el primer intercambio, no se añade antes de una auditoría.
La ley de derechos de autor ya traza su línea en la autoría humana: la Oficina de Derechos de Autor de EE. UU. y los tribunales no registran obras sin una persona detrás. Quién es responsable cuando un agente autónomo actúa aún se está resolviendo. Ambas preguntas se reducen a las mismas dos: quién autorizó esto, y qué se le permitía hacer.
El handshake de seis fases
Cada delegación ejecuta la misma secuencia entre el agente iniciador y el receptor. Míralo paso a paso.
Humanos. Agentes. Datos.
Tú tienes las llaves
Pares de claves ligados al dispositivo, sin registro, DIDs de sesión efímeros por transacción. El principal posee la raíz de confianza. Descentralizada y bajo tu control.
Responsables por diseño
Los agentes se registran en Chrysalis, atribuidos a un operador y avalados criptográficamente. Cada acción se rastrea hasta una parte nombrada y responsable.
Nunca salen del alcance
La divulgación selectiva en la Fase 3 libera solo lo que una tarea necesita. Los recibos almacenan referencias a tipos de propiedad, nunca los valores en sí. Prueba sin exposición.
Dentro del límite de ejecución
Aquí es donde una acción aprobada se ejecuta de verdad. La metemos en una sala cerrada de la que no puede salir hablando, y observamos qué intenta hacer.
El agente puede pedirle a la computadora lo que quiera. Solo pasa lo que el mandato permitió. La computadora rechaza el resto, y cada ejecución termina con un recibo firmado de lo que realmente ocurrió.
Pruebas, no promesas
Cada ejecución termina con un recibo firmado. Enumera lo que la computadora aplicó de verdad, no lo que la política pidió. Qué peticiones se bloquearon. Dónde corrió. Si una protección no se aplicó, el recibo lo dice.
Cuando un auditor, un cliente o tu propio equipo de seguridad pregunta qué podía hacer un agente, no les cuentas lo que querías que pasara. Les muestras lo que pasó.
Cada campo del recibo es algo que ocurrió de verdad. Sin casillas de buenos deseos.
Sellado de extremo a extremo
Un límite en la solicitud sin uno en la ejecución es medio modelo de confianza. pap:// cierra ambos. Alcance criptográfico sobre lo que los agentes ven. Confinamiento a nivel del sistema operativo sobre lo que pueden hacer. Un recibo firmado de todo lo que ocurrió. De código abierto, para siempre.
Obtén tu evaluación pap://