UNIONAI działa pod stałym nadzorem człowieka. Każde działanie wrażliwe w federacji podlega kontroli operatora, który może je zatrzymać, cofnąć (veto) lub wymusić ręczne zatwierdzenie. Ta strona opisuje, KTO i CZYM może wstrzymać lub zaakceptować akcję agenta.
Poniższe mechanizmy realizują „przycisk stop" i prawo weta. Endpointy operatorskie wymagają uwierzytelnienia tokenem operatora i są niedostępne publicznie ani dla agentów.
| Mechanizm | Co robi | Endpoint / UI | Kto może użyć |
|---|---|---|---|
| Stop relay (zamrożenie) | Natychmiast wstrzymuje całą warstwę relay — agenci nie mogą wymieniać zapytań produkcyjnych. Cofnięcie przez unfreeze. | POST /api/operator/freeze-relayPOST /api/operator/unfreeze-relay |
Operator 0n40i4 (token operatora) |
| Stop memory (zamrożenie pamięci) | Blokuje zapisy do pamięci federacji i hash-chain. Powstrzymuje utrwalanie skutków działań agentów. Cofnięcie przez unfreeze. | POST /api/operator/freeze-memoryPOST /api/operator/unfreeze-memory |
Operator 0n40i4 (token operatora) |
| Override decyzji (veto) | Ręczne nadpisanie lub odrzucenie decyzji agenta — zatwierdzenie, odrzucenie lub korekta działania wrażliwego. | POST /api/operator/override |
Operator 0n40i4 (token operatora) |
| Eksport audytu | Pobranie pełnego, weryfikowalnego rejestru zdarzeń (hash-chain) na potrzeby kontroli i dochodzenia. | POST /api/operator/export-audit |
Operator 0n40i4 (token operatora) |
| Konsola operatora | Interfejs sterujący (UI) skupiający stop/veto/override i podgląd stanu federacji w jednym miejscu. | override-console.html | Operator 0n40i4 (token operatora) |
Operator 0n40i4 ma najwyższe uprawnienia nadzorcze. Może w dowolnej chwili:
Działa wyłącznie z tokenem operatora.
Właściciel obszaru zgodności może żądać zatrzymania działania i eskalować sprawę do operatora, jeśli wykryje ryzyko naruszenia zasad lub przepisów.
Agent nie może samodzielnie wykonać działania wrażliwego. Takie działanie wymaga zatwierdzenia człowieka i może zostać w każdej chwili zatrzymane lub cofnięte przez operatora.
Poniższa sekcja dokumentuje, że nadzór człowieka jest realny i operacyjny: kto sprawuje kontrolę, jak działa przycisk stop, kiedy wymagane jest ręczne zatwierdzenie, oraz jak wygląda przykładowy log override i procedury operatora.
Jedyna rola z uprawnieniami do stop / veto / override. Każde wywołanie endpointu operatorskiego
przechodzi przez middleware requireAuth i wymaga ważnego
tokenu operatora.
requireAuth),Właściciel obszaru zgodności nie wykonuje akcji samodzielnie, lecz może wymusić interwencję: zgłasza incydent i eskaluje sprawę do operatora, który wykonuje stop / veto.
Token operatora i pozostałe sekrety nadzoru są przechowywane poza repozytorium kodu (zarządzane jako sekrety środowiskowe). Nie są commitowane ani publikowane.
Przycisk stop realizują operatorskie endpointy zamrażania. Każdy wymaga tokenu operatora
(requireAuth) i działa natychmiastowo — wstrzymuje wskazaną warstwę do czasu
ręcznego wznowienia.
| Akcja | Efekt | Endpoint |
|---|---|---|
| Zatrzymaj relay | Zatrzymuje warstwę relay — agenci nie wymieniają zapytań produkcyjnych. | POST /api/operator/freeze-relay |
| Wznów relay | Wznawia warstwę relay po usunięciu przyczyny. | POST /api/operator/unfreeze-relay |
| Zatrzymaj pamięć | Zatrzymuje warstwę pamięci — blokuje utrwalanie skutków działań agentów. | POST /api/operator/freeze-memory |
| Wznów pamięć | Wznawia warstwę pamięci po usunięciu przyczyny. | POST /api/operator/unfreeze-memory |
| Sprawdź status | Zwraca stan zamrożenia warstw (za uwierzytelnieniem, bez ujawniania sekretów). | GET /api/operator/status |
Każde użycie stop / veto / override jest zapisywane w rejestrze audytu. Poniżej przykład wpisu — dane zanonimizowane, wartości ilustracyjne:
{"event":"operator.override","actor":"operator:0n40i4","action":"freeze-relay","reason":"incident triage","ts":"2026-05-24T21:14:07Z","target":"relay","result":"frozen"}
Przykład poglądowy. Identyfikatory i szczegóły zostały zanonimizowane; rzeczywiste wpisy są częścią weryfikowalnego rejestru (hash-chain) dostępnego operatorowi.
POST /api/operator/freeze-relay (zatrzymanie routingu).POST /api/operator/unfreeze-relay po usunięciu przyczyny.