npm - @evolith/core-domain - Versions diffs - 1.0.0 → 1.0.1 - Mend

@evolith/core-domain 1.0.0 → 1.0.1

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (500) hide show

package/rulesets/topologies/agentic-ai/openapi/openapi.yaml ADDED Viewed

@@ -0,0 +1,187 @@
+openapi: "3.1.0"
+info:
+  title: "Agentic AI Topology — Core API Surface"
+  version: "0.1.0"
+  description: >
+    REST API surface specific to the Agentic AI topology.
+    Describes endpoints exposed by the Core API for querying,
+    inspecting, and validating Agentic AI topology instances.
+servers:
+  - url: "https://api.evolith.dev/v1"
+    description: "Evolith Core API (production)"
+paths:
+  /topologies/{id}:
+    get:
+      tags: [Topologies]
+      summary: "Retrieve Agentic AI topology information"
+      description: >
+        Returns the full topology record for Agentic AI, including
+        dimension, status, version, governance metadata, and corpus
+        artifact references (rulesets, OPA policies, ADRs, guidance).
+      operationId: "getAgenticAITopology"
+      parameters:
+        - name: id
+          in: path
+          required: true
+          schema:
+            type: string
+            pattern: "^agentic-ai$"
+            example: "agentic-ai"
+      responses:
+        "200":
+          description: "Successful response with Agentic AI topology data"
+          content:
+            application/json:
+              schema:
+                $ref: "#/components/schemas/EnvelopeTopology"
+        "404":
+          description: "Topology not found"
+  /topologies/{id}/manifest:
+    get:
+      tags: [Topologies]
+      summary: "Get Agentic AI topology manifest"
+      description: >
+        Returns the full topology manifest for Agentic AI, with
+        artifact references, corpus configuration, operational budgets
+        (token, credential rotation, sandbox timeout), and business
+        boundary declaration.
+      operationId: "getAgenticAIManifest"
+      parameters:
+        - name: id
+          in: path
+          required: true
+          schema:
+            type: string
+            pattern: "^agentic-ai$"
+      responses:
+        "200":
+          description: "Successful response with Agentic AI manifest"
+          content:
+            application/json:
+              schema:
+                $ref: "#/components/schemas/EnvelopeManifest"
+  /topologies/{id}/validate:
+    post:
+      tags: [Topologies]
+      summary: "Validate Agentic AI topology rules"
+      description: >
+        Executes all applicable rulesets and OPA policies for Agentic AI
+        against a submitted configuration, returning pass/fail per gate.
+      operationId: "validateAgenticAITopology"
+      parameters:
+        - name: id
+          in: path
+          required: true
+          schema:
+            type: string
+            pattern: "^agentic-ai$"
+      requestBody:
+        required: true
+        content:
+          application/json:
+            schema:
+              $ref: "#/components/schemas/ValidationRequest"
+      responses:
+        "200":
+          description: "Validation results"
+          content:
+            application/json:
+              schema:
+                $ref: "#/components/schemas/EnvelopeValidation"
+components:
+  schemas:
+    Envelope:
+      type: object
+      properties:
+        success:
+          type: boolean
+        data: {}
+        meta:
+          type: object
+          properties:
+            context:
+              type: string
+            timing:
+              type: number
+            schemaVersion:
+              type: string
+              pattern: "^\\d+\\.\\d+\\.\\d+$"
+          required: [context, timing, schemaVersion]
+      required: [success, data, meta]
+    EnvelopeTopology:
+      allOf:
+        - $ref: "#/components/schemas/Envelope"
+        - type: object
+          properties:
+            data:
+              $ref: "#/components/schemas/TopologyRecord"
+    EnvelopeManifest:
+      allOf:
+        - $ref: "#/components/schemas/Envelope"
+        - type: object
+          properties:
+            data:
+              $ref: "#/components/schemas/TopologyManifest"
+    EnvelopeValidation:
+      allOf:
+        - $ref: "#/components/schemas/Envelope"
+        - type: object
+          properties:
+            data:
+              $ref: "#/components/schemas/ValidationResult"
+    TopologyRecord:
+      type: object
+      properties:
+        id:
+          type: string
+          example: "agentic-ai"
+        name:
+          type: string
+          example: "Agentic AI"
+        dimension:
+          type: string
+          example: "ai"
+        status:
+          type: string
+          enum: [accepted, draft, deprecated]
+        version:
+          type: string
+          example: "0.1.0"
+    TopologyManifest:
+      type: object
+      properties:
+        apiVersion:
+          type: string
+          example: "evolith.dev/topology/v1"
+        kind:
+          type: string
+          example: "TopologyManifest"
+        metadata:
+          type: object
+        spec:
+          type: object
+    ValidationRequest:
+      type: object
+      properties:
+        config:
+          type: object
+          description: "Configuration to validate against topology rules"
+      required: [config]
+    ValidationResult:
+      type: object
+      properties:
+        passed:
+          type: boolean
+        gates:
+          type: array
+          items:
+            type: object
+            properties:
+              gate:
+                type: string
+              passed:
+                type: boolean
+              evidence:
+                type: array
+                items:
+                  type: string

package/rulesets/topologies/agentic-ai/operations.es.md ADDED Viewed

@@ -0,0 +1,32 @@
+# Guia de Operacion de IA Agentica
+> **Navegacion bilingue:** [Version en ingles](./operations.md)
+## Modelo Operativo
+Opera cada agente como una carga de trabajo identificable con configuracion declarada, implementacion determinista versionada, conjunto de capacidades acotado y propietario de herramienta responsable. Despliega configuracion e implementacion juntas para que el contrato evaluado identifique el codigo y las herramientas que realmente se ejecutan.
+## Observabilidad y Evidencia
+Registra un identificador de correlacion para cada solicitud, adquisicion de contexto, decision de politica, decision de aprobacion, llamada de herramienta, resultado, cancelacion y denegacion. La evidencia debe ser append-only y suficiente para reconstruir que identidad, capacidad, politica y aprobador autorizaron una accion sin registrar secretos ni datos personales innecesarios.
+## Gestion de Cambios
+Trata una herramienta, capacidad, fuente de contexto, destino de red o comportamiento mutativo nuevo como un cambio controlado. Revalida politica Native y OPA, ejecuta fixtures negativos, revisa los ADR afectados y obten aprobacion del propietario de la herramienta antes de promoverlo. Un cambio solo de prompt no puede omitir esta revision cuando modifica la autoridad solicitada.
+## Manejo de Incidentes
+Deshabilita primero la capacidad o herramienta afectada, preservando sandbox y evidencia. Investiga mediante evidencia de correlacion, revoca credenciales delegadas y rehabilita solo despues de revisar la causa raiz y la actualizacion relevante de contrato, politica, prueba o ADR.
+## Objetivos de Servicio
+Define un timeout de ejecucion y presupuesto de recursos explicitos por capacidad. Registra `maxPromptTokens`, `maxCompletionTokens`, `maxContextWindowTokens`, llamadas MCP totales en vuelo y llamadas en vuelo por herramienta en `agent.config.json`. Rechaza trabajo antes de invocar el modelo cuando agregar su entrada excederia un limite declarado y cancela trabajo pendiente de herramientas cuando se alcance cualquiera de los limites de concurrencia. Monitorea acciones denegadas, latencia de aprobacion, salidas de sandbox, fallos de herramienta, contexto invalido, fallos de evaluacion de politica, rechazos de presupuesto y antiguedad de la rotacion de credenciales. Alerta ante solicitudes de autoridad inesperadas y denegaciones repetidas; indican un desajuste de limite, no una invitacion a debilitar controles.
+Las credenciales delegadas DEBEN tener un TTL acotado, rotar segun la cadencia declarada y revocarse dentro de la ventana de propagacion declarada despues de un incidente. La revocacion inmediata es el valor predeterminado. Conserva solo la evidencia de correlacion y los identificadores de credencial necesarios para verificar la rotacion y la revocacion; nunca escribas credenciales o tokens en la evidencia.
+## Runbooks de Incidentes
+Usa los [runbooks de incidentes de IA agentica](./runbooks.es.md) para bloqueo de agente, desborde de tokens, accion no aprobada y escape del sandbox. Cada incidente empieza deteniendo trabajo nuevo, preservando evidencia correlacionada y eliminando la autoridad afectada antes del analisis o la recuperacion.
+---
+[Volver al Perfil de IA Agentica](./README.es.md)

package/rulesets/topologies/agentic-ai/operations.md ADDED Viewed

@@ -0,0 +1,32 @@
+# Agentic AI Operations Guide
+> **Bilingual Navigation:** [Version en Espanol](./operations.es.md)
+## Operating Model
+Operate each agent as an identifiable workload with a declared configuration, versioned deterministic implementation, bounded capability set, and accountable tool owner. Deploy configuration and implementation together so the evaluated contract identifies the code and tools that actually execute.
+## Observability and Evidence
+Record a correlation identifier for every request, context acquisition, policy decision, approval decision, tool call, result, cancellation, and denial. Evidence must be append-only and sufficient to reconstruct which identity, capability, policy, and approver authorized an action without recording secrets or unnecessary personal data.
+## Change Management
+Treat a new tool, capability, context source, network destination, or mutative behavior as a controlled change. Revalidate Native and OPA policy, run the negative fixtures, review the affected ADRs, and obtain the tool owner's approval before promotion. A prompt-only change cannot bypass this review when it changes requested authority.
+## Incident Handling
+Disable the affected capability or tool first, preserving the sandbox and evidence. Investigate using correlation evidence, revoke delegated credentials, and re-enable only after the root cause and the relevant contract, policy, test, or ADR update have been reviewed.
+## Service Objectives
+Set an explicit execution timeout and resource budget per capability. Record `maxPromptTokens`, `maxCompletionTokens`, `maxContextWindowTokens`, total MCP calls in flight, and calls in flight per tool in `agent.config.json`. Reject work before model invocation when adding its input would exceed a declared ceiling, and cancel outstanding tool work when either concurrency limit is reached. Monitor denied actions, approval latency, sandbox exits, tool failures, invalid context, policy evaluation failures, budget rejections, and credential rotation age. Alert on unexpected authority requests and repeated denials; they indicate a boundary mismatch rather than an invitation to weaken controls.
+Delegated credentials MUST have a bounded TTL, rotate on the declared cadence, and be revoked within the declared propagation window after an incident. Immediate revocation is the default. Retain only correlation evidence and credential identifiers needed to verify rotation and revocation; never write credentials or tokens into evidence.
+## Incident Runbooks
+Use the [Agentic AI incident runbooks](./runbooks.md) for agent hang, token overflow, unapproved action, and sandbox escape. Each incident starts by stopping new work, preserving correlated evidence, and removing the affected authority before analysis or recovery.
+---
+[Back to Agentic AI Profile](./README.md)

package/rulesets/topologies/agentic-ai/parity-fixtures/compliant.json ADDED Viewed

@@ -0,0 +1,18 @@
+{
+  "input": {
+    "satellite": {
+      "agenticAi": {
+        "hasIdentity": true,
+        "hasIsolatedSandbox": true,
+        "hasSeparatedPromptAndImplementation": true,
+        "requiresApprovalForMutativeTools": true,
+        "hasEphemeralSandboxLimits": true,
+        "hasTrustedContextPolicy": true,
+        "hasAccountableActions": true,
+        "hasOperationalBudgets": true,
+        "hasCredentialLifecycle": true
+      }
+    }
+  },
+  "expectedNative": []
+}

package/rulesets/topologies/agentic-ai/parity-fixtures/violation.json ADDED Viewed

@@ -0,0 +1,22 @@
+{
+  "input": {
+    "satellite": {
+      "agenticAi": {
+        "hasIdentity": false,
+        "hasIsolatedSandbox": true,
+        "hasSeparatedPromptAndImplementation": true,
+        "requiresApprovalForMutativeTools": true,
+        "hasEphemeralSandboxLimits": true,
+        "hasTrustedContextPolicy": true,
+        "hasAccountableActions": true,
+        "hasOperationalBudgets": false,
+        "hasCredentialLifecycle": false
+      }
+    }
+  },
+  "expectedNative": [
+    { "ruleId": "AAI-R01", "severity": "MUST", "file": null },
+    { "ruleId": "AAI-R08", "severity": "MUST", "file": null },
+    { "ruleId": "AAI-R09", "severity": "MUST", "file": null }
+  ]
+}

package/rulesets/topologies/agentic-ai/patterns.es.md ADDED Viewed

@@ -0,0 +1,32 @@
+# Patrones y Anti-Patrones de IA Agentica
+> **Navegacion bilingue:** [Version en ingles](./patterns.md)
+## Patrones Aprobados
+| Patron | Aplicacion |
+|---|---|
+| Ensamblaje explicito de contexto | Construye un sobre de contexto tipado con procedencia antes de invocar el agente. |
+| Despliegue primero de capacidades de lectura | Prueba seguridad y utilidad con herramientas de solo lectura antes de introducir mutaciones. |
+| Gateway de herramientas acotado por capacidad | Enruta herramientas mediante un gateway que comprueba identidad, capacidad, aprobacion y politica de sandbox. |
+| Adaptador de accion determinista | Mantiene escrituras de dominio en adaptadores de aplicacion deterministas detras del contrato de herramienta. |
+| Evidencia append-only correlacionada | Une solicitud, aprobacion, accion de herramienta y resultado por un identificador de correlacion. |
+| Aprobacion humana o de politica | Requiere una aprobacion evaluada independientemente para cada accion mutativa. |
+## Anti-Patrones
+| Anti-patron | Por que esta prohibido | Correccion requerida |
+|---|---|---|
+| Prompt como autorizacion | Las instrucciones pueden manipularse y no tienen autoridad de ejecucion. | Aplica capacidad y aprobacion en el gateway de herramientas. |
+| Acceso directo a dominio o base de datos | Omite contratos de bounded context, auditoria y minimo privilegio. | Usa un adaptador de aplicacion determinista con propietario. |
+| Runtime de agente compartido y de larga vida | Estado o credenciales pueden filtrarse entre ejecuciones. | Usa ejecucion aislada efimera con recursos acotados. |
+| Texto recuperado como politica | La inyeccion indirecta de prompt puede alterar el comportamiento. | Tratalo como dato y valida procedencia y schema. |
+| Reintento autonomo sin limites | Puede amplificar un fallo inseguro o mutativo. | Usa reintentos finitos conscientes de idempotencia solo para lecturas. |
+| Expansion oculta de herramientas | Un cambio de prompt o dependencia aumenta autoridad silenciosamente. | Declara y valida cada herramienta, capacidad y destino de red. |
+## Regla de Limite
+Un agente puede proponer o invocar una accion gobernada, pero nunca posee invariantes de negocio. El bounded context y su capa de aplicacion determinista validan el comando, aplican su propia autorizacion y emiten su evidencia normal de auditoria y dominio.
+---
+[Volver al Perfil de IA Agentica](./README.es.md)

package/rulesets/topologies/agentic-ai/patterns.md ADDED Viewed

@@ -0,0 +1,32 @@
+# Agentic AI Patterns and Anti-Patterns
+> **Bilingual Navigation:** [Version en Espanol](./patterns.es.md)
+## Approved Patterns
+| Pattern | Application |
+|---|---|
+| Explicit context assembly | Build a typed, provenance-bearing context envelope before invoking the agent. |
+| Read-first capability rollout | Prove safety and usefulness with read-only tools before introducing mutations. |
+| Capability-scoped tool gateway | Route tools through a gateway that checks identity, capability, approval, and sandbox policy. |
+| Deterministic action adapter | Keep domain writes in deterministic application adapters behind the tool contract. |
+| Correlated append-only evidence | Join request, approval, tool action, and outcome by one correlation identifier. |
+| Human or policy approval | Require an independently evaluated approval for each mutative action. |
+## Anti-Patterns
+| Anti-pattern | Why it is prohibited | Required correction |
+|---|---|---|
+| Prompt as authorization | Instructions can be manipulated and have no execution authority. | Enforce capability and approval in the tool gateway. |
+| Direct domain or database access | It bypasses bounded-context contracts, audit, and least privilege. | Use an owned deterministic application adapter. |
+| Shared long-lived agent runtime | State or credentials can leak across executions. | Use ephemeral isolated execution with bounded resources. |
+| Retrieved text as policy | Indirect prompt injection can alter behavior. | Treat it as data and validate provenance and schema. |
+| Unbounded autonomous retry | It can amplify an unsafe or mutative failure. | Use finite, idempotency-aware retries only for read operations. |
+| Hidden tool expansion | A prompt or dependency change silently increases authority. | Declare and validate every tool, capability, and network destination. |
+## Boundary Rule
+An agent may propose or invoke a governed action, but it never owns business invariants. The bounded context and its deterministic application layer validate the command, enforce its own authorization, and emit its normal audit and domain evidence.
+---
+[Back to Agentic AI Profile](./README.md)

package/rulesets/topologies/agentic-ai/resilience.es.md ADDED Viewed

@@ -0,0 +1,26 @@
+# Guia de Resiliencia de IA Agentica
+> **Navegacion bilingue:** [Version en ingles](./resilience.md)
+## Semantica de Fallo
+La IA agentica falla cerrado. Un timeout, cancelacion, fallo de evaluacion de politica, falta de procedencia, schema de herramienta invalido, aprobacion no disponible o violacion de sandbox deniega la accion. El llamador recibe un resultado acotado y puede elegir un respaldo humano o determinista; el agente no obtiene una capacidad mas amplia.
+## Contencion de Recursos
+Usa ejecucion efimera y aplica los limites de duracion, memoria y CPU de `agent.config.json`. Encola o rechaza trabajo cuando se agote la capacidad de concurrencia o dependencia. La cancelacion debe detener el trabajo de herramienta posterior donde la herramienta lo soporte y registrar el estado final en evidencia correlacionada.
+## Aislamiento de Dependencias
+Las herramientas son dependencias acotadas de forma independiente. Aplica timeout por herramienta, reintenta solo operaciones de lectura idempotentes bajo presupuesto finito y abre circuito para herramientas no saludables. Nunca reintentes una accion mutativa salvo que el contrato de herramienta proporcione una clave de idempotencia y la aprobacion siga vigente para esa accion exacta.
+## Recuperacion
+Recupera reproduciendo solo pasos deterministas aprobados y respaldados por evidencia. Readquiere contexto con validacion de procedencia; no reproduzcas prompts crudos ni salida de herramienta no validada como autoridad. Un respaldo humano debe usar el mismo limite de dominio y auditoria que la accion automatizada.
+## Verificacion de Resiliencia
+Los fixtures negativos deben mostrar comportamiento bloqueante para limites de recursos, politica, contexto y controles de auditoria invalidos. Ejercita timeout, indisponibilidad de herramienta, indisponibilidad de aprobacion y cancelacion en las pruebas de integracion del adoptante antes de uso operativo.
+---
+[Volver al Perfil de IA Agentica](./README.es.md)

package/rulesets/topologies/agentic-ai/resilience.md ADDED Viewed

@@ -0,0 +1,26 @@
+# Agentic AI Resilience Guide
+> **Bilingual Navigation:** [Version en Espanol](./resilience.es.md)
+## Failure Semantics
+Agentic AI fails closed. A timeout, cancellation, failed policy evaluation, missing provenance, invalid tool schema, unavailable approval, or sandbox violation denies the action. The caller receives a bounded result and can choose a human or deterministic fallback; the agent does not gain a broader capability.
+## Resource Containment
+Use ephemeral execution and enforce the duration, memory, and CPU bounds in `agent.config.json`. Queue or reject work when concurrency or dependency capacity is exhausted. Cancellation must stop downstream tool work where the tool supports it and record the final state in correlated evidence.
+## Dependency Isolation
+Tools are independently bounded dependencies. Apply per-tool timeout, retry only idempotent read operations under a finite budget, and circuit-break unhealthy tools. Never retry a mutative action unless the tool contract supplies an idempotency key and the approval remains valid for that exact action.
+## Recovery
+Recover by replaying only approved, evidence-backed deterministic steps. Reacquire context with provenance validation; do not replay raw prompts or unvalidated tool output as authority. A human fallback must use the same domain and audit boundary as the automated action.
+## Resilience Verification
+Negative fixtures must show blocking behavior for invalid resource bounds, policy, context, and audit controls. Exercise timeout, tool outage, approval outage, and cancellation in the adopter's integration tests before operational use.
+---
+[Back to Agentic AI Profile](./README.md)

package/rulesets/topologies/agentic-ai/runbooks.es.md ADDED Viewed

@@ -0,0 +1,48 @@
+# Runbooks de Incidentes de IA Agentica
+> **Navegación Bilingüe:** [English Version](./runbooks.md)
+Estos runbooks aplican a todo adoptante de la topologia de IA agentica. Conserva evidencia de correlacion sin recopilar prompts, secretos, credenciales ni datos personales innecesarios. No restaures autoridad solo para continuar una tarea interrumpida.
+## Bloqueo de Agente
+**Disparador:** Una ejecucion excede su timeout declarado, deja de emitir progreso esperado o retiene capacidad MCP sin completarse.
+1. Deten nuevo trabajo para la capacidad afectada y cancela sus llamadas pendientes a herramientas.
+2. Conserva el identificador de correlacion, decisiones de politica, metadatos de llamadas a herramientas, timeout y contadores de recursos.
+3. Revoca la credencial delegada de la ejecucion; no la reutilices para reintentar.
+4. Inspecciona la ultima accion acotada y la salud de las dependencias. Corrige la implementacion determinista, el contrato de herramienta o el limite declarado antes de reintentar.
+5. Reanuda con una credencial nueva y alcance reducido solo despues de que el propietario de la herramienta apruebe la recuperacion.
+## Desborde de Tokens
+**Disparador:** El prompt, la finalizacion o el contexto combinado alcanza su limite de tokens declarado, o el calculo previo predice que lo hara.
+1. Rechaza o cancela la ejecucion antes de enviar contexto adicional al modelo.
+2. Conserva contadores de tokens, evidencia de correlacion e identificadores de fuentes de contexto aprobadas; no registres el contenido de los tokens.
+3. Elimina contexto no esencial, no confiable o duplicado y divide el trabajo en pasos acotados e independientes.
+4. No eleves un presupuesto durante el incidente. Todo cambio permanente de presupuesto sigue revision de cambio controlado y validacion Native/OPA.
+5. Reintenta solo con un nuevo calculo previo que respete todos los limites declarados.
+## Accion No Aprobada
+**Disparador:** Una herramienta mutativa es invocada, intentada o reportada como completada sin aprobacion humana o de politica registrada.
+1. Deshabilita inmediatamente la herramienta y la capacidad afectadas; cancela el trabajo relacionado.
+2. Revoca las credenciales delegadas dentro del limite de propagacion configurado y conserva evidencia correlacionada append-only.
+3. Determina si la accion se ejecuto. Si fue asi, contenla y reviertela mediante el procedimiento de recuperacion aprobado del sistema propietario.
+4. Investiga la ruta de aprobacion, la entrada de politica, la implementacion y el rastro de auditoria de la herramienta. Trata la evidencia faltante como un fallo de autorizacion.
+5. Restaura la herramienta solo despues de que el propietario apruebe la remediacion y pasen el contrato modificado, la regla Native, la politica OPA y las pruebas negativas.
+## Escape del Sandbox
+**Disparador:** El agente alcanza un proceso no declarado, destino de red, limite de filesystem, capacidad del host o nivel de privilegio.
+1. Aisla el ejecutor del acceso de red y herramientas; detén todas las capacidades que compartan su imagen de sandbox o limite de host.
+2. Revoca todas las credenciales accesibles desde el ejecutor y rota las credenciales que puedan haberse expuesto.
+3. Conserva la imagen de sandbox, registros de decisiones de politica, evidencia de correlacion y logs de auditoria de plataforma para investigacion.
+4. Reconstruye desde una imagen conocida como buena, elimina la ruta de escape y verifica controles deny o allowlist antes de reconectarlo.
+5. Exige aprobacion del responsable de seguridad y validacion exitosa de sandbox, Native, OPA y fixtures negativos antes de rehabilitar el trabajo.
+---
+[Volver a la Guia de Operacion](./operations.es.md)

package/rulesets/topologies/agentic-ai/runbooks.md ADDED Viewed

@@ -0,0 +1,48 @@
+# Agentic AI Incident Runbooks
+> **Bilingual Navigation:** [Versión en Español](./runbooks.es.md)
+These runbooks apply to every adopter of the Agentic AI topology. Preserve correlation evidence without collecting prompts, secrets, credentials, or unneeded personal data. Do not restore authority merely to continue an interrupted task.
+## Agent Hang
+**Trigger:** An execution exceeds its declared timeout, stops emitting expected progress, or holds MCP capacity without completing.
+1. Stop new work for the affected capability and cancel its pending tool calls.
+2. Preserve the correlation identifier, policy decisions, tool-call metadata, timeout, and resource counters.
+3. Revoke the execution's delegated credential; do not reuse it for retry.
+4. Inspect the last bounded action and dependency health. Correct the deterministic implementation, tool contract, or declared limit before retrying.
+5. Resume with a new credential and reduced scope only after the tool owner approves the recovery.
+## Token Overflow
+**Trigger:** Prompt, completion, or combined context reaches its declared token ceiling, or preflight calculation predicts that it will.
+1. Reject or cancel the execution before sending additional context to the model.
+2. Preserve token counters, correlation evidence, and the approved context-source identifiers; do not log token content.
+3. Remove nonessential, untrusted, or duplicate context and split the work into independently bounded steps.
+4. Do not raise a budget during the incident. Any permanent budget change follows controlled change review and Native/OPA validation.
+5. Retry only with a new preflight calculation that fits every declared ceiling.
+## Unapproved Action
+**Trigger:** A mutative tool is invoked, attempted, or reported as completed without recorded human or policy approval.
+1. Disable the affected tool and capability immediately; cancel related work.
+2. Revoke delegated credentials within the configured propagation limit and preserve append-only correlated evidence.
+3. Determine whether the action executed. If it did, contain and reverse it through the owning system's approved recovery procedure.
+4. Investigate the approval path, policy input, implementation, and tool audit trail. Treat missing evidence as an authorization failure.
+5. Restore the tool only after the owner approves remediation and the changed contract, Native rule, OPA policy, and negative tests pass.
+## Sandbox Escape
+**Trigger:** The agent reaches an undeclared process, network destination, filesystem boundary, host capability, or privilege level.
+1. Isolate the executor from network and tool access; stop all capabilities sharing its sandbox image or host boundary.
+2. Revoke all credentials reachable from the executor and rotate credentials that may have been exposed.
+3. Preserve the sandbox image, policy decision records, correlation evidence, and platform audit logs for investigation.
+4. Rebuild from a known-good image, remove the escape path, and verify deny or allowlist controls before reconnecting it.
+5. Require security-owner approval plus successful sandbox, Native, OPA, and negative-fixture validation before re-enabling work.
+---
+[Back to Operations Guide](./operations.md)

package/rulesets/topologies/agentic-ai/security.es.md ADDED Viewed

@@ -0,0 +1,26 @@
+# Guia de Seguridad de IA Agentica
+> **Navegacion bilingue:** [Version en ingles](./security.md)
+## Limite de Confianza
+Trata prompts, documentos recuperados, entrada de usuario y salida de herramientas como entradas distintas. El contenido no confiable es solo dato: no puede seleccionar herramientas, alterar capacidades, omitir aprobacion ni modificar la implementacion determinista. Se requieren procedencia y validacion de schema antes de usar el resultado de una herramienta en el flujo.
+## Aislamiento de Ejecucion
+Toda llamada de herramienta se ejecuta mediante el sandbox aislado definido por `agent.config.json`. El sandbox DEBE limitar acceso de red y proceso, ejecutarse de forma efimera y aplicar limites de duracion, memoria y CPU. Se prohibe acceso directo a repositorio, base de datos, proceso host, almacen de credenciales o red sin restricciones.
+## Autorizacion y Secretos
+Una identidad de agente y una capacidad declarada son prerequisitos, no autorizacion general. La delegacion debe ser acotada y expirable. Las herramientas mutativas requieren una decision de aprobacion registrada antes de ejecutarse. Los secretos permanecen fuera de prompts y contexto; las herramientas recuperan solo la credencial de minimo privilegio necesaria para su accion.
+## Respuesta de Control
+Ante fallo de politica, procedencia, schema, aprobacion o control de sandbox, deniega la accion, conserva evidencia correlacionada y devuelve un fallo acotado al llamador. No reintentes ampliando permisos ni sustituyendo una herramienta no revisada.
+## Autoridad
+Aplica conjuntamente [ADR-0081](../../../adrs/core/0081-agentic-ai-sandbox-isolation.es.md), [ADR-0082](../../../adrs/core/0082-agentic-ai-trust-boundary.es.md) y [ADR-0083](../../../adrs/core/0083-agentic-ai-action-authorization-audit.es.md). Los controles ejecutables son AAI-R01 a AAI-R07 en el [ruleset](./agentic-ai.rules.json) y la [politica OPA](./agentic-ai.rego).
+---
+[Volver al Perfil de IA Agentica](./README.es.md)

package/rulesets/topologies/agentic-ai/security.md ADDED Viewed

@@ -0,0 +1,26 @@
+# Agentic AI Security Guide
+> **Bilingual Navigation:** [Version en Espanol](./security.es.md)
+## Trust Boundary
+Treat prompts, retrieved documents, user input, and tool output as distinct inputs. Untrusted content is data only: it cannot select tools, alter capabilities, bypass approval, or modify the deterministic implementation. Provenance and schema validation are required before a tool result is used by the workflow.
+## Execution Isolation
+Every tool call runs through the isolated sandbox defined by `agent.config.json`. The sandbox MUST constrain network and process access, run ephemerally, and enforce duration, memory, and CPU limits. Direct repository, database, host-process, credential-store, or unrestricted network access is prohibited.
+## Authorization and Secrets
+An agent identity and a declared capability are prerequisites, not blanket authorization. Delegation must be scoped and expiring. Mutative tools require a recorded approval decision before execution. Secrets stay outside prompts and context; tools retrieve only the least privilege credential necessary for their action.
+## Control Response
+On a policy, provenance, schema, approval, or sandbox-control failure, deny the action, preserve correlated evidence, and return a bounded failure to the caller. Do not retry by broadening permissions or by substituting an unreviewed tool.
+## Authority
+Apply [ADR-0081](../../../adrs/core/0081-agentic-ai-sandbox-isolation.md), [ADR-0082](../../../adrs/core/0082-agentic-ai-trust-boundary.md), and [ADR-0083](../../../adrs/core/0083-agentic-ai-action-authorization-audit.md) together. The executable controls are AAI-R01 through AAI-R07 in the [ruleset](./agentic-ai.rules.json) and [OPA policy](./agentic-ai.rego).
+---
+[Back to Agentic AI Profile](./README.md)