SINT-Protokoll

Sicherheits-, Berechtigungs- und wirtschaftliche Durchsetzungsschicht für physische KI.

SINT ist die fehlende Governance-Schicht zwischen KI-Agenten und der physischen Welt. Jeder Tool-Aufruf, Roboterbefehl und jede Aktuatorbewegung fließt durch ein zentrales Policy-Gateway, das fähigkeitsbasierte Berechtigungen, abgestufte Genehmigungsebenen und manipulationssichere Audit-Protokolle durchsetzt.

Akademische Grundlage: SINT wurde unter Bezugnahme auf IEC 62443 FR1–FR7, Artikel 13 des EU AI Act und das NIST AI RMF entwickelt. Das Bewertungsrahmenwerk bezieht sich auf die empirische Sicherheitsstudie ROSClaw (arXiv:2603.26997) und die MCP-Sicherheitsanalyse (arXiv:2601.17549).

Agent ──► SINT Bridge ──► Policy Gateway ──► Allow / Deny / Escalate
                               │
                       Evidence Ledger (SHA-256 hash-chained)
                               │
                    ProofReceipt (pluggable attestation)

Warum SINT?

KI-Agenten können jetzt Roboter steuern, Code ausführen, Geld bewegen und Maschinen bedienen. Es gibt jedoch keine standardisierte Sicherheitsschicht zwischen „die LLM hat beschlossen, X zu tun“ und „X ist in der physischen Welt passiert“.

SINT im Vergleich zu anderen Frameworks

SINT ist das einzige Framework, das speziell für physische KI entwickelt wurde – bei der Aktionen irreversibel sind und reale Konsequenzen haben. Microsoft AGT zielt auf digitale/Software-Agenten ab; SINT zielt auf Roboter, Drohnen und Aktuatoren ab.

Der empirische Fall für SINT:

• ROSClaw (IROS 2026): Bis zu 4,8-fache Streuung bei regelwidrigen LLM-Aktionsvorschlägen über Frontier-Modelle hinweg unter identischen Sicherheitsvorgaben. Die 3,4-fache Divergenz zwischen Frontier-Backends ist messbar, reproduzierbar und persistent.

• MCP-Sicherheit (arXiv:2601.17549): 10 dokumentierte reale MCP-Verletzungen in unter 8 Monaten, einschließlich einer CVSS 9.6-Befehlsinjektion, die 437.000 Downloads betraf.

• SROS2: Formell nachgewiesen, dass es 4 kritische Schwachstellen bei ACM CCS 2022 enthält, einschließlich Zugriffskontrollumgehungen, die eine willkürliche Befehlsinjektion ermöglichen.

• Unitree BLE-Wurm (September 2025): Fest codierte Kryptoschlüssel ermöglichten eine wurmartige BLE/Wi-Fi-Befehlsinjektion über Roboterflotten hinweg – genau das Szenario, das SINTs agentenspezifisches Token-Scoping und Echtzeit-Widerruf verhindern.

Kern-Garantien:

• Keine Agentenaktion umgeht jemals das Policy-Gateway (Invariante I-G1: Kein Bypass)

• Jede Entscheidung wird in einem manipulationssicheren, SHA-256-Hash-verketteten Ledger aufgezeichnet (Invariante I-G3: Ledger-Primat)

• Physische Beschränkungen (Geschwindigkeit, Kraft, Geofence) werden auf Protokollebene durchgesetzt – im Token, nicht in der Konfiguration

• Ebenengesteuerte verifizierbare Compute-Hooks unterstützen beweisbare Ausführungsnachweise bei kritischen Aktionen

• Not-Aus ist universell über alle nicht-terminalen DFA-Zustände hinweg (Invariante I-G2: Not-Aus-Universalität)

• Agentenspezifische Capability-Tokens mit Echtzeit-Widerruf

Schnellstart

# Prerequisites: Node.js >= 22, pnpm >= 9
pnpm install
pnpm run build
pnpm run test        # full workspace test suite

Starten des Gateway-Servers

pnpm --filter @sint/gateway-server dev
# → http://localhost:3100/v1/health
# → http://localhost:3100/v1/ready
# → http://localhost:3100/v1/docs

Starten von produktionsähnlichen Stacks (Ein Befehl)

pnpm run stack:dev
pnpm run stack:edge
pnpm run stack:prod-lite
pnpm run stack:gazebo-validation
pnpm run stack:isaac-sim-validation

Compose-Profile:

• docker/compose/dev.yml

• docker/compose/edge.yml

• docker/compose/prod-lite.yml

• docker/compose/gazebo-validation.yml

• docker/compose/isaac-sim-validation.yml

Entwickler-Dokumentationsseite (docs.sint.gg)

pnpm run docs:dev
pnpm run docs:build
pnpm run docs:preview

Die Quelldokumentation befindet sich in docs/, die VitePress-Konfiguration in docs/.vitepress/config.mts und die Bereitstellung wird durch docs-site.yml abgewickelt.

Community-/Adoptions-Assets:

• docs/community/discord-launch-runbook.md

• docs/community/discord-launch-kit.md

• docs/community/external-contributor-onboarding.md

• docs/community/good-first-issues-board.md

• docs/community/open-source-collaboration-replies.md

• docs/security-bulletins/2026-04.md

Ausführen eines einzelnen Pakets

pnpm --filter @sint/gate-policy-gateway test
pnpm --filter @sint/bridge-mcp test

SINT-Operator-Schnittstelle

Eine sprachgesteuerte, HUD-basierte Steuerungsoberfläche für SINT-Operatoren. Jeder Befehl fließt durch das Policy-Gateway.

pnpm run stack:interface  # starts gateway + interface + postgres + redis
# Opens: http://localhost:3202

Funktionen:

• 🎙️ Spracheingabe — Web Speech API (keine externen Abhängigkeiten), Echtzeit-Transkript

• 🖥️ Befehls-HUD — 3-Panel-Raster: Genehmigungen | Aktionsstrom | Kontext

• 💾 Operator-Gedächtnis — Ledger-gestützter persistenter Kontext (@sint/memory)

• 🔔 Proaktive Benachrichtigungen — sint__notify (T2-Ebene, erfordert Bestätigung)

• ✅ T2/T3-Genehmigungen — Ein-Klick-Genehmigung/Ablehnung mit Timeout-Countdown

Siehe docs/guides/sint-interface.md für die vollständige Einrichtung und Nutzung.

Für KI-Agenten

Wenn Sie ein KI-Agent (Claude, GPT, Gemini, Cursor usw.) sind, der in diesem Repo arbeitet, lesen Sie zuerst AGENTS.md. Es behandelt wichtige Invarianten, häufige Fehler und Einstiegspunkte für die gängigsten Aufgaben. Für tiefere Implementierungsdetails siehe CLAUDE.md.

Architektur

┌──────────────────────────────────────────────────────────────┐
│  AI Agents / Foundation Models                               │
│  (Claude, GPT, Gemini, open-source)                         │
└──────────────────┬───────────────────────────────────────────┘
                   │
┌──────────────────▼───────────────────────────────────────────┐
│  SINT Bridge Layer (L1)                                      │
│  ┌────────────┐ ┌────────────┐ ┌────────────┐ ┌──────────┐  │
│  │ bridge-mcp │ │ bridge-ros2│ │ bridge-a2a │ │ bridge-  │  │
│  │ MCP tools  │ │ ROS topics │ │ Google A2A │ │ open-rmf │  │
│  └────────────┘ └────────────┘ └────────────┘ └──────────┘  │
│  ┌──────────────────────┐ ┌───────────────────────────────┐  │
│  │ bridge-mqtt-sparkplug│ │ bridge-opcua                  │  │
│  │ Industrial IoT       │ │ PLC / OT control plane bridge │  │
│  └──────────────────────┘ └───────────────────────────────┘  │
│  Per-resource state: UNREGISTERED→PENDING_AUTH→AUTHORIZED    │
│  →ACTIVE→SUSPENDED (real-time revocation without restart)    │
└──────────────────┬───────────────────────────────────────────┘
                   │ SintRequest (UUIDv7, Ed25519, resource, action, physicalContext)
┌──────────────────▼───────────────────────────────────────────┐
│  SINT Gate (L2) — THE choke point                           │
│  ┌─────────────────────────────────────────────────────────┐ │
│  │  PolicyGateway.intercept()                              │ │
│  │  1. Schema validation (Zod)                             │ │
│  │  2. Token validation (Ed25519 + expiry + revocation)    │ │
│  │  3. Resource scope check                                │ │
│  │  4. Per-token rate limiting (sliding window)            │ │
│  │  5. Physical constraint enforcement                     │ │
│  │  6. Forbidden action sequence detection                 │ │
│  │  7. Tier assignment: max(BaseTier, Δ_human, Δ_trust...) │ │
│  │  8. T2/T3 → escalate to approval queue                 │ │
│  │  9. T0/T1 + approved T2/T3 → allow                     │ │
│  │  10. Bill via EconomyPlugin (if configured)             │ │
│  └─────────────────────────────────────────────────────────┘ │
│                          ↓                                   │
│  EvidenceLedger (SHA-256 hash chain + ProofReceipt)        │
└──────────────────────────────────────────────────────────────┘

APS vs. SINT-Primitive

Pakete

Gate (Sicherheitskern)

Brücken (12 Brücken)

Engine (KI-Ausführungsschicht)

Referenzkapseln

Persistenz

Apps & SDKs