Delegated Treasury

企業がAIエージェントに支出権限を委譲するとき、制約は典型的にソフトプロンプトとして実装されます:「500ドル以上使わないで」。これは提案であって保証ではありません。プロンプトインジェクション、コンテキストオーバーフロー、または敵対的交渉によって無効化されます。

プラットフォームガードレールは制限を中央集権的に強制します──しかしそれらは不透明でポータブルではありません。売り手は、プラットフォームを信頼することなく、買い手の権限を独立して検証する手段を持ちません。

エージェントの支出権限が本物で、現在有効で、制約付きであることの暗号論理的証明がなければ、売り手はエージェントの主張を信じるか、取引を拒否するしかありません。どちらも最適ではありません。

Lemma導入前 — インシデントの展開

背景

中規模企業が、月 10,000 ドルの SaaS サブスク購入予算を持つAI購買エージェントを導入します。ポリシー:1取引 500 ドル超はマネージャー承認が必要。

インシデントタイムライン

フェーズ	何が起きるか	なぜ検出できないか
セットアップ	企業がプラットフォームダッシュボードでエージェントに予算とスコープを設定	制約はプラットフォームルールとして存在し、暗号論理的証明ではありません
通常運用	エージェントがスコープ内で日常的なSaaS購入を実行	売り手側からの検証はなく、プラットフォームを信頼しています
スコープクリープ	エージェントが 3,200 ドルの年間サブスクを交渉、「月平均内」と正当化	ソフト制約は解釈可能で、エージェントは支出を合理化します
違反	エージェントが 12,000 ドルのエンタープライズライセンスを購入、月額・取引額制限を超過	売り手は権限の独立した証明を要求しません
発見	財務チームが月次調停で2週間後に課金を発見	事後検出のみ──既に支払済み
紛争	企業が課金に異議申し立て；売り手は「あなたのエージェントが承認した」と主張	何が委譲されたかの暗号論理的証拠がありません

根本原因

• 制約はソフト — プロンプトやプラットフォームルールとしてエンコードされており、暗号論理的アテステーションではありません
• 売り手は買い手の権限を独立して検証できません
• 何が、誰に、どの期間委譲されたかのオンチェーン記録がありません
• 失効は事後的 — エージェントの認証情報は違反後に失効され、事前ではありません

Lemma導入後 — 同じシナリオの展開

デプロイ時に変わること

• 企業がオンチェーンの支出制御アテステーションを発行します:主体の本人性、月 10,000 ドル上限、SaaS のみスコープ、500 ドル/取引制限、30 日有効期間、失効エンドポイント
• エージェントが開始するすべての取引がこのアテステーションを携えます
• 売り手は支払いを受け入れる前にアテステーションを検証します

インシデントタイムライン（Lemmaあり）

フェーズ	何が起きるか	Lemmaがどう変えるか
セットアップ	企業が正確な制約でオンチェーンアテステーションを作成	制約は暗号論理的で、解釈可能ではありません
通常運用	エージェントが購入；売り手がアテステーションを検証	売り手側の検証は独立しています
違反の試み	エージェントが 12,000 ドルのライセンス購入を試みる	アテステーションは最大 500 ドル/取引──売り手が拒否
違反は不可能	取引は完了しない	証明がコミットを防ぎ、検出だけではありません
監査証跡	すべての取引が委譲証明を携える	財務は検証可能な証拠を得ます。ログだけではありません

Lemmaの 4 つの暗号レイヤが、エージェントへの権限委譲のライフサイクルに対応します。

1. ENCRYPT ─ 委譲ポリシーの暗号的固定

企業が定める委譲ポリシー（月 10,000 ドル上限、SaaS のみスコープ、500 ドル/取引制限、30 日有効期間）は、ソフトプロンプトではなく、AES-GCM で暗号化されたアテステーションとしてエンコードされます。原本の意思決定文書は組織の管理下に残り、外部に出るのは検証可能なハッシュと制約値のみ。

2. PROVE ─ 権限の ZK 証明発行

Lemma アテステーション発行ゲートウェイが、企業の委譲ポリシーを ZK 証明として封じます。証明には次の要素が含まれます:

• 発行主体（principal_id）
• スコープ（scope）
• 支出上限（spend_ceiling）
• 取引上限（transaction_limit）
• 有効期間（validity_period）
• 失効エンドポイント（revocation_endpoint）

エージェントが取引のたびに、この証明を取引ペイロードに添付します。証明はポリシー全体を開示せず、特定の取引が認可された範囲内にあることのみを示します。

3. DISCLOSE ─ 売り手側の独立検証

売り手は Lemma の検証ロジックを通じて、独立にアテステーションを評価します:

• アテステーションは主張された発行者によって署名されているか
• 支出は記載された上限内か
• カテゴリは記載されたスコープ内か
• アテステーションはまだ有効か（失効していないか）

すべてのチェックが通過した場合のみ、売り手は支払いを受け入れます。エージェントやプラットフォームへの信頼は不要で、発行組織の署名のみを信頼します。

4. PROVENANCE ─ オンチェーン失効の即時反映

すべてのアテステーションのコミットメントと失効ステータスが、オンチェーンに刻まれます。企業が委譲を取り消せば、売り手側はリアルタイムで失効を確認可能です。期限切れ・取消済みのアテステーションは、取引完了前に自動的に拒否されます。

委譲フローの全体像

┌─────────────────────────────────────────────────────────────┐
│                     企業（主体）                               │
│                                                              │
│  ┌──────────────────┐        ┌──────────────────────────┐   │
│  │  委譲ポリシー      │───────▶│  Lemma アテステーション発行  │   │
│  │  - 月10,000ドル上限 │        │  - 権限のZK証明            │   │
│  │  - SaaSのみ       │        │  - オンチェーンアンカー      │   │
│  │  - 500ドル/取引上限 │        │  - 失効エンドポイント       │   │
│  └──────────────────┘        └────────────┬─────────────┘   │
└────────────────────────────────────────────┼─────────────────┘
                                             │ アテステーション
                                             ▼
┌─────────────────────────────────────────────────────────────┐
│                     エージェント（受任者）                      │
│                                                              │
│  ┌──────────────────┐        ┌──────────────────────────┐   │
│  │  購入リクエスト    │───────▶│  アテステーションキャリア    │   │
│  │  - 299ドル SaaS   │        │  - 取引に証明を添付         │   │
│  │  - スコープ内      │        │  - 有効性が検査可能          │   │
│  └──────────────────┘        └────────────┬─────────────┘   │
└────────────────────────────────────────────┼─────────────────┘
                                             │ 支払い + 証明
                                             ▼
┌─────────────────────────────────────────────────────────────┐
│                     売り手（相手方）                           │
│                                                              │
│  ┌──────────────────────────────────────────────────────┐   │
│  │  Lemma 検証                                           │   │
│  │  1. アテステーションは主張された発行者によって署名されているか？ │   │
│  │  2. 支出は記載された上限内か？                           │   │
│  │  3. カテゴリは記載されたスコープ内か？                    │   │
│  │  4. アテステーションはまだ有効か（失効していないか）？      │   │
│  │  ✓ すべてのチェックが通過 → 支払いを受け入れる             │   │
│  │  ✗ いずれかのチェックが失敗 → 取引を拒否                   │   │
│  └──────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────┘

売り手が Lemma 付きの委譲エージェントからの支払いを受け入れるとき、以下の事実が暗号的に証明されます──主張ではなく:

• 発行主体（組織・部門） ── 委譲を認可した発行者の署名鍵を ZK 証明
• 支出上限とスコープ ── 月 10,000 ドル・SaaS のみ等の制約がアテステーションにエンコード
• 有効期間 ── 期限切れアテステーションは自動的に検証失敗
• 失効ステータス ── オンチェーン参照によりリアルタイムで確認可能
• 売り手側の独立検証性 ── プラットフォームを信頼せずに評価可能
• 取引完了前の違反拒否 ── 事後検出ではなくコミット防止

X402 Commerce — 初対面の取引

決済される ≠ 検証されている

委譲されたエージェントが x402 レール上で取引する際、売り手は買い手の本人性に加えて買い手の権限を検証する必要があります。Delegated Treasury のアテステーションが、その証明を支払いレイヤで提供します。

ユースケースを見る →

Multi-Agent Workflows — 委任の鎖

委任した ≠ 追跡できる

オーケストレータが購買権限をサブエージェントに委譲する際、委任の連鎖は追跡可能でなければなりません。Delegated Treasury のアテステーションが、誰が支出を認可し、どのスコープが委任されたかを証明します。

ユースケースを見る →

KYC/AML 選択的開示 — 共有せずに証明

申告される ≠ 検証されている

法人がエージェントに権限を委譲する前提として、その法人自体の本人確認が必要です。KYC/AML 選択的開示と組み合わせれば、「本人確認済み法人が、検証可能な権限を持つエージェントを通じて取引する」という三段の信頼鎖が成立します。

ユースケースを見る →