Human Authorization Layer · KoBa Labs Capa de Autorización Humana · KoBa Labs 人类授权层 · KoBa Labs

Did a real
human
authorize this?

¿Un humano
real autorizó esto?

真正的人类
授权了这个操作吗？

KoBaDNA is a ZK-native enforcement layer that cryptographically proves one unique human authorized one specific action exactly once — without biometrics, without KYC, without a central registry. Built for the age of AI agents. KoBaDNA es una capa de cumplimiento ZK-nativa que prueba que un humano único autorizó una acción exactamente una vez — sin biometría, sin KYC, sin registro central. Construido para la era de los agentes IA. KoBaDNA 是一个原生 ZK 执行层，密码学证明一个唯一人类只授权了一次特定操作——无需生物特征、无需 KYC、无需中央注册表。为 AI 代理时代而生。

ZK / STARK Post-Quantum Self-Sovereign Fail-Closed Agent-Aware No Merkle

Authentication (solved) Autenticación (resuelta) 身份验证（已解决） JWT(agent_session) == valid

≠

Authorization (unsolved until now) Autorización (sin resolver hasta ahora) 授权（直到现在尚未解决） human.authorized(action_id) == true

PoIA proof flow — per action

human lane

Device-held secret

s ← CSPRNG() // never transmitted

ZK prove

identity proof

Membership + non-revocation

ic = Poseidon("poia.ic.v1", s, pk_hash, salt)

nullify

action proof

Action bound nullifier

null = H("poia.null.v1", epoch, action_id, s)

verify + spend

trustos kernel

CAS-addressed envelope

envelope_ref = sha256(all_paths) // tamper-evident

Result — fail-closed

Same action twice → Misma acción dos veces → 相同操作两次 →

nullifier_spent → REJECT. No exceptions.

01 The Authorization Gap La Brecha de Autorización 授权缺口

Authentication was solved.
Agency was never built. La autenticación está resuelta.
La agencia nunca fue construida. 身份验证已解决。
行为授权从未被构建。

What we have (1995–2026) Lo que tenemos (1995–2026) 我们拥有的（1995–2026）

Authentication Autenticación 身份验证

Proves you hold a key. Session-scoped. Any agent that inherits your session token inherits unlimited authorization. One compromise cascades infinitely. Prueba que tienes una clave. Cualquier agente que hereda tu token de sesión hereda autorización ilimitada. Un compromiso se propaga infinitamente. 证明你持有密钥。会话范围。任何继承你会话令牌的代理都继承无限授权。一次泄露无限扩散。

JWT(agent_session) == valid
≠ human decided this action
≠ human decided it right now
≠ human hasn't already acted

What KoBaDNA adds Lo que KoBaDNA agrega KoBaDNA 添加的内容

Authorization Autorización 行为授权

Proves a specific human decided this specific action — right now. Action-scoped. Non-replayable. Session compromise does not cascade. Prueba que un humano específico decidió esta acción específica ahora mismo. Por acción. No reproducible. El compromiso de sesión no se propaga. 证明特定人类就在此刻决定了这个特定操作。操作范围。不可重放。会话泄露不会级联。

human.authorized(action_id) == true
∧ human ∈ valid_set
∧ nullifier ∉ spent_set
∧ epoch == current

production systems with per-action cryptographic human proofs before KoBaDNA sistemas con pruebas criptográficas humanas por acción antes de KoBaDNA KoBaDNA 之前拥有每操作加密人类证明的生产系统

100k+

AI agent installs with no per-action human boundary enforced cryptographically instalaciones de agentes IA sin límite humano por acción criptográfico 没有加密人类边界的 AI 代理安装量

∞

attack surface when session token == unlimited action scope superficie de ataque cuando token de sesión == alcance ilimitado 当会话令牌等于无限操作范围时的攻击面

FAILURE MODE A

Session compromise cascades El compromiso de sesión se propaga 会话泄露级联

One stolen token. Agent inherits full scope. Every subsequent action appears "authorized." No per-action boundary. No audit proof. Irreversible by the time you notice. Un token robado. El agente hereda el alcance completo. Cada acción posterior parece "autorizada." Sin límite por acción. Irreversible cuando lo notas. 一个被盗令牌。代理继承完整权限范围。每个后续操作都显示为"已授权"。没有每操作边界，发现时已不可逆。

FAILURE MODE B

Agents act without human decision Los agentes actúan sin decisión humana 代理在没有人类决策的情况下行动

Audit log says "valid token." Not "human decided this." By review time the action is irreversible. No cryptographic trace of actual human intent. El log dice "token válido." No "humano decidió esto." Para cuando revisas, la acción es irreversible. Sin rastro criptográfico de intención humana. 审计日志显示"有效令牌"，而非"人类决定了这个"。审查时操作已不可逆，无人类意图的加密记录。

FAILURE MODE C

Sybil farms drain governance Las granjas Sybil drenan la gobernanza Sybil 农场耗尽治理

One operator, thousands of wallets. DAOs and airdrops captured. $2B+ lost annually to Sybil. Policy-based defenses are patches, not primitives. Un operador, miles de wallets. DAOs capturados. +$2B perdidos al año. Las defensas basadas en políticas son parches, no primitivos. 一个操作者，数千个钱包。DAO 和空投被劫持。每年 Sybil 损失超 20 亿美元。基于策略的防御是补丁，不是原语。

FAILURE MODE D

No accountability chain Sin cadena de responsabilidad 没有问责链

"Who authorized this agent action?" — "The system did." Not auditable. Not attributable. Indefensible in legal or compliance contexts. No cryptographic proof of human decision. "¿Quién autorizó esta acción?" — "El sistema." No auditable, no atribuible, indefendible en contextos legales. Sin prueba criptográfica de decisión humana. "谁授权了这个代理操作？" — "系统做的。"不可审计，不可归因，在法律或合规环境中无法辩护。

02 The Primitive El Primitivo 密码学原语

PoIA — Proof of Independent Agency PoIA — Prueba de Agencia Independiente PoIA — 独立行为证明

Two orthogonal cryptographic guarantees — admission policy (who) and nullifier enforcement (once) — derived from a single on-device secret, proven in one ZK circuit. Dos garantías criptográficas ortogonales — política de admisión (quién) y nullifier (una vez) — derivadas de un único secreto en el dispositivo, probadas en un circuito ZK. 两个正交的加密保证——准入策略（谁）和 nullifier 执行（一次）——来自单个设备端秘密，在一个 ZK 电路中证明。

identity_commitment

Self-sovereign Poseidon hash of a device-held secret. Never stored externally. Never transmitted. ZK-circuit-friendly. Unlinkable across sessions and across actions. Hash Poseidon soberano del secreto del dispositivo. Nunca almacenado ni transmitido externamente. Compatible con ZK. No vinculable entre sesiones. 设备端持有秘密的自主 Poseidon 哈希。从不外部存储，从不传输。ZK 电路友好，跨会话和操作不可关联。

membership_proof

ZK proof of set membership + non-membership in revocation set. Polynomial commitment accumulator — no Merkle tree overhead. Admission policy is external and auditable. Prueba ZK de pertenencia al conjunto + no pertenencia al conjunto de revocación. Acumulador de compromiso polinomial — sin overhead Merkle. Política de admisión externa y auditable. 集合成员资格的 ZK 证明 + 吊销集合的非成员证明。多项式承诺累加器——无 Merkle 树开销。准入策略外部且可审计。

nullifier

Deterministic domain-separated: H("poia.null.v1", epoch, action_id, s). Marks action permanently spent at circuit level. Different actions produce cryptographically unlinkable nullifiers from the same s. Determinista con separación de dominio. Marca la acción permanentemente gastada a nivel de circuito. Diferentes acciones producen nullifiers no vinculables desde el mismo s. 确定性域分离：H("poia.null.v1", epoch, action_id, s)。在电路层面永久标记操作已花费。不同操作从同一 s 产生不可关联的 nullifier。

action_commitment

CAS-addressed binding of policy_ref + epoch + action_id + payload_hash + nullifier. Tamper-evident by construction. Independently verifiable by any node. Persisted in TrustOS append-only log. Vinculación CAS de todos los campos. Resistente a manipulación por diseño. Verificable independientemente. Persistido en log de solo adición TrustOS. 所有字段的 CAS 地址绑定，按设计防篡改，任何节点独立可验证，持久化在 TrustOS 仅追加日志中。

		ZK Circuit — public inputs specification
		STARK / Cairo
	  

// IdentityMembershipProof — public inputs
{ policy_ref: sha256<hex>,
  identity_set_commitment: poly_commit_root,
  revocation_commitment: poly_commit_root,
  epoch: u64 }
// Private witnesses (never revealed): s, pk_hash, salt

// ActionProof — public inputs
{ policy_ref: sha256<hex>,
  epoch: u64,
  action_id: sha256<hex>,
  payload_hash: sha256<hex>,
  nullifier: field_element,
  action_commitment: sha256<hex> }
// Shared private witness: s — links both proofs, zero external linkability

		PoIA Envelope — CAS-addressed trust artifact
		JSON Schema v1
	  

{ "schema": "kobadna.poia_envelope.v1",
  "envelope_ref": "sha256:<64hex>",  // filename == this value (CAS)
  "paths": {
	"policy":          "poia/policies/<hex>.json",
	"manifest":        "poia/manifests/<hex>.json",
	"identity_proof":  "poia/proofs/identity/<hex>.json",
	"action_proof":    "poia/proofs/action/<hex>.json" },
  "signatures": [
	{ "alg": "Ed25519",   "sig_b64": "..." },  // classical
	{ "alg": "ML-DSA-65", "sig_b64": "..." } ] }  // post-quantum FIPS 204

03 Architecture Arquitectura 架构

Three layers.
One trust substrate. Tres capas.
Un sustrato de confianza. 三层。
一个信任基底。

Applications — AI Agents, Enterprise Pipelines, DAO Governance Aplicaciones — Agentes IA, Pipelines, Gobernanza DAO 应用层 — AI 代理、企业流水线、DAO 治理

Any system requiring a cryptographic human boundary. Agent authorization, enterprise AI compliance, DAO voting, airdrop protection, quorum enforcement, scoped delegation, accountability audit chains. Cualquier sistema que requiera un límite humano criptográfico: autorización de agentes, compliance IA empresarial, votación DAO, airdrops, delegación con alcance. 任何需要加密人类边界的系统：代理授权、企业 AI 合规、DAO 投票、空投保护、法定人数执行、范围化委托、问责审计链。

AI Agent Auth Enterprise Pipelines DAO Governance Scoped Delegation Compliance Audit Airdrop Protection

PoIA Protocol

ZK membership proof + deterministic nullifier enforcement. Self-sovereign identity. Action-type agnostic. Three-lane model: human_lane / agent_lane / hybrid_lane. Fail-closed on any verification mismatch. Patent-pending. Prueba ZK de membresía + nullifier determinista. Identidad soberana. Agnóstico al tipo de acción. Tres carriles. Fail-closed. Patente en trámite. ZK 成员资格证明 + 确定性 nullifier 执行。自主身份。操作类型无关。三通道模型。任何验证不匹配均失败关闭。专利待审。

ZK circuits Poly commitment Nullifier spend 3-lane model Action manifest

KoBaDNA TrustOS

Deterministic trust execution kernel. CAS-addressed storage. Append-only verified log. Fail-closed verifier. Sentinel monitoring. Hash-chained audit trail. 3-server production architecture. Kernel de ejecución determinista. Almacenamiento CAS. Log verificado de solo adición. Verificador fail-closed. Monitoreo centinela. Arquitectura de 3 servidores. 确定性信任执行内核。CAS 地址存储。仅追加可验证日志。失败关闭验证器。哨兵监控。哈希链接审计跟踪。3 服务器生产架构。

CAS storage Verified log Fail-closed Sentinels Hash-chain

04 Comparison Comparación 对比

Every alternative
answers the wrong question. Cada alternativa
responde la pregunta equivocada. 每个替代方案
都在回答错误的问题。

Authentication proves key possession. PoIA proves human authorization of a specific action. These are not the same claim. No existing system makes the second claim. La autenticación prueba posesión de clave. PoIA prueba autorización humana de una acción específica. No son el mismo reclamo. Ningún sistema existente hace el segundo reclamo. 身份验证证明密钥持有。PoIA 证明人类对特定操作的授权。这不是同一个声明。没有现有系统提出第二个声明。

SolutionSolución解决方案	What it provesQué prueba证明什么	ZK-native	Per-actionPor acción每操作	Agent-awareAgente-aware代理感知	No biometricsSin biometría无生物特征	Post-quantum	Fail-closed
Worldcoin	You scanned your iris onceEscaneaste tu iris una vez你扫描了虹膜一次	~	✗	✗	✗	✗	✗
Passkey / WebAuthn	You hold a device keyTienes una clave de dispositivo你持有设备密钥	✗	✗	✗	✓	✗	✗
OAuth / OIDC	Session is authenticatedSesión autenticada会话已验证	✗	✗	✗	✓	✗	✗
Semaphore	You belong to a groupPerteneces a un grupo你属于某个群组	✓	✗	✗	✓	✗	~
Gitcoin Passport	You have a reputation scoreTienes una puntuación你有信誉分数	✗	✗	✗	~	✗	✗
KoBaDNA PoIA	Human authorized this action. Once.Humano autorizó esta acción. Una vez.人类授权了这个操作。一次。	✓ STARK	✓	✓	✓	✓	✓

05 Use Cases Casos de Uso 使用场景

One primitive.
Every system that needs a human boundary. Un primitivo.
Todo sistema que necesite un límite humano. 一个原语。
每个需要人类边界的系统。

action_id = request_id

AI Agent Authorization Autorización de Agentes IA AI 代理授权

Before any high-stakes agent action — transfer, deploy, delete — require a ZK proof of explicit human authorization. Per-action. Non-replayable. Session compromise doesn't cascade. Antes de cualquier acción de alto riesgo del agente, requiere una prueba ZK de autorización humana explícita. Por acción. No reproducible. 在任何高风险代理操作之前，要求明确人类授权的 ZK 证明。按操作计。不可重放。

human_lane required

Enterprise AI Pipelines Pipelines IA Empresariales 企业 AI 流水线

Human approval gates for agent escalations — without halting the pipeline. Proof attaches to workflow record. Verifiable by any downstream compliance system. Puertas de aprobación humana para escalaciones sin detener el pipeline. La prueba se adjunta al registro del flujo. 代理升级的人类审批门，无需停止流水线。证明附加到工作流程记录，可被任何下游合规系统验证。

quorum.min_humans = N

Autonomous System Oversight Supervisión de Sistemas Autónomos 自主系统监督

Safety-critical decisions require N human PoIA proofs before execution. AI excluded from the human lane by default. Quorum enforced mathematically — not by policy. Las decisiones críticas requieren N pruebas PoIA humanas. IA excluida del carril humano por defecto. Cuórum matemáticamente aplicado. 安全关键决策在执行前需要 N 个人类 PoIA 证明。AI 默认被排除在人类通道之外。法定人数通过数学方式强制执行。

action_commitment = CAS

Agent Accountability Layer Capa de Responsabilidad del Agente 代理问责层

Every agent action tied to a cryptographic proof of which human authorized it. Unforgeable audit trail — not a log entry, not a database record. A ZK-verified commitment. Cada acción del agente vinculada a prueba criptográfica del humano que la autorizó. Pista de auditoría infalsificable. 每个代理操作与授权它的人类的加密证明相关联。不可伪造的审计跟踪——不是日志条目，而是 ZK 验证的承诺。

delegation.scopeHash

Scoped Delegation Delegación con Alcance 范围化委托

Human grants agent exactly the rights it needs — bounded by value, time, action type. Human-only actions are permanently unreachable from the agent lane. El humano otorga al agente exactamente los derechos que necesita. Las acciones solo-humano son permanentemente inalcanzables desde el carril del agente. 人类仅授予代理所需的权限，受价值、时间、操作类型限制。仅人类操作从代理通道永久无法访问。

nullifier_spent → reject

DAO Governance & Airdrops Gobernanza DAO y Airdrops DAO 治理与空投

One human, one vote. One human, one claim. Bot voting and Sybil farms become cryptographically impossible. $2B+ annually recovered from attackers. Un humano, un voto. Un humano, un reclamo. Granjas Sybil criptográficamente imposibles. 一人一票，一人一次领取。机器人投票和 Sybil 农场在密码学上不可能。每年超 20 亿美元从攻击者手中夺回。

06 Threat Model

Built to withstand adversaries. Construido para resistir adversarios. 为抵御对手而构建。

A1 — SYBIL

Fake identity injectionInyección de identidad falsa假身份注入

Mitigated:Mitigado:缓解： Admission policy + issuer gates control set composition. PoIA enforces; admission is external and auditable. Invalid commitments cannot pass ZK membership check.Política de admisión + puertas de emisor controlan la composición del conjunto. Compromisos inválidos no pasan la verificación ZK.准入策略 + 发行者门控制集合组成。无效承诺无法通过 ZK 成员资格检查。

B1 — DOUBLE ACTION

Same action attempted twiceMisma acción intentada dos veces同一操作尝试两次

Mitigated:Mitigado:缓解： Nullifier uniqueness enforced in ZK circuit + spent set check. Mathematically impossible to replay. No policy override. No exception path. No admin bypass.Unicidad del nullifier en circuito ZK. Imposible de repetir matemáticamente. Sin anulación de política ni camino de excepción.ZK 电路中强制 nullifier 唯一性 + 已花费集合检查。数学上不可能重放。无策略覆盖，无例外路径。

B3 — DEANONYMIZATION

Linking actions to identityVinculación acción-identidad将行动与身份关联

Mitigated:Mitigado:缓解： Domain-separated nullifiers per action_id. Different actions produce cryptographically unlinkable nullifiers from the same identity secret s.Nullifiers separados por dominio. Diferentes acciones producen nullifiers no vinculables del mismo secreto s.每个 action_id 的域分离 nullifier。不同操作从同一身份秘密 s 产生不可关联的 nullifier。

D1 — PROOF SUBSTITUTION

Swapping ZK proof artifactsSustitución de artefactos ZK替换 ZK 证明工件

Mitigated:Mitigado:缓解： envelope_ref commits all paths via CAS. Verifier recomputes sha256(file) on every verification — any mismatch is fail-closed. No fallback, no exception.envelope_ref compromete todas las rutas vía CAS. El verificador rechaza cualquier discrepancia. Sin excepción.envelope_ref 通过 CAS 提交所有路径。验证器每次都重新计算 sha256(file)——任何不匹配均失败关闭。无回退。

07 Build Status Estado 构建状态

Built, not just planned. Construido, no solo planeado. 已构建，而非仅仅计划。

TrustOS — OperationalOperacional已运行

CAS storage, fail-closed verifier, append-only verified log, sentinel monitoring. 3-server production architecture live.Almacenamiento CAS, verificador fail-closed, log verificado de solo adición, monitoreo centinela. Arquitectura de producción de 3 servidores activa.CAS 存储、失败关闭验证器、仅追加可验证日志、哨兵监控。3 服务器生产架构运行中。

KoBaDNA / PoIA — LiveEn producción已上线

ActionProof + IdentityMembershipProof circuits complete. Polynomial commitment accumulator integrated. STARK prover end-to-end pipeline operational.Circuitos ActionProof + IdentityMembershipProof completados. Acumulador polinomial integrado. Pipeline STARK operacional.ActionProof + IdentityMembershipProof 电路完成。多项式承诺累加器集成。STARK 证明器端到端流水线运行中。

Post-Quantum — Running todayPost-Cuántico — Activo hoy后量子 — 今日运行

Ed25519 + ML-DSA-65 hybrid signatures (NIST FIPS 204). Not a roadmap item — production default since day one.Firmas híbridas Ed25519 + ML-DSA-65 (NIST FIPS 204). No es un elemento de hoja de ruta — es el predeterminado en producción.Ed25519 + ML-DSA-65 混合签名（NIST FIPS 204）。不是路线图项目——从第一天起就是生产默认值。

3 Patent Applications Filed3 Solicitudes de Patente Presentadas3 项专利申请已提交

KoBaDNA protocol (Dec 2025), PoIA mechanism (Feb 2026), KoBaMind governance engine (Dec 2025). Provisional applications covering core primitives.Protocolo KoBaDNA (Dic 2025), mecanismo PoIA (Feb 2026), KoBaMind (Dic 2025). Solicitudes provisionales para primitivos core.KoBaDNA 协议（2025年12月）、PoIA 机制（2026年2月）、KoBaMind 治理引擎（2025年12月）。

Protocol Spec v0.1 — Open for reviewSpec del Protocolo v0.1 — Abierto para revisión协议规范 v0.1 — 开放审查

JSON schemas, public_inputs specification, verifier algorithm, formal threat model. Available for technical due diligence.Esquemas JSON, especificación public_inputs, algoritmo verificador, modelo de amenaza formal. Disponible para due diligence técnico.JSON 模式、public_inputs 规范、验证器算法、正式威胁模型。开放技术尽职调查。

Integration Partners — SeekingSocios de Integración — Buscando集成合作伙伴 — 寻求中

AI agent frameworks, enterprise compliance teams, DAOs, L2s. Early partners get direct protocol access and co-design input on the SDK.Frameworks de agentes IA, equipos de compliance empresarial, DAOs, L2s. Socios tempranos obtienen acceso directo al protocolo.AI 代理框架、企业合规团队、DAO、L2。早期合作伙伴获得直接协议访问和 SDK 共同设计输入。

Did a realhumanauthorize this? ¿Un humanoreal autorizó esto? 真正的人类授权了这个操作吗？

Authentication was solved.Agency was never built. La autenticación está resuelta.La agencia nunca fue construida. 身份验证已解决。行为授权从未被构建。