Pasaporte de agente

Un certificado de seguridad firmado criptográficamente por agente — postura de seguridad en tiempo real, estado de cumplimiento y permisos de herramientas en una URL compartible.

¿Qué es un Pasaporte de agente?

Cada agente supervisado por ShieldAgent recibe un Pasaporte de agente — un documento en vivo y firmado que describe la postura de seguridad del agente. Incluye la puntuación de riesgo actual y el nivel, las herramientas que el agente tiene permitidas y bloqueadas, la cobertura del marco de cumplimiento y un historial completo de bloqueos y eventos.

Los pasaportes se emiten automáticamente en minutos tras la primera actividad del proxy. No se requiere configuración.

Niveles de visibilidad

Cada pasaporte tiene uno de tres niveles de visibilidad:

Nivel	Quién puede verlo	Caso de uso
Privado	Nadie fuera de tu equipo	Por defecto — mientras configuras o revisas
Interno	Cualquier usuario autenticado en tu inquilino	Revisión del CISO y el equipo de seguridad antes de aprobar el agente
Público	Cualquiera con la URL	Compartir con clientes, socios, reguladores; insertar insignias

Solo los roles security_manager, tenant_admin y platform_admin pueden publicar un pasaporte públicamente. Cualquier administrador puede publicarlo internamente.

Revisión de seguridad interna

El caso de uso más común para los pasaportes internos es la revisión de seguridad previa al despliegue. Antes de que un agente entre en producción, el CISO o el equipo de seguridad revisa la URL del pasaporte interno. Muestra exactamente qué tiene permitido hacer el agente, qué ha bloqueado ShieldAgent, la puntuación de riesgo actual y la cobertura de cumplimiento — sin requerir acceso al sistema.

01El agente se despliega detrás del proxy de ShieldAgent

02El pasaporte se genera automáticamente y se establece como Privado

03El gestor de seguridad publica el pasaporte como Interno

04El CISO revisa la URL del pasaporte interno

05Agente aprobado → publicar opcionalmente como Público

Obtener un pasaporte

Los pasaportes públicos son accesibles sin autenticación:

bash

curl https://passport.shieldagent.io/pa_9c3f2a

Respuesta (resumida)

json

{
  "id": "pa_9c3f2a",
  "agentName": "Apex Procurement Agent",
  "organization": "Meridian Financial Group",
  "riskScore": 18,
  "tier": "normal",
  "visibility": "public",
  "toolsAllowed": ["erp.vendor.read", "erp.po.create_draft", ...],
  "toolsBlocked": ["erp.vendor.write", "erp.payment.approve", ...],
  "frameworks": [
    { "name": "SOC 2 Type II", "status": "compliant" },
    { "name": "ISO 27001", "status": "compliant" },
    { "name": "GDPR Article 25", "status": "partial" }
  ],
  "verificationId": "shld_v1_9c3f2a_0419T142233Z",
  "publicKeyFingerprint": "SHA256:zR9Fx2K4mQpLvJ3eNdWhUcBiYsOgAT8EH6KRl5X1P0=",
  "certExpires": "2026-10-21",
  "lastVerified": "2026-04-21T14:22:33Z"
}

Verificación criptográfica

Los pasaportes están firmados con Ed25519. Cualquiera puede verificar un pasaporte de forma independiente sin confiar en los servidores de ShieldAgent — útil para auditores, socios y comprobaciones de cumplimiento automatizadas.

bash

# Download the public key
curl https://passport.shieldagent.io/public-key > shieldagent.pub

# Verify a passport
curl https://passport.shieldagent.io/pa_9c3f2a > passport.json
shieldagent verify --passport passport.json --key shieldagent.pub

El ID de verificación (verificationId) y la huella de la clave pública se incluyen en cada respuesta del pasaporte. El SDK gestiona la verificación automáticamente.

Insignias integrables

Integra una insignia de confianza en vivo en cualquier página HTML, README de GitHub o sitio de documentación. La insignia SVG refleja el nivel de certificación actual y enlaza al pasaporte público completo.

html

<!-- Basic embed -->
<img
  src="https://shieldagent.io/badge/pa_9c3f2a.svg"
  alt="ShieldAgent Certified"
/>

<!-- With link to passport -->
<a href="https://passport.shieldagent.io/pa_9c3f2a">
  <img
    src="https://shieldagent.io/badge/pa_9c3f2a.svg"
    alt="ShieldAgent Certified — view passport"
  />
</a>

Formato de URL de la insignia

https://shieldagent.io/badge/{passportId}.svg

La insignia se actualiza automáticamente cuando cambia el nivel de riesgo. No se aplica caché CDN — la respuesta siempre está actualizada.

Publicación mediante API

bash

# Publish internally (security team review)
curl -X POST https://api.shieldagent.io/passports/pa_9c3f2a/publish \
  -H 'Authorization: Bearer <admin-key>' \
  -H 'Content-Type: application/json' \
  -d '{ "visibility": "internal" }'

# Publish publicly (requires security_manager or higher)
curl -X POST https://api.shieldagent.io/passports/pa_9c3f2a/publish \
  -H 'Authorization: Bearer <security-manager-key>' \
  -H 'Content-Type: application/json' \
  -d '{ "visibility": "public" }'

Relacionado

Modelo de puntuación de riesgo →Cómo se calcula la puntuación de 0 a 100
Integración de agentes →Registra agentes y configura vinculaciones MCP
Marcos de cumplimiento →Cobertura de SOC 2, ISO 27001 y GDPR en los pasaportes