核心用法
trust-velocity-calculator 是一款信任度动态评估工具,用于计算技能或代理的信任衰减速度。它结合"时间因子"与"变更速度乘数",输出可量化的信任速度评分(trust velocity score),并预测信任度跌破安全阈值的具体时间点。
关键计算维度
1. 时间衰减因子:基于最后验证日期,支持线性/指数/阶梯函数三种衰减曲线
2. 变更速度乘数:统计权限扩展、新端点、依赖升级、指令漂移等变更的频率
3. 波动窗口检测:对比当前更新率与历史基线,识别突发性高速度风险
4. 验证覆盖滞后:估算审计覆盖当前代码的比例,反映"未审计代码"占比
5. 综合评分与预测:输出当前信任分(0-100)、30/60/90天预测值、阈值突破警报
典型输出示例
- 当前信任度 43/100(已跌破 50 阈值 41 天)
- 变更速度为历史基线的 5.9 倍 → 高波动
- 审计覆盖当前代码仅 38%,62% 表面区域未经验证
- 紧急度分级:REVERIFY NOW / REVIEW SOON / MONITOR / CURRENT
显著优点
- 量化信任衰减:将"信任会随时间下降"的直觉转化为可计算公式
- 识别高隐蔽风险:老审计 + 高频变更的组合风险高于直觉判断
- 预测性警报:提前 23 天预警"信任将跌破 60%",支持主动干预
- 多维度归因:细分权限、端点、依赖、指令漂移四类变更影响
- 可配置风险参数:衰减曲线、阈值、权重均可按组织风险偏好调整
潜在局限
- 非实际危害指标:高分仅表示信任衰减快,不证明技能存在恶意
- 版本号误导风险:频繁无实质内容的小版本升级会虚高变更速度
- 覆盖估算近似性:假设代码行变化比例等同于表面区域变化比例
- 依赖外部输入:需准确的验证历史、版本变更日志、权限变更记录
- 参数校准负担:指数衰减常数、速度阈值等需根据环境实验调优
适合人群
- 平台运营方:管理大量第三方技能的信任生命周期
- 安全审计团队:确定重审优先级,优化有限审计资源的分配
- 企业技能采购决策者:评估引入技能的持续可信度
- DevSecOps 工程师:构建自动化信任监控流水线
常规风险
| 风险类型 | 说明 |
|---------|------|
| 误报疲劳 | 高变更速度的合法维护技能可能被过度标记 |
| 参数漂移 | 长期未更新衰减常数可能导致评估失准 |
| 输入数据污染 | 伪造的版本历史或审计日期会直接破坏输出可信度 |
| 阈值设置悖论 | 阈值过严导致频繁重审成本,过宽则遗漏风险 |