Brightbeam AI 发布 CHAP 协议,人机协作进入结构化时代

现在的 AI已经自行规划步骤、调用工具，和其他 agent 协作，甚至开始主动向人类确认风险、请求审批、提交草稿。这意味着一个新的发展阶段正在到来，我们可以把它叫做人机协作时代。

当AI 不再只是输出一段文本，而是参与一个完整的责任链条。它需要知道谁让它做事，它做了什么，它为什么这么做，它什么时候需要人类介入，人类又是如何修改它的结果的。这些信息不仅对业务流程重要，对审计、合规、风控、责任界定同样重要。

这也是为什么企业级 AI 不能只靠“更强的模型”。模型再强，也无法替代“协作协议”。因为企业不是在玩prompt 游戏，而是在运行真实的业务。业务需要规则，需要边界，需要证据，需要可追责的流程。模型可以生成内容，但模型无法定义协作关系。模型可以给出答案，但模型无法解释责任链条。

于是 CHAP 出现了。它不是一个模型，也不是一个工具，而是 AI 生态里缺失的一层。它补上了“人类和 AI 如何一起完成可审计的工作”这个空白。

在整个 AI 协议栈里，MCP 负责工具调用，A2A负责 agent 互操作，Workflow 负责调度，而 CHAP 则负责协作语法。它定义了任务如何被分配，草稿如何被修改，审核如何被记录，交接如何被追踪，证据如何被保存。它让人类和 AI 在同一个“协作空间”里工作，而不是在一堆散乱的 UI、日志和聊天记录里拼凑真相。

这项研究来自 Brightbeam AI 的三位核心成员。他们不是在做模型，而是在做“AI 协作基础设施”。项目地址也已经公开，任何人都可以去看参考实现和规范文档。（https://github.com/BrightbeamAI/chap）

01 为什么需要CHAP协议？

如果说过去的 AI 是“助手”，那现在的 AI 正在变成“操作型智能体”。它不再只是回答问题，而是参与业务流程。它会处理工单，会写邮件，会生成合同，会做 triage，会跑分析，会给出建议。它甚至会主动请求人类确认风险，或者在遇到权限边界时自动升级。

图1：主体系统演化中的三波。第一波以孤立的对话助理为中心。Wave II增加了计划、内存、工具使用和早期多代理编排。第三波以共享的人工代理工作区为中心，在这里，人类、代理和服务在明确的政策和共享审计下进行协作。

当 AI 变成“参与者”，问题就变了。我们不再关心它能不能写一段好看的文案，而是关心它在整个流程里扮演什么角色。谁让它做事。它用了哪些证据。它的草稿被谁修改了。为什么修改。它什么时候需要人工介入。它什么时候应该拒绝决策。它什么时候应该升级。

这些问题不是 UI 问题，而是协作问题。它们必须被记录，必须被结构化，必须能被重放。否则企业根本无法在真实业务里放心使用 AI。

然而现有的协议都只解决了局部问题。MCP 让 agent 能调用工具。A2A让 agent 能互相通信。OIDC 解决身份。SCITT 解决透明日志。Workflow 解决调度和重试。但没有任何协议定义“人类和 AI 如何一起完成一项可追责的任务”。

图2：代理协议栈。MCP处理代理到工具和代理到资源的访问；A2A处理代理间的互操作性；chap负责处理共享的人类代理工作区及其证据线索。身份、策略、工作流和透明度系统插入到这个堆栈中，而不是被它取代。

缺少协作语法层。缺少可重放证据链。缺少结构化的 override。缺少明确的 abstain 和 escalate。缺少模式管理。缺少跨系统的协作边界。

于是研究总结了九大核心需求。需要一个共享的工作空间。需要一个结构化的任务生命周期。需要结构化的人类审核。需要结构化的 override。需要明确的拒绝和升级。需要 shadow、trial、production 的模式管理。需要可组合的扩展。需要可移植的证据链。需要渐进式采用。

同时 CHAP 也明确自己不做什么。它不定义证据语义，不定义时间模型，不定义置信度校准，不定义监管标准，不定义复杂语义图谱。它保持协议的“窄而稳”，把复杂性留给上层应用和profile。

这是一种非常工程化的协议哲学。它只定义最小必要的协作语法，把所有领域差异都留给扩展层。它不试图成为“通用协作语言”，而是成为“可组合的协作基础设施”。

02 CHAP概览：Core + Profiles的协议哲学

CHAP 的设计非常干净。它把整个协议分成两层。最小核心负责定义协作的基本结构。可组合扩展负责定义协作的高级语义。

图3：章采用模型。核心本身是有用的。当工作空间需要额外的协作、身份、控制、安全或审计功能时，配置文件会被分层。

核心层只有六个概念。工作空间是协作边界。参与者是人类、agent、服务、群组或桥接实体。任务是协作的基本单位。工件是草稿、证据、决策、diff等内容载体。证据链是追加式日志。信封是消息的结构化包装。

这些概念构成了一个“可审计的协作空间”。它们不关心业务逻辑，也不关心模型能力。它们只关心协作语义。

扩展层则是 CHAP 的灵魂。它包含各种 profile。Review 定义审核流程。Override 定义结构化修改。Modes 定义运行模式。Routing 定义任务分发。Whisper 定义轻量级询问。Handoff 定义交接。Deliberation 定义多人决策。Identity 定义身份绑定。Signing 定义签名。Audit-SCITT 定义透明日志锚定。

这些 profile 可以按需启用。一个简单的内部工具可以只用 Core。一个受监管的医疗系统可以启用 Review、Override、Identity、Signing、Audit-SCITT。一个跨组织协作的供应链系统可以启用 Routing、Bridge Participants、Federated Deployment。

CHAP 的哲学很明确。核心保持稳定。扩展保持灵活。协作语义可组合。证据链可移植。部署方式可渐进。

这就是 CHAP 的魅力。它不是一个“巨无霸协议”，而是一个“可组合的协作语法层”。它让人类和 AI 在同一个结构化空间里协作，而不是在一堆散乱的系统里拼凑真相。

03 协议架构：CHAP的协作语法层

当我们谈 CHAP 的协议架构时，其实是在谈一套“人机协作的语法”。它不是一个框架，也不是一个 workflow 引擎，更不是一个聊天协议。它更像是一间“结构化的会议室”。所有人类、所有智能体、所有服务，都必须在这间会议室里按照统一的规则说话、做事、留痕、交接、审计。

这套架构的核心思想很简单。让协作变得可见。让责任变得可追。让证据变得可重放。让每一个动作都能被解释，而不是消失在 UI、日志或聊天记录里。

图4：章基元之间的概念关系。工作区包含参与者、活动配置文件、策略引用、操作模式和任务流。任务产生人工制品。接受的信封将成为证据条目。该图是从与参考实现文档相同的Mermaid源代码生成的。

Workspace是协作边界

很多人第一次看到 Workspace 会误以为它是一个聊天房间。其实完全不是。它也不是 workflow engine 的替代品。它更像是一个“可审计的协作空间”。所有任务、所有 artefacts、所有参与者、所有证据，都必须在这个空间里被定义、被记录、被广播。

你可以把 Workspace 想象成一个“责任容器”。只要进入这个容器，所有行为都必须留下结构化的痕迹。它是协作的边界，也是审计的边界。

Participants是参与者模型

在 CHAP 的世界里，参与者不只是人类。智能体也是参与者。服务也是参与者。群组也是参与者。甚至跨系统的桥接实体也可以成为参与者。

人类负责判断。智能体负责执行。服务负责提供能力。群组负责权限和角色。桥接实体负责跨系统协作。

CHAP 不关心参与者的“智能程度”。它只关心参与者的“责任属性”。只要进入 Workspace，就必须被记录、被识别、被约束。

Coordinator是协议执行者

Coordinator 是整个协议的心脏。它负责接收 envelope，负责验证消息是否合法，负责把事件写入 evidence log，负责把事件广播给所有参与者。

它不做业务逻辑。它不做模型推理。它不做工具调用。它只做一件事。保证协作语法被严格执行。

你可以把它理解为“协作层的数据库 + 调度器 + 审计官”。它是整个系统的秩序来源。

Envelope是消息结构

CHAP 的消息结构非常干净。它借鉴了 JSON-RPC 的风格，但又加入了协作语义。每条消息都有 method 和 params。每条消息都有 logical_id。每条消息可以带 citations。每条消息可以带 signatures。

Envelope 是协作事件的载体。它不是聊天消息。它不是日志。它是“可验证的协作动作”。

Task Lifecycle是任务生命周期

CHAP 定义了一条非常清晰的任务生命周期。任务从 created 到 assigned，再到 accepted，再到 in_progress，再到 review，再到 decide，最后到 completed。

如果任务被替换，就进入 supersession。如果任务被取消，就进入 cancellation。

这条生命周期不是 UI 的产物，而是协议的产物。它让每一个任务的状态都变得可追踪、可解释、可审计。

图5：简化的chap任务生命周期。核心转换捕捉了负责任工作的基本动作。配置文件添加了专门的转换，如审查请求、审议和模式推广，而不改变证据日志的作用。每一个被接受的转变都成为一个证据条目。

Artefacts是内容载体

在 CHAP 里，所有内容都必须以 artefact 的形式存在。草稿是 artefact。证据是 artefact。override 是 artefact。decision是 artefact。snapshot 是 artefact。supersession 也是 artefact。

Artefact 是协作内容的“原子单位”。它们可以被引用，可以被supersede，可以被 diff，可以被审计。

Evidence Chain是证据链

CHAP 最重要的设计之一就是 evidence chain。它是一个 append-only 的结构。它可以重放。它可以验证。它可以锚定到 SCITT。

它的意义非常重大。它让协作变成“可重建的历史”。它让每一个override、每一次审核、每一次升级，都变成可验证的证据。

在企业级 AI 治理里，这就是黄金。

04 方法面与Profile目录

CHAP 的方法面是整个协议的“动作列表”。Core methods 定义最基本的协作动作。Profiles 则定义高级协作语义。

Core methods是基础动作

workspace.create，task.create，task.assign， task.progress， task.complete。

这些动作构成了协作的最小闭环。

Profiles是高级协作语义

review.request， decide.approve， decide.reject， decide.override， decide.abstain， decide.escalate， whisper.ask ，handoff.request ，deliberation.vote。

这些动作让协作变得真实。它们让人类可以审核，让智能体可以请求帮助，让任务可以升级，让多人可以投票，让交接可以结构化。

Review和Override是协作的灵魂

结构化、diff、rationale、 tags、 intent_preserved。

这些字段让 override 不再是“改了就改了”，而是变成“可解释的修改”。它们让人类的判断变成可学习的信号。

Modes是运行模式

shadow、 trial、 production。

它们让智能体的上线过程变得可控。

Routing是任务分发逻辑

risk、 tier、 confidence、 deadline、 cost。

它们让任务分配变得智能。

Whisper是轻量级询问

轻量级询问，带默认值，带时限。

它让智能体在不打断流程的情况下向人类求助。

Handoff和Deliberation是协作的高级形态

shift、 handoff、多人， deliberation， weighted vote，

它们让协作变成真正的“团队行为”。

Control是流程控制

pause、 resume 、cancel、 rollback。

它们让协作变得可控、可暂停、可恢复。

05 运行语义与算法

当我们说 CHAP 是一个“协作协议”，它并不是只定义一些字段和方法。它真正的价值在于运行语义。也就是说，当一条消息进入系统时，系统到底怎么判断它是否合法，怎么决定它的命运，怎么把它写进证据链，怎么触发后续动作。这些逻辑不是 UI 的产物，而是协议本身的产物。

CHAP 的运行语义像一套“协作物理定律”。它规定了协作事件如何被接受，如何被解释，如何被升级，如何被审计。它让整个协作空间变得可预测、可验证、可治理。

图6：模式升级阶梯。代理在影子中启动：其输出被记录但从未交付。在试验中，可以交付输出，但每个结果都会经过审查。在生产环境中，工作空间策略决定哪些内容需要审查，哪些内容不需要审查。促销由运营商从链中收集的证据决定：协议率、覆盖率、弃权率、延迟、成本。

Envelope acceptance

当一条 envelope 被送进 Workspace 时，它不会被盲目接受。Coordinator 会先检查它的结构是否正确，会检查参与者是否有权限，会检查任务状态是否允许这个动作，会检查 artefact 是否引用了合法的前序内容。

只有当所有条件都满足时，这条 envelope 才会被写入 evidence log。否则它会被拒绝。拒绝不是失败，而是治理的一部分。它确保协作空间不会被非法动作污染。

你可以把它想象成“协作层的防火墙”。所有动作都必须通过它的验证。

Review depth decision

当一个任务进入 review 阶段时，系统需要决定到底要审到什么程度。有些任务风险很低，可以自动通过。有些任务风险很高，需要多人审核。有些任务需要抽检。有些任务需要强制人工确认。

CHAP 不规定具体策略，但它规定了决策的语义。它让系统可以根据风险、置信度、历史 override 率、任务类型等因素动态决定审核深度。

这就像是“协作层的自适应审计”。它让审核变得智能，而不是僵硬。

Mode promotion

智能体的上线过程不应该是“一刀切”。它应该是一个循序渐进的过程。先在 shadow 模式里观察，再在 trial 模式里强制审核，最后在 production 模式里放开权限。

CHAP 定义了模式的语义，也定义了模式切换的证据基础。系统可以根据 override 率、错误率、延迟、成本、升级频率等指标自动决定是否提升模式。

这就像是“智能体的驾驶执照”。只有通过足够的证据验证，它才能从实习期进入正式期。

Override analytics

Override 是 CHAP 最重要的信号之一。它不仅是人类修改智能体输出的动作，也是智能体学习、策略优化、风险识别的关键数据。

CHAP 让 override 变成结构化 artefact。它包含 diff、理由、标签、意图是否保持。这些信息可以被分析，可以被聚合，可以被用于模型训练，可以被用于策略优化。

Override analytics 就像是“协作层的黑匣子分析”。它告诉我们智能体在哪些地方容易犯错，哪些地方需要更多训练，哪些地方需要调整策略。

06 安全、信任与合规

CHAP 的设计从一开始就不是为了玩具项目，而是为了企业级、受监管、跨组织的协作场景。它必须面对安全、信任、合规、审计、隐私等一系列严肃问题。

它的安全模型不是附加功能，而是协议的核心组成部分。

Threat model

CHAP 假设系统可能遭遇重放攻击、消息篡改、身份伪造、证据链分叉、密钥泄露、恶意参与者等威胁。

它的设计目标不是“避免所有风险”，而是“让风险可检测、可追踪、可恢复”。它通过签名、链式哈希、身份绑定、透明日志等机制构建防御。

这是一种工程化的安全观。不是绝对安全，而是可验证安全。

Signing和canonicalisation

为了确保 envelope 不被篡改，CHAP 支持签名。为了确保签名可验证，它要求 canonicalisation。也就是说，消息必须有一个唯一的、可重建的标准形式。

这让签名变得可靠，也让证据链变得可信。

Identity binding

CHAP 不自己做身份认证，但它允许绑定外部身份系统。OIDC、VC、企业内部身份系统都可以接入。

这让参与者的身份变得可验证，也让责任链条变得可追。

Audit和transparency

CHAP 支持把证据链锚定到透明日志，比如 SCITT。这样即使内部系统被攻破，证据链也无法被悄悄篡改。

这让协作历史变成“不可抵赖的事实”。

Privacy和retention

CHAP 不强制保存所有内容。它允许 redaction、允许 retention policy、允许敏感内容脱敏。

它的目标不是“保存一切”，而是“保存必要的证据”。

Regulated AI governance

CHAP 不声称自己符合任何监管标准，但它提供了构建合规系统所需的基础设施。无论是欧盟 AI Act、NIST RMF、GMP Annex 11、SOX-404，还是金融、医疗、保险的行业规范，都可以在 CHAP 之上构建。

CHAP 是治理层的底座，而不是治理层本身。

07 符合性与评估

CHAP 不是一个随便写写的协议。它有自己的符合性模型，也有自己的评估方法。

Conformance levels

CHAP 定义了不同的符合性等级。最小实现只需要支持 Core。推荐实现需要支持常用 profiles。完全实现需要支持签名、身份、透明日志等高级功能。

这让不同规模的系统都能渐进式采用 CHAP。

What to evaluate

评估 CHAP 实现时，重点不是 UI，而是协议语义。需要评估 envelope 是否正确处理，任务生命周期是否严格执行，证据链是否可重放，override是否结构化，模式切换是否基于证据。

这是一种“协议级评估”，而不是“产品级评估”。

08 实现指南

当我们谈 CHAP 的实现，其实是在谈一件很现实的事。协议再优雅，如果落不了地，那就是纸上谈兵。CHAP的研究团队显然深知这一点，所以在规范里专门写了一整节“实现指南”。这部分不像学术研究，更像是工程团队写给工程团队的“落地手册”。它告诉你现在能做什么，应该怎么做，应该从哪里开始，应该避开什么坑。

当前 v0.2 状态

CHAP 目前还是 v0.2。它不是玩具，但也不是完全成熟的标准。它已经有一个可用的参考实现，有一个可跑的协调器，有一个初步的测试套件，有一套基本稳定的 Core 结构。但 Profile 还在演进，互操作性测试还不够全面，生态还在成长。

换句话说，它已经能跑，但还没到“行业标准”的阶段。它更像是一个“可用的草案”，适合早期 adopters，也适合企业内部试点。

Minimal implementation path

如果你想快速上手 CHAP，研究团队给了一条“最小实现路径”。这条路径非常务实。它告诉你不要一上来就搞签名、搞透明日志、搞跨组织协作。你只需要实现Workspace、Task、Artefact、Envelope、Evidence Log 这五件事。你只需要让任务能创建、能分配、能推进、能完成。你只需要让 evidence log 能追加、能重放。

这就是 CHAP 的“最小可用集”。它让你在不引入复杂性的情况下体验 CHAP 的核心价值。

Recommended adoption path

如果你想更进一步，研究团队也给了一条“推荐采用路径”。这条路径更像是“企业级落地路线图”。它建议你先实现 Review，再实现Override，再实现 Modes，再实现 Routing，再实现 Identity 和 Signing，最后再接入 SCITT。

这是一条从轻到重、从简单到复杂、从内部到跨组织的路线。它让你可以渐进式地把 CHAP 引入真实业务，而不是一口吃成胖子。

Storage choices

CHAP 不规定你用什么数据库。你可以用 Postgres，可以用 Mongo，可以用 SQLite，可以用对象存储。关键是 evidence log 必须是 append-only，必须能重放，必须能验证。

这意味着你需要一个能保证顺序、能保证不可篡改、能保证可恢复的存储方案。你可以用数据库事务，也可以用事件存储，也可以用透明日志。

CHAP 给你自由，但也给你边界。

Transport choices

CHAP 也不规定你用什么传输协议。你可以用 HTTP，可以用 WebSocket，可以用 NATS，可以用 Kafka。只要你能传 envelope，只要你能广播事件，只要你能保证顺序和一致性。

这让 CHAP 能适配各种架构。无论你是单体、微服务、事件流，还是跨组织协作，都能找到合适的传输方式。

Playground

研究团队还提供了一个 Playground。它不是 demo，而是一个“可交互的协议实验室”。你可以在里面创建Workspace，可以创建任务，可以发 envelope，可以看 evidence log，可以体验 Profile。

它是学习 CHAP 的最佳入口，也是调试实现的最佳工具。

09 部署模式

CHAP 的部署方式非常灵活。它不是一个“必须集中式”的协议，也不是一个“必须去中心化”的协议。它更像是一个“可按需组合的协作层”。研究团队给出了四种典型部署模式，每一种都对应不同的业务场景。

图7：四种部署拓扑。协调器中介拓扑是默认拓扑。点对点是可能的，但更难确保和一致审计。联盟通过桥梁参与者和A2A将当地工作区联系起来。本地监管部署将协调器、证据存储、对象存储和策略引擎保持在受控环境中，并可选择外部SCITT锚定以提高透明度。

Coordinator-mediated

这是最常见的部署方式。所有参与者都通过一个 Coordinator 协作。Coordinator 负责验证、记录、广播、调度。它是协作的中心，也是证据的中心。

这种模式适合企业内部系统，适合单组织协作，适合需要强治理的场景。

Peer-to-peer

在某些场景里，参与者不想依赖中心化 Coordinator。比如跨组织协作，比如隐私敏感场景，比如高自治场景。CHAP 支持 peer-to-peer 模式。每个参与者都可以验证 envelope，都可以维护自己的 evidence log，都可以同步事件。

这种模式更像是“协作层的 Git”。它适合松散耦合的生态。

Federated

在跨组织协作里，完全中心化和完全去中心化都不太现实。于是 CHAP 提供了 federated 模式。每个组织有自己的 Coordinator，各 Coordinator 之间通过桥接参与者同步事件。

这就像是“协作层的联邦制”。它让跨组织协作变得可控、可治理、可审计。

On-prem regulated

在医疗、金融、政府等受监管行业，系统必须部署在本地，必须满足严格的审计要求，必须保证数据不出域。CHAP 支持 on-prem 模式。它可以和本地身份系统、本地审计系统、本地透明日志集成。

这让 CHAP 能进入最严肃的行业。

CHAP 不是孤立存在的。它和 MCP、A2A、OIDC、SCITT、Workflow engines 构成了一个完整的 agent 协议栈。

MCP 负责工具调用。 A2A 负责 agent 互操作。OIDC 负责身份。 SCITT 负责透明日志。Workflow engines 负责调度。

CHAP 则负责协作语法。它是连接这些层的“胶水”。它不替代它们，而是和它们组合成一个完整的 agentic AI 基础设施。

10 典型用户旅程

CHAP 的研究里有一整章用户旅程。这些旅程不是虚构的，而是来自真实业务场景。它们展示了 CHAP 如何在不同场景里发挥作用。

最小 Core 流程

一个任务被创建，被分配，被执行，被完成。没有审核，没有 override，没有升级。它展示了 CHAP 的最小闭环。

Drafter–Reviewer

智能体写草稿，人类审核，人类修改，人类批准。它展示了 Review Profile 的价值。

Override作为学习数据

人类修改智能体输出，系统记录 diff、理由、标签。它展示了 override 如何成为模型训练和策略优化的信号。

Abstain和Escalate

智能体遇到风险，选择不决策，选择升级。它展示了责任边界的价值。

Whisper

智能体在执行中向人类发起轻量级询问。它展示了协作的流畅性。

Shift handoff

夜班交接给早班。任务状态、证据链、上下文全部结构化传递。它展示了协作的连续性。

Multi-human deliberation

多人投票，多人讨论，多人决策。它展示了协作的群体性。

MCP tool-using agent

智能体调用工具，工具输出变成 artefact，进入 evidence log。它展示了工具调用与协作语法的结合。

A2A bridge participant

跨系统协作，跨平台协作，跨组织协作。它展示了 CHAP 的生态潜力。

图8：加权投票审议。当提议的信用超过个人审核权限阈值时，协调员将开始审议。授权审查员进行加权投票。当配置的规则得到满足时，协调员将结束审议。结果变成了一个可以被下游信贷发放任务引用的人工制品。

11 CHAP的意义与未来

CHAP 不是完美的。它有局限，也有未来。

它需要更多互操作实现，它的 Profile 还在演进。它需要更强的行业适配，它需要更广泛的生态支持。

但这正是协议的生命力所在。它不是一成不变的标准，而是一个不断成长的生态。

CHAP 的意义非常清晰。它是人机协作时代的基础设施。它定义了责任链条，而不是模型能力。它让 AI 真正进入可治理的生产系统。它让企业能够放心地把 AI 放进真实业务。它让协作变得结构化、可审计、可重放、可验证。

如果说 MCP 是 agent 的“工具层”，A2A 是 agent 的“互操作层”，那么 CHAP 就是 agent 的“协作层”。它可能成为未来企业 AI 的 TCP/IP。它可能成为人类和智能体共同工作的基础协议。

它不是一个模型。它不是一个框架。它是一种新的“协作语言”。它让 AI 不再只是助手，而是成为真正的“工作伙伴”。（END）

参考资料：https://arxiv.org/pdf/2606.09751

亲爱的人工智能研究者，为了确保您不会错过*波动智能*的最新推送，请星标*波动智能*。我们倾心打造并精选每篇内容，只为为您带来启发和深思，希望能成为您理性思考路上的伙伴！

加入AI交流群请扫码加微信