LBE – AIエージェント向けオープンソース実行制御層

LBE（Letterblack Sentinel）は、AIエージェント向けのオープンソース実行制御層です。エージェントの提案とシステムの実際の実行の間にポリシーゲートを配置し、ファイル書き込み、シェルコマンドなどのすべてのアクションをローカルで検証してから実行します。クラウドサービスやデーモンは不要で、本番環境ではLetterblack for After Effectsのセキュリティエンジンとして各AI生成スクリプトと自動化コマンドをプロジェクトに適用する前にチェックします。

インストールとクイックスタート

LBEは2つのnpmパッケージを提供します。@letterblack/lbe-execは完全なコントローラーでファイル書き込みとシェルコマンドを自動処理し、@letterblack/lbe-sdkは許可/拒否の決定のみを提供し、開発者が自分でアクションを実行します。インストールは npm install @letterblack/lbe-sdk で、Node.js ≥ 20.9.0が必要です。クイックスタート例では、execute関数を使用してリクエストを送信し、決定を取得する方法を示しています。リクエストにはバージョン、リクエストID、タイムスタンプ、エージェントID、インテント、コンテキスト、制約、認証などのフィールドが含まれます。

ポリシーゲートの仕組み

LBEは7ゲートのパイプラインで各リクエストを処理します。スキーマ検証、タイムスタンプチェック（±10分ウィンドウ）、鍵のライフサイクル検証、Ed25519署名検証、レート制限、ワンタイムnonceリプレイ保護、最後にポリシー認可（拒否優先）です。いずれかのゲートで失敗すると構造化された拒否が返され、以降のゲートは評価されません。すべての決定はWASMランタイムで行われ、ホストは決定を受信してそれに基づいてアクションを実行します。ランタイム内部では何も実行されません。

承認と拒否のフロー

リクエストが承認されると、エージェントは署名付きアクション提案を生成し、ローカル鍵で身元を確認（ネットワークコール不要）、プロジェクトポリシーを評価し、ホストが許可されたワークスペース内で書き込みやコマンドを実行し、監査チェーンが拡張されます（各承認アクションはハッシュリンクエントリとしてローカルログに追加され、永続的に検証可能で、削除不可）。拒否の場合、ポリシーゲートが即座に閉じ、WASMランタイムが拒否をスタンプし、シェルとファイルシステムは変更されず、拒否は不変の監査ログに書き込まれます。

対応する脅威

LBEは様々な脅威をカバーします。不正な形式のリクエスト（スキーマゲート）、古いまたはリプレイされたリクエスト（タイムスタンプ+ノンス）、改ざんまたは期限切れの鍵（鍵ライフサイクル+署名）、単一エージェントからの過剰リクエスト（レート制限）、プロジェクトポリシーで許可されていないアクション（ポリシーゲート、拒否優先）、エージェントがプロジェクトルート外に書き込み（ホストでのスコープチェック）などです。

ファイルリストと制限

配布パッケージには、dist/index.js（WASMランタイムローダーとexecute関数）、dist/cli.js（ローカルCLI）、dist/lbe_engine.wasm（検証済みランタイムバイナリ）、dist/wasm.lock.json（ランタイム完全性ロック）、および複数のシーケンス図と境界図が含まれます。ロード時にランタイムはwasmバイナリをロックファイルと照合して検証します。制限として、カーネルレベルのプロセス分離、ネットワーク出力制御、マルチテナント分離、ホスト型コントロールプレーンは提供しません。ファイル操作、シェル、ポリシー管理が組み込まれたプロセス内コントローラーについては、@letterblack/lbe-exec を参照してください。