LBE – 面向AI代理的开源执行控制层

LBE（Letterblack Sentinel）是一个开源的执行控制层，专为AI代理设计，充当代理提议与系统实际执行之间的策略门。它不需要云服务或守护进程，每个动作——无论是文件写入、shell命令还是其他操作——都在本地经过完整验证后才执行。该工具已在生产环境中使用，作为Letterblack for After Effects的安全引擎，确保每个AI生成的脚本和自动化命令在触及实际项目前都经过策略检查。

安装与快速开始

LBE提供两个npm包以适应不同需求：@letterblack/lbe-exec 是一个完整控制器，自动处理文件写入和shell命令；@letterblack/lbe-sdk 则仅提供允许/拒绝决策，由开发者自行执行动作。安装命令为 npm install @letterblack/lbe-sdk，要求Node.js ≥ 20.9.0。快速开始示例展示了如何使用 execute 函数发送请求并获取决策，请求包含版本、请求ID、时间戳、代理身份、意图、上下文、约束和认证等字段。

策略门工作方式

LBE采用七门流水线处理每个请求：模式验证、时间戳检查（±10分钟窗口）、密钥生命周期验证、Ed25519签名验证、速率限制、一次性nonce重放保护，最后是策略授权（拒绝优先）。任何一门失败都会返回结构化拒绝，且后续门不再评估。所有决策由WASM运行时执行，主机仅接收决策并据此行动，运行时内部不执行任何操作。

批准与阻止流程

当请求被批准时，代理生成签名的动作提案，本地密钥确认身份（无需网络调用），项目策略评估通过后，主机在允许的工作区内执行写入或命令，审计链扩展（每个批准动作追加哈希链接条目到本地日志，不可篡改）。当请求被阻止时，策略门立即关闭，WASM运行时标记拒绝，shell和文件系统保持不变，拒绝被写入不可篡改的审计日志。

威胁覆盖

LBE覆盖多种威胁：格式错误或不完整的请求（模式门）、陈旧或重放请求（时间戳+nonce）、篡改或过期密钥（密钥生命周期+签名）、来自同一代理的过多请求（速率限制）、项目策略不允许的动作（策略门——拒绝优先）、代理写入项目根目录之外（主机范围检查）。

文件清单与限制

发布包中包含 dist/index.js（WASM运行时加载器和execute函数）、dist/cli.js（本地CLI）、dist/lbe_engine.wasm（验证的运行时二进制）、dist/wasm.lock.json（运行时完整性锁）以及多个序列图和边界图。加载时运行时验证wasm二进制与锁文件的一致性。限制包括：不提供内核级进程隔离、网络出口控制、多租户分离或托管控制平面。对于内置文件操作、shell和策略管理的进程内控制器，请参见 @letterblack/lbe-exec。