LBE – 面向AI代理的開源執行控制層

LBE（Letterblack Sentinel）是一個開源的執行控制層，專為AI代理設計，充當代理提議與系統實際執行之間的策略門。它不需要雲服務或守護進程，每個動作——無論是文件寫入、shell命令還是其他操作——都在本地經過完整驗證後才執行。該工具已在生產環境中使用，作為Letterblack for After Effects的安全引擎，確保每個AI生成的腳本和自動化命令在觸及實際項目前都經過策略檢查。

安裝與快速開始

LBE提供兩個npm包以適應不同需求：@letterblack/lbe-exec 是一個完整控制器，自動處理文件寫入和shell命令；@letterblack/lbe-sdk 則僅提供允許/拒絕決策，由開發者自行執行動作。安裝命令為 npm install @letterblack/lbe-sdk，要求Node.js ≥ 20.9.0。快速開始示例展示瞭如何使用 execute 函數發送請求並獲取決策，請求包含版本、請求ID、時間戳、代理身份、意圖、上下文、約束和認證等字段。

策略門工作方式

LBE採用七門流水線處理每個請求：模式驗證、時間戳檢查（±10分鐘窗口）、密鑰生命週期驗證、Ed25519簽名驗證、速率限制、一次性nonce重放保護，最後是策略授權（拒絕優先）。任何一門失敗都會返回結構化拒絕，且後續門不再評估。所有決策由WASM運行時執行，主機僅接收決策並據此行動，運行時內部不執行任何操作。

批准與阻止流程

當請求被批准時，代理生成簽名的動作提案，本地密鑰確認身份（無需網絡調用），項目策略評估通過後，主機在允許的工作區內執行寫入或命令，審計鏈擴展（每個批准動作追加哈希鏈接條目到本地日誌，不可篡改）。當請求被阻止時，策略門立即關閉，WASM運行時標記拒絕，shell和文件系統保持不變，拒絕被寫入不可篡改的審計日誌。

威脅覆蓋

LBE覆蓋多種威脅：格式錯誤或不完整的請求（模式門）、陳舊或重放請求（時間戳+nonce）、篡改或過期密鑰（密鑰生命週期+簽名）、來自同一代理的過多請求（速率限制）、項目策略不允許的動作（策略門——拒絕優先）、代理寫入項目根目錄之外（主機範圍檢查）。

文件清單與限制

發佈包中包含 dist/index.js（WASM運行時加載器和execute函數）、dist/cli.js（本地CLI）、dist/lbe_engine.wasm（驗證的運行時二進制）、dist/wasm.lock.json（運行時完整性鎖）以及多個序列圖和邊界圖。加載時運行時驗證wasm二進制與鎖文件的一致性。限制包括：不提供內核級進程隔離、網絡出口控制、多租户分離或託管控制平面。對於內置文件操作、shell和策略管理的進程內控制器，請參見 @letterblack/lbe-exec。