LBE – 面向AI代理的開源執行控制層

LBE（Letterblack Sentinel）是一個開源的執行控制層，專為AI代理設計，充當代理提議與系統實際執行之間的策略門。它不需要雲服務或守護程序，每個動作——無論是檔案寫入、shell命令還是其他操作——都在本地經過完整驗證後才執行。該工具已在生產環境中使用，作為Letterblack for After Effects的安全引擎，確保每個AI生成的指令碼和自動化命令在觸及實際專案前都經過策略檢查。

安裝與快速開始

LBE提供兩個npm包以適應不同需求：@letterblack/lbe-exec 是一個完整控制器，自動處理檔案寫入和shell命令；@letterblack/lbe-sdk 則僅提供允許/拒絕決策，由開發者自行執行動作。安裝命令為 npm install @letterblack/lbe-sdk，要求Node.js ≥ 20.9.0。快速開始示例展示瞭如何使用 execute 函式傳送請求並獲取決策，請求包含版本、請求ID、時間戳、代理身份、意圖、上下文、約束和認證等欄位。

策略門工作方式

LBE採用七門流水線處理每個請求：模式驗證、時間戳檢查（±10分鐘視窗）、金鑰生命週期驗證、Ed25519簽名驗證、速率限制、一次性nonce重放保護，最後是策略授權（拒絕優先）。任何一門失敗都會返回結構化拒絕，且後續門不再評估。所有決策由WASM執行時執行，主機僅接收決策並據此行動，執行時內部不執行任何操作。

批准與阻止流程

當請求被批准時，代理生成簽名的動作提案，本地金鑰確認身份（無需網路呼叫），專案策略評估透過後，主機在允許的工作區內執行寫入或命令，審計鏈擴充套件（每個批准動作追加雜湊連結條目到本地日誌，不可篡改）。當請求被阻止時，策略門立即關閉，WASM執行時標記拒絕，shell和檔案系統保持不變，拒絕被寫入不可篡改的審計日誌。

威脅覆蓋

LBE覆蓋多種威脅：格式錯誤或不完整的請求（模式門）、陳舊或重放請求（時間戳+nonce）、篡改或過期金鑰（金鑰生命週期+簽名）、來自同一代理的過多請求（速率限制）、專案策略不允許的動作（策略門——拒絕優先）、代理寫入專案根目錄之外（主機範圍檢查）。

檔案清單與限制

釋出包中包含 dist/index.js（WASM執行時載入器和execute函式）、dist/cli.js（本地CLI）、dist/lbe_engine.wasm（驗證的執行時二進位制）、dist/wasm.lock.json（執行時完整性鎖）以及多個序列圖和邊界圖。載入時執行時驗證wasm二進位制與鎖檔案的一致性。限制包括：不提供核心級程序隔離、網路出口控制、多租戶分離或託管控制平面。對於內建檔案操作、shell和策略管理的程序內控制器，請參見 @letterblack/lbe-exec。