Trajeckt：AIエージェント向けファイアウォール（監査機能付き）

Trajeckt は、AIエージェント向けに設計されたランタイム実行ゲートウェイです。その中心的な仕組みは、エージェントがツール呼び出しを行う前に、オペレーターが承認したコンパイル済みグラフ（CompiledGraph、Gτ）をロードし、シールド（暗号署名）することを強制する点にあります。このグラフは、エージェントがどのツールをどの順序で呼び出し、データをどのシンクに流すかを明確に定義します。シールド後、このグラフがセッション全体の権威となります。各ツール呼び出しは、グラフの現在の到達可能フロンティアに基づいて検証され、タイプV（順序）、タイプII（発信者/データ発信源制約）、および汚染伝播のチェックが行われます。グラフに記載されていない操作は完全拒否され、グラフがインストールされていないセッションは最初のツール呼び出し前にブロックされます。

従来のアクション単位の認可システムでは、個々の操作は許可されても、その順序によってデータ流出が発生する可能性がありました。Trajeckt はデータフローを追跡し、汚染されたデータが禁止されたシンクに到達する呼び出しをブロックします。これにより、「データベースの読み取り」と「メール送信」が連続して実行されるような流出攻撃を防止します。

Trajeckt には2つの動作モードがあります。主要モードはシールドコミットメント強制で、オペレーターが明示的に opt-out した場合にのみ、ヒューリスティックセーフティフロア（パターン検出による既知の悪用シーケンスのブロック）が使用されます。ヒューリスティックモードはあくまで最後の手段であり、盲点内の違反は検出できません。

クイックスタートとしては、Docker で docker-compose up --build を実行するだけで、ゲートウェイと模擬MCPサーバーが起動します。ゼロコンフィグモードでは、tools/list ハンドシェイク時に自動的にコミットメントがシールドされ（auto_commitment=true）、各ツール呼び出し前にグラフの存在が必須となります（require_commitment=true）。コマンドラインからは trajectoryd up --upstream <mcpサーバーアドレス> で起動可能です。

手動による詳細ポリシーが必要な場合、traj commit ツールを使用してMCPツールリストとタスク記述からカスタムポリシーを生成し、Python またはコマンドラインでゲートウェイにインストールします。サンプルポリシーファイル（configs/trajectory-policy.yaml.example）には署名鍵や予算設定などの例が含まれています。

Trajeckt は /healthz エンドポイントで健全性を確認でき、ステータス、署名鍵のソース、自動コミットの有無、シールド機能の可用性を返します。commitment_capable が false の場合、traj バイナリが利用できず自動コミットは失敗しますが、ゲートウェイは起動します。

このプロジェクトは GitHub でオープンソースとして公開されており、Rust で記述され、Python SDK（trajeckt-langgraph）が付属しています。開発者は installed_session() および make_http_wrapper() を使用して、LangGraph エージェントに簡単に強制ゲートウェイを統合できます。