Trajeckt：面向AI智能体的防火墙，支持审计功能

Trajeckt 是一个专为AI智能体设计的运行时执行网关，其核心思路是在智能体执行任何工具调用之前，强制其加载并密封一个经过操作员批准的编译图（CompiledGraph，简称Gτ）。这个图以密码学方式签名，明确规定了智能体可以调用哪些工具、以何种顺序调用、以及数据最终可以流向哪些接收端。一旦密封，此图即成为整个会话的权威依据。每次工具调用都会基于该图的当前可达前沿进行验证，包括类型V强制（正确顺序）、类型II强制（调用者/来源约束）以及污点传播检查。任何不在图中的操作都会被严格拒绝，而未安装图的会话在首次工具调用前就会被阻止。

相比传统按需授权系统（每次调用独立检查），Trajeckt 的设计专注于捕获跨操作的数据流出攻击。例如，允许读取数据库和发送邮件这两个单独操作，但连续执行会触发数据外泄。Trajeckt 通过跟踪数据流，拒绝将受污染数据送达禁止接收端的调用，无论中间经过多少“合法”步骤。

Trajeckt 提供两种运行模式：密封承诺强制执行（主力模式）和启发式安全底线（当操作员显式 opt-out 密封承诺时使用）。在启发式模式下，系统通过粗粒度的行为模式检测已知恶意序列（如敏感读取+外发写入）。此模式仅为备用手段，不适用于检测盲点内的违规。

快速启动方面，用户可通过 Docker 一键运行，执行 docker-compose up --build 即可启动网关并连同模拟MCP上游。零配置模式下，网关自动从 tools/list 握手密封图（auto_commitment=true），并要求每次工具调用前图已就绪（require_commitment=true）。从命令行也可通过 trajectoryd up --upstream <mcp服务器地址> 启动。

对于需要精细化控制的安全团队，支持手动授权密封：操作员可使用 traj commit 工具基于MCP工具清单和任务描述生成并密封自定义策略，再通过 Python 或命令行安装到网关。示例策略文件（configs/trajectory-policy.yaml.example）提供了签名密钥、预算等配置。

Trajeckt 还提供完整的健康检查接口 /healthz，返回状态、签名密钥来源、自动承诺状态以及密封能力标志。若 commitment_capable 为 false，表示 traj 二进制不可用，自动承诺将失败，但不影响网关启动。

该项目已在 GitHub 开源，采用 Rust 编写，附带 Python SDK（trajeckt-langgraph）以便与 LangGraph 等智能体框架集成。开发者通过 from trajeckt.install import installed_session 和 from trajeckt_langgraph import make_http_wrapper 即可在代理中无缝接入强制网关。