Lelu – AIエージェントの実行時操作を検知するオープンソース認可エンジン

Lelu は、AIエージェントの実行時における操作を検出・防止するためのオープンソース認可エンジンです。従来の認可ツール（OPA、Casbin、AWS AVPなど）は未承認のアクセスをブロックできますが、正規に認可されたエージェントがプロンプトインジェクションや低信頼度の判断、異常な振る舞いによって危険な操作を行うことを検知できません。Lelu はこのギャップを埋めます。

Lelu のコアはレイヤードパイプラインであり、エージェントの各アクションは複数のチェックを通過します。まずAPI認証とシャドウエージェント検出を行い、次に5層のプロンプトインジェクションフィルター（完全一致、同形異義語、ファジー、構造、エントロピー）を適用します。続いて信頼度ゲートが、LLMのトークン対数確率（OpenAIやAmazon Bedrock）またはローカルの確率・エントロピーを利用して低信頼度のアクションを拒否またはダウングレードします。その後、ポリシー評価（YAMLロール + OPA/Rego）、リスクモデル（重大度×(1−信頼度)×信頼性×異常係数）、最も制限の厳しい結果マージを経て、4つの結果（許可、拒否、人間レビュー、計算）を出力します。

Lelu はエージェントID管理機能も備えており、安定したUUIDとRS256ワークロードJWT（OIDC互換）でエージェントの身元を検証できます。OAuth Token Vault ではAES-256-GCM暗号化による認証情報保管と自動リフレッシュを提供し、非人間アイデンティティ（NHI）インベントリとして登録エージェント、シャドウエージェント、認証情報を統一的に管理します。OWASP NHIトップ10のチェック（過剰権限、長期間有効なシークレット、古いID、テナント間再利用など）を実行し、IDごとにリスクスコア（0.0～1.0）を算出します。

デプロイはDockerまたはHelmを用いてセルフホスティング可能で、ローカル開発用にはSQLite、本番用にはPostgresをサポートし、オプションでRedisも利用できます。TypeScriptおよびPythonのSDKが用意されており、OpenAI、Anthropic、LangChain、LangGraph、Vercel AI SDK、MCPなど主要なAIフレームワークとすぐに統合できます。Lelu はMITライセンスで公開されており、コミュニティからのコントリビューションを歓迎しています。