Lelu：运行时检测AI代理被操纵的开源授权引擎

Lelu 是一款开源的授权引擎，专为 AI 代理设计，能够在运行时检测并防止代理被操纵。传统的授权工具（如 OPA、Casbin 或 AWS AVP）只能阻止未经授权的访问，但无法识别已授权代理在受到操纵（例如通过提示注入、低置信度决策或异常行为）时执行危险操作。Lelu 填补了这一空白。

Lelu 的核心是一个分层管道，代理的每次操作都会经过多个检查步骤：首先进行 API 认证和影子代理检测；然后通过五层提示注入过滤器（精确匹配、同形异义、模糊匹配、结构分析和熵分析）；接着是置信度门控，利用 LLM 的 token 对数概率（如 OpenAI 或 Amazon Bedrock）或本地概率/熵来判断；最后经过策略评估、风险模型和最严格结果合并机制。管道输出四种可能结果：允许（allow）、拒绝（deny）、人工审核（human_review，代理暂停并等待人类批准）或计算（compute，重定向到沙箱执行替代操作）。

Lelu 还提供代理身份管理，通过稳定 UUID 和 RS256 工作负载 JWT（兼容 OIDC）确保代理身份可验证。它内置 OAuth Token Vault，使用 AES-256-GCM 加密存储凭据，并支持自动刷新。此外，Lelu 具备非人类身份（NHI）清单管理功能，可扫描注册代理、影子代理和凭据，检查 OWASP NHI 十大风险，并生成风险评分。

在部署方面，Lelu 支持自托管，可通过 Docker 或 Helm Chart 快速启动，默认使用 SQLite（生产环境可切换为 Postgres），并可选用 Redis 进行缓存。项目提供了 TypeScript 和 Python SDK，兼容 OpenAI、Anthropic、LangChain、LangGraph、Vercel AI SDK 和 MCP 等主流框架。Lelu 采用 MIT 许可，欢迎社区贡献。