CrabMeat v0.1.0: Ein sicherheitsorientierter Agenten-Gateway, das dem LLM die Sicherheitsgrenze nicht anvertraut

CrabMeat v0.1.0 wurde gestern unter Apache 2.0 veröffentlicht und basiert auf einer Design-These: Das LLM hält nie die Sicherheitsgrenze. Das Projekt ist eine direkte Antwort auf Fehler wie den Agenten von Summer Yue, der über 200 E-Mails gelöscht hat – wo eine Sicherheitsanweisung ein Prompt war, der weggcompiliert wurde.
Wichtige Schutzmechanismen (alle immer aktiv, kein Konfigurationsschalter)
- Capability-ID-Indirektion – Das Modell sieht sitzungsbasierte HMAC-abgeleitete undurchsichtige IDs wie
cap_a4f9e2b71c83, nie echte Toolnamen. Es kann keinen Toolnamen erraten oder fälschen, weil es keinen kennt. - Effektklassen – Jedes Tool deklariert eine Klasse (
read,write,exec,network). Jeder Agent deklariert, welche Klassen er verwenden darf. Die Prüfung ist eine reine Funktion ohne Laufzeitzustand, einfach erschöpfend testbar, schwer zu umgehen. - IRONCLAD_CONTEXT – Kritische Sicherheitsanweisungen werden oben im Kontextfenster fixiert und explizit als nicht komprimierbar markiert. Der Komprimierungsfehler, der Yues Anweisung entfernt hat, kann nicht passieren.
- Manipulationssichere Audit-Kette – Jeder Toolaufruf, privilegierte Vorgang und Scheduler-Lauf wird im selben SHA-256-Hash-Chain-Protokoll festgehalten. Manipulationen sind nachweisbar.
- Streaming-Output-Leak-Filter – Geheimnisse (API-Schlüssel, JWTs, PEM-Blöcke, Capability-IDs) werden während des Streamings an Token-Grenzen geschwärzt, bevor sie den Client erreichen.
- Kein YOLO-Modus – Es gibt keinen globalen Schalter 'Vertraue dem LLM alles an'. Erweiterte Reichweite erfolgt über benannte, abgegrenzte Roots, die explizit, auditprotokolliert und begrenzt sind.
Die README listet 15 immer aktive Schutzmechanismen in einer Tabelle auf; keiner kann per Konfiguration deaktiviert werden. Das Gateway ist standardmäßig lokal und vorkonfiguriert für Ollama, LM Studio, vLLM. Anthropic und OpenAI erfordern explizite Konfiguration – kein stilles Cloud-Hosting.
Für wen es gedacht ist
Entwickler, die agentische Systeme bauen und architektonische Garantien benötigen, keine promptbasierte Sicherheit, und ein Gateway wollen, dem sie Tool-Ausführung und sensible Daten anvertrauen können.
📖 Read the full source: r/ClaudeAI
👀 Siehe auch

OpenClaw-Entwickler baut einheitliches Speichersystem für KI-Agenten
Ein Entwickler hat ein 15-Tool-Einheitsspeichersystem für OpenClaw-KI-Agenten gebaut, das strukturierte Fakten, Vektorsuche, Entitätsgraphen, Episodenzeitpläne, hierarchische Komprimierung und ereignisgesteuerte Koordination kombiniert. Das System läuft lokal ohne Cloud-Abhängigkeiten oder monatliche Gebühren.

Solitaire: Open-Source Identitätsschicht für KI-Agenten, entwickelt mit Claude Code
Solitaire ist eine Open-Source-Identitätsschicht für KI-Agenten, die sich durch Interaktion statt statischer Konfiguration entwickelt. Sie wurde in über 600 Produktionssitzungen getestet und speichert alle Daten lokal mit SQLite + JSONL ohne Cloud-Abhängigkeiten.

X-MCP 2.0: MCP-Server für den Zugriff auf die X/Twitter-API von Claude
X-MCP 2.0 ist ein MCP-Server, der Claude Desktop und Claude Code mit der X/Twitter API v2 über OAuth 2.0 PKCE-Authentifizierung verbindet und 10 Werkzeuge zum Posten von Tweets, Suchen, Abrufen von Timelines, Liken, Retweeten, Antworten und Anzeigen von Profilen bereitstellt.

WebMCP-Browser-APIs könnten den Bedarf an Web-Scraping für KI-Agenten verringern.
Googles WebMCP führt Browser-APIs ein, die es Websites ermöglichen, Tools für KI-Agenten direkt aufrufbar zu registrieren, wodurch viel DOM-Scraping und Anti-Bot-Umgehungen entfallen könnten, die Entwickler derzeit aufbauen.