CrabMeat v0.1.0 : Une passerelle d'agents axée sur la sécurité qui ne fait pas confiance au LLM en matière de frontière de sécurité

CrabMeat v0.1.0 est sorti hier sous licence Apache 2.0, construit sur une thèse de conception : le LLM ne détient jamais la frontière de sécurité. Le projet est une réponse directe à des échecs comme celui de l'agent de Summer Yue qui a supprimé plus de 200 e-mails — où une instruction de sécurité était une invite qui a été compactée.

Protections clés (toutes toujours actives, pas de bascule de configuration)

• Indirection des ID de capacité — Le modèle voit des ID opaques dérivés de HMAC par session comme cap_a4f9e2b71c83, jamais les vrais noms d'outils. Il ne peut pas deviner ou falsifier un nom d'outil car il n'en connaît aucun.
• Classes d'effet — Chaque outil déclare une classe (read, write, exec, network). Chaque agent déclare les classes qu'il peut utiliser. La vérification est une fonction pure sans état d'exécution, facile à tester exhaustivement, difficile à contourner.
• IRONCLAD_CONTEXT — Les instructions de sécurité critiques sont épinglées en haut de la fenêtre de contexte et explicitement marquées comme non compactables. Le mode de défaillance par compactage qui a supprimé l'instruction de Yue ne peut pas se produire.
• Chaîne d'audit inviolable — Chaque appel d'outil, opération privilégiée et exécution de planificateur entre dans le même journal chaîné par hachage SHA-256. La falsification est prouvable.
• Filtre de fuite de sortie en streaming — Les secrets (clés API, JWT, blocs PEM, ID de capacité) sont masqués en cours de streaming entre les limites des jetons avant d'atteindre le client.
• Pas de mode YOLO — Il n'y a pas de commutateur global « faire confiance au LLM pour tout ». L'extension des capacités se fait via des racines nommées avec portée, explicites, auditées et limitées.

Le README liste 15 protections toujours actives dans un tableau ; aucune ne peut être désactivée par configuration. La passerelle est locale par défaut, configurée pour Ollama, LM Studio, vLLM prête à l'emploi. Anthropic et OpenAI nécessitent une configuration explicite — pas d'envoi silencieux vers le cloud.

À qui cela s'adresse

Développeurs construisant des systèmes agentiques ayant besoin de garanties architecturales, et non de sécurité basée sur des invites, et souhaitant une passerelle à laquelle ils peuvent confier l'exécution d'outils et des données sensibles.