CrabMeat v0.1.0 : Une passerelle d'agents axée sur la sécurité qui ne fait pas confiance au LLM en matière de frontière de sécurité

CrabMeat v0.1.0 est sorti hier sous licence Apache 2.0, construit sur une thèse de conception : le LLM ne détient jamais la frontière de sécurité. Le projet est une réponse directe à des échecs comme celui de l'agent de Summer Yue qui a supprimé plus de 200 e-mails — où une instruction de sécurité était une invite qui a été compactée.
Protections clés (toutes toujours actives, pas de bascule de configuration)
- Indirection des ID de capacité — Le modèle voit des ID opaques dérivés de HMAC par session comme
cap_a4f9e2b71c83, jamais les vrais noms d'outils. Il ne peut pas deviner ou falsifier un nom d'outil car il n'en connaît aucun. - Classes d'effet — Chaque outil déclare une classe (
read,write,exec,network). Chaque agent déclare les classes qu'il peut utiliser. La vérification est une fonction pure sans état d'exécution, facile à tester exhaustivement, difficile à contourner. - IRONCLAD_CONTEXT — Les instructions de sécurité critiques sont épinglées en haut de la fenêtre de contexte et explicitement marquées comme non compactables. Le mode de défaillance par compactage qui a supprimé l'instruction de Yue ne peut pas se produire.
- Chaîne d'audit inviolable — Chaque appel d'outil, opération privilégiée et exécution de planificateur entre dans le même journal chaîné par hachage SHA-256. La falsification est prouvable.
- Filtre de fuite de sortie en streaming — Les secrets (clés API, JWT, blocs PEM, ID de capacité) sont masqués en cours de streaming entre les limites des jetons avant d'atteindre le client.
- Pas de mode YOLO — Il n'y a pas de commutateur global « faire confiance au LLM pour tout ». L'extension des capacités se fait via des racines nommées avec portée, explicites, auditées et limitées.
Le README liste 15 protections toujours actives dans un tableau ; aucune ne peut être désactivée par configuration. La passerelle est locale par défaut, configurée pour Ollama, LM Studio, vLLM prête à l'emploi. Anthropic et OpenAI nécessitent une configuration explicite — pas d'envoi silencieux vers le cloud.
À qui cela s'adresse
Développeurs construisant des systèmes agentiques ayant besoin de garanties architecturales, et non de sécurité basée sur des invites, et souhaitant une passerelle à laquelle ils peuvent confier l'exécution d'outils et des données sensibles.
📖 Lire la source complète : r/ClaudeAI
👀 See Also

git-prism v0.9.0 : Donner aux agents de codage IA des diffusions structurées via MCP
git-prism est un serveur MCP qui remplace le texte brut des diff git par du JSON structuré pour les agents de codage IA. v0.9.0 intercepte les appels git au niveau du PATH, capturant les commandes subprocess et gh.

ATLAS : Un Cadre d'Apprentissage Adaptatif en Temps de Test Surpasse Claude Sonnet sur les Benchmarks de Codage avec un GPU à 500 $
ATLAS atteint 74,6 % de réussite pass@1-v(k=3) sur LiveCodeBench avec un modèle figé de 14B sur un seul GPU grand public, surpassant les 71,4 % de Claude 4.5 Sonnet à une fraction du coût grâce à une génération pilotée par contraintes et un raffinement itératif auto-vérifié.

Navigateur CLI : Un outil d'automatisation de navigation économe en tokens pour les agents d'IA de codage
Browser CLI est un démon Chromium sans tête persistant qui fournit de l'automatisation de navigateur via des commandes Bash simples, réalisant des économies d'environ 95 % de tokens par rapport à Playwright MCP en réduisant les appels d'environ 1 500 tokens à environ 75 tokens.

Comment les assistants IA récupèrent les pages web : analyse des logs Nginx de ChatGPT, Claude, Gemini et autres
Un développeur a testé cinq assistants IA majeurs en leur soumettant des URL uniques et en surveillant les journaux Nginx, révélant des schémas de récupération distincts : ChatGPT, Claude et Perplexity utilisent des agents utilisateur dédiés tandis que Gemini a répondu à partir de son index sans effectuer de récupération.