Logira : Audit d'exécution eBPF pour les exécutions d'agents IA

Logira est un outil d'audit d'exécution basé sur eBPF pour Linux qui suit ce que les agents IA et l'automatisation font réellement au niveau du système d'exploitation. Il enregistre l'exécution des processus, l'activité des fichiers et l'activité réseau en utilisant le suivi par exécution de cgroup v2, attribuant les événements à des exécutions auditées individuelles.
Fonctionnalités principales
L'outil fournit un stockage local par exécution aux formats JSONL et SQLite pour la revue chronologique et l'interrogation. Il inclut des règles de détection par défaut axées sur l'audit des agents IA, avec des règles YAML personnalisées optionnelles. Logira est conçu pour être en observation uniquement — il enregistre et détecte mais ne bloque ni n'applique jamais.
Détections par défaut
- Écritures d'identifiants et de secrets :
~/.ssh,~/.aws, config kube/gcloud/docker,.netrc,.git-credentials, identifiants de registre - Lectures sensibles d'identifiants : clés privées SSH, identifiants/config AWS, kubeconfig, config docker,
.netrc,.git-credentials - Modifications de persistance et de configuration : écritures sous
/etc, unités systemd, cron, entrées de démarrage automatique utilisateur, fichiers de démarrage shell - Déposeurs temporaires : fichiers exécutables créés sous
/tmp,/dev/shm,/var/tmp - Modèles d'exécution suspects :
curl|sh,wget|sh, outils et drapeaux de tunneling/shell inverse, décodage base64 avec indices shell - Modèles destructeurs de sécurité des agents :
rm -rf,git clean -fdx,find -delete,mkfs,terraform destroy, et commandes similaires - Sortie réseau : ports de destination suspects et accès aux points de terminaison de métadonnées cloud
Installation
Installation recommandée via script :
curl -fsSL https://raw.githubusercontent.com/melonattacker/logira/main/install.sh | sudo bashOu installation manuelle depuis l'archive de version :
tar -xzf logira_vX.Y.Z_linux-<arch>.tar.gz
cd logira_vX.Y.Z_linux-<arch>
sudo ./install-local.shAprès l'installation ou la mise à niveau, redémarrez le démon :
sudo systemctl daemon-reload
sudo systemctl restart logirad.service
sudo systemctl status logirad.service --no-pagerComment exécuter
Le démon racine logirad s'exécute via systemd. Les étapes d'installation incluent :
# 1) Générer les objets eBPF (nécessaire uniquement s'ils manquent)
make generate
2) Installer l'unité systemd
sudo install -D -m 0644 packaging/systemd/logirad.service /etc/systemd/system/logirad.service
3) Installer le binaire du démon (l'unité utilise par défaut /usr/local/bin/logirad)
sudo install -m 0755 ./logirad /usr/local/bin/logirad
4) (Recommandé) Pointer systemd vers les fichiers .o eBPF via un fichier d'environnement
sudo mkdir -p /etc/logira
sudo tee /etc/logira/logirad.env > /dev/null << 'EOF'
LOGIRA_EXEC_BPF_OBJ=/absolute/path/to/collector/linux
Les règles personnalisées peuvent être ajoutées par exécution avec logira run --rules <file>.
📖 Lire la source complète : HN AI Agents
👀 See Also

Marketplace MCP Construit avec Claude Code Intègre l'Analyse de Sécurité et la Monétisation
Un développeur a créé mcp-marketplace.io en utilisant Claude Code pour 95 % de la base de code, créant un marché organisé avec analyse de sécurité pour plus de 2 200 serveurs MCP et des options de monétisation pour les créateurs.
Chercheur développe une compétence de vérification de véracité pour le code Claude, découvre des hallucinations dans sa propre documentation.
Un chercheur a créé une compétence Claude Code appelée /veracity-tweaked-555 qui décompose les documents en affirmations atomiques et vérifie chacune via une recherche web en utilisant 16 agents parallèles sur 4 vagues. Lors d'un auto-audit, la compétence a obtenu 62/100 en raison de statistiques fabriquées et de revendications exagérées dans sa propre documentation.

Le modèle Distilled Qwen 3.5 27B démontre de solides performances avec l'agent de codage Cursor AI.
Un utilisateur rapporte que la version distillée opus 4.6 de Qwen 27B fonctionne efficacement comme modèle moteur de Cursor, avec des performances comparables à Gemini 3 Flash. La configuration a pris environ 10 minutes en utilisant Cursor pour configurer le tunnel ngrok et localllama.

AgentRoom : L'application de bureau visualise les agents d'IA de codage sous forme de personnages en pixels avec recherche de session.
AgentRoom est une application de bureau qui transforme les sessions Claude Code, Codex et Gemini en personnages pixélisés animés dans un bureau virtuel, avec une recherche sémantique en texte intégral sur toutes les sessions. Le dépôt inclut une compétence autonome Claude Code pour rechercher des sessions passées depuis n'importe quelle conversation.