CrabMeat v0.1.0: LLM이 보안 경계를 신뢰하지 않는 보안 우선 에이전트 게이트웨이

CrabMeat v0.1.0이 어제 Apache 2.0 라이선스로 공개되었습니다. 하나의 설계 철학 위에 구축되었습니다: LLM은 절대 보안 경계를 갖지 않는다. 이 프로젝트는 Summer Yue의 에이전트가 200개 이상의 이메일을 삭제한 사례와 같은 실패에 대한 직접적인 대응입니다. 해당 사례에서는 안전 지침이 압축되어 사라진 프롬프트에 불과했습니다.

주요 보호 기능 (모두 항상 활성화, 설정 토글 없음)

• 기능 ID 간접화 — 모델은 cap_a4f9e2b71c83과 같은 세션별 HMAC 기반 불투명 ID만 보며, 실제 도구 이름은 전혀 알 수 없습니다. 도구 이름을 알 수 없으므로 추측하거나 위조할 수 없습니다.
• 효과 클래스 — 모든 도구는 클래스(read, write, exec, network)를 선언합니다. 모든 에이전트는 사용 가능한 클래스를 선언합니다. 검사는 런타임 상태가 없는 순수 함수로, 철저히 테스트하기 쉽고 우회하기 어렵습니다.
• IRONCLAD_CONTEXT — 중요한 안전 지침이 컨텍스트 창 상단에 고정되고 명시적으로 압축 불가로 표시됩니다. Yue의 지침이 제거된 압축 실패 모드가 발생할 수 없습니다.
• 변조 감지 감사 체인 — 모든 도구 호출, 권한 작업, 스케줄러 실행이 동일한 SHA-256 해시 체인 로그에 기록됩니다. 변조 증명이 가능합니다.
• 스트리밍 출력 누출 필터 — 비밀(API 키, JWT, PEM 블록, 기능 ID)이 토큰 경계를 넘어 클라이언트에 도달하기 전에 스트림 중간에서 삭제됩니다.
• YOLO 모드 없음 — 'LLM에 모든 것을 신뢰'하는 전역 스위치는 없습니다. 확장된 접근 권한은 명시적이고 감사 로그에 기록되며 범위가 제한된 명명된 스코프 루트를 통해 이루어집니다.

README에는 15개의 항상 활성화된 보호 기능이 표로 나열되어 있으며, 구성으로 끌 수 있는 기능은 없습니다. 게이트웨이는 기본적으로 로컬 우선이며, Ollama, LM Studio, vLLM을 기본 지원합니다. Anthropic과 OpenAI는 명시적 구성이 필요하며, 자동으로 클라우드로 데이터가 전송되지 않습니다.

대상 사용자

프롬프트 기반 안전이 아닌 아키텍처 수준의 보장이 필요하고, 도구 실행과 민감한 데이터를 신뢰할 수 있는 게이트웨이를 원하는 에이전틱 시스템을 구축하는 개발자.