BeforeWire English 运行本地闸门

本地执行控制面

在 AI 输出变成真实动作前拦下来。

BeforeWire 本地运行在 AI 客户端、中转站和 MCP 工具之间。它识别被投毒的模型响应,在执行前拒绝危险动作,并用绑定哈希的审计回执证明每一次裁决。

安装本地闸门 查看控制路径
本地代理 执行前拒绝 MCP 哈希审批
relay output screened policy: deny-overrides
relay response tool intent
control decision DENY 
{
  "source": "relay",
  "action": "pip_install",
  "effect": "deny",
  "reason": "slopsquat package",
  "snapshot": "sha256:7d4..."
}
execution blocked no wire
hash-chain receipt MCP snapshot bound
relay 输入 筛查投毒输出 corr_id
动作提案 映射为可裁决动作 action_digest
内核裁决 执行前拒绝 effect: deny
审计证据 证明绑定到哈希 snapshot_hash

把 BeforeWire 放在中转站前面。

先启动本地代理,再扫描 agent 能触达的 MCP 工具。密钥、工具 schema、审批哈希和审计日志都留在你的机器上。

pip install beforewire
beforewire init
beforewire scan-tools --auto
beforewire proxy
export OPENAI_BASE_URL=http://127.0.0.1:8788/v1
预期结果 被投毒的输出无法继续安装、调用、访问网络或泄漏数据。

被拒动作和工具面漂移会写入审计日志,可用 beforewire verify audit.jsonl 验证。

从 AI 输出到真实执行之间的最后一段路。

BeforeWire 控制 agent 接触文件、包、网络、工具和客户数据之前的执行路径。

Relay Gate

识别被投毒的中转站输出

本地代理位于 AI 客户端和上游中转站之间,在 agent 执行动作前筛查响应里的工具意图:仿冒包安装、canary 回放、密钥泄漏、恶意 URL、危险命令和可疑出站访问。

  • beforewire proxy --warn
  • beforewire canary demo
  • blocked: pip_install("reqursts")
Action Kernel

在执行前拒绝危险动作

每一次工具调用、命令、装包、出站请求、消息发送或委派,都会先变成 allow、warn 或 deny 裁决。被拒动作停在动作边界,不是事后才被记录。

policy decision deny before execution matched_rule: deny_overrides
  • Governor.check()
  • @govern(tool="pip_install")
  • beforewire verify audit.jsonl
MCP Scan

工具漂移后必须重审

BeforeWire 为本地 MCP 配置、工具描述、schema、来源、认证提示和能力标签生成快照。描述漂移、schema 变化、能力扩张或来源变化,都需要在复用前重新审核。

  • scan-tools --auto
  • approve-tool filesystem.read_file
  • diff-tools --baseline old --current new

给安全评审看的证据,不是给 demo 看的截图。

每个风险 case 都产出同一条证据链:是什么触发了动作,哪条策略做出裁决,执行是否被阻断,以及哪一条审计回执能证明结果。

安全、风控和内审团队看到的是可复核的控制路径,而不是模型自述或事后截图。

relay 投毒响应把 requests 换成 reqursts slopsquat_block
kernel curl pipe shell 在执行前被拒绝 dangerous_code
mcp 已审批 schema 开始索要 token requires_reapproval
audit relay、动作、策略和 snapshot hash 被绑定 verifiable_receipt
当前已具备

Python package、本地 relay proxy、动作 governor、哈希链审计、canary demo、工具 scan 和 diff、哈希绑定审批库,以及 10 个企业风险 case。

默认保持本地

工具 schema、relay trace、审批记录和审计日志都由用户控制。更深的 MCP introspection 会等待显式 consent、timeout、隔离、脱敏和 fail-closed 行为。

把控制路径变成企业证明。

当前开源切片已经展示控制路径。下一版要让三条故事可复制、可评审,并能用于企业 POC。

  1. P0

    发布中转站投毒首拦 demo

    展示投毒响应如何把 requests 变成 reqursts,并证明 BeforeWire 在执行前拒绝该动作。

  2. P0

    把策略裁决接到真实 adapter

    Proxy tool-call path、Claude Code PreToolUse hook、MCP proxy 和可选 @govern extension 都应传入 action identity、approval context 和 snapshot hash。

  3. P1

    让 MCP scan 可用于企业 POC

    为每次工具面变化产出字段级 diff、risk family、decision、recommended action 和 audit receipt。