早期预览 · ALPHA · 0.1.0-alpha

对大模型、上游,
零信任。

面向 LLM Agent 的本地零信任安全网关。任何来自上游 LLM、Relay、MCP、网页、Issue、聊天消息、README 或大模型生成的 Tool Call,默认都不可信;在 Agent 执行任何高危动作之前,先在本地按策略与你的意图验证。一个运行在 127.0.0.1 上的 Rust 单二进制,fail-closed,每一条声明你都能自己验证。

sieve — decisions watch
$ cosign verify-blob --signature sieve.sig sieve
✓ Verified OK — keyid 8F3A…D21
$ sieve decisions watch
→ outbound · redacted PRIVATE_KEY ×1 (0x4f…a9 → ●●●)
→ inbound  · BLOCKED transfer(2.4 ETH) fail-closed
→ inbound  · PASS read_balance()
4
对等覆盖的内容路由
2-way
入站 + 出站双向检测
<8ms
新增延迟 · p50
1
个二进制 · 零云端
零信任网关

不可信进,验证后出。

Sieve 默认抵达 Agent 的每一个外部输入都是敌意的,直到被证明无害;并为 Agent 能做的每一件不可逆的事设置闸门。两者之间,只有一个本地检查点——策略加你的意图——任何东西未经验证都无法通过。

默认不可信 8 类来源
任何可能夹带注入指令的输入——不止是大模型。
LLM上游 LLM 响应
RELAYRelay / 中转输出
MCPMCP 工具结果
WEB抓取的网页
REPOIssue / PR / README
MSG聊天消息
DOC外部文档
CALL大模型生成的 Tool Call
默认不可信 · 全部送入网关
CHECKPOINT
SIEVE 网关
按本地策略 + 你的意图逐项校验
符合 → 放行 违背 → 阻断 · fail-closed
受守护的执行 6 类动作
Agent 能执行的一切高危动作——不止 crypto。
读取本地密钥数据外泄
执行 ShellRCE
访问网络外泄 / C2
签名交易资金损失
安装工具供应链
部署代码生产环境
仅放行已验证的动作
在门口拦下被注入的指令与未经许可的不可逆操作——赶在它们执行之前。
零信任

链路上谁都不信——不信大模型,也不信上游。

编码 agent 如今会代替你签名交易、转移资金、部署合约。提示词带着你的密钥离开本机;大模型把工具调用发回来,未经第二眼便执行。零信任,意味着假设两端都可能出错——并在你唯一真正掌控的那条链路上,设一个检查点。

01
密钥随出站泄漏——私钥、助记词、.env 值都夹在上下文窗口里一起发出。
02
工具调用随入站落地——transfer()、approve()、deploy() 中间没有任何人为停顿便执行。
03
云端扫描器帮不上——它们看不到 localhost 流量,你也无法审计它们做了什么。
工作原理

一个检查点,完整往返。

把 agent 的 base URL 指向 127.0.0.1。看一次请求如何出站、被净化、返回,并在任何不可逆操作执行前被检查。

检测能力

为加密世界中不可逆的操作而生。

网关是通用的,规则集却不是。Crypto 是 Sieve 下探最深的地方——通用防护无法企及的检测——专为那些永远无法收回的操作而调校,并在 agent 与模型往来的每一条路由上对等覆盖。

KEY
私钥与助记词
基于熵值与格式感知,匹配裸私钥、助记词与 keystore 数据。
SIGN
签名请求
eth_sign、personal_sign 与类型化数据提示,在离开前即被标记。
TX
转账与授权
transfer() 与无限额 approve() 调用会被暂留,等待一次人为确认。
DEPLOY
合约部署
新字节码的部署会连同目标链与 gas 一并呈现。
ENV
.env 与凭据
API 令牌、RPC 地址与凭据文件就地脱敏,而非直接阻断。
INJECT
注入式调用
大模型被诱导发出的工具调用,在入站侧被捕获,fail-closed。
SWAP
地址替换
回传的 0x 地址若与你提示词里的那个有细微出入,会在你签名前被标记。
CANARY
诱饵告警
布放的诱饵凭据一旦被读取或外泄,立即触发入站告警。
信任模型

可验证,而非仅仅信任。

签名构建
在运行前,用我们公布的公钥对每个版本执行 cosign-verify。
本地运行
检测在你的机器上完成。你的流量不会有任何内容被发送给我们。
开放引擎
阅读规则、运行测试套件,检测逻辑无任何隐藏。
Fail-closed
Sieve 无法做出判断时,该操作就不会发生。Critical 规则无法被关闭。
开始使用

一条命令即可启动。

支持 Claude Code、Codex CLI、OpenClaw 与 Hermes——以及任何使用 Anthropic / OpenAI 协议的 Agent。

01
$ brew install SieveAI-dev/homebrew-tap/sieve即将上线
经 Homebrew 分发的签名二进制即将提供。当前可从源码自编译或加入 alpha 预览 —— 关注仓库即可第一时间收到通知。
02
$ sieve setup && sieve doctor
在 127.0.0.1:11453 启动 daemon、接好你的 agent,并体检安装 —— 不装本地证书、不做 MITM。
03
$ export ANTHROPIC_BASE_URL=http://127.0.0.1:11453
把 agent 的 base URL 指向本地 daemon —— sieve setup 会自动写入 agent 配置,Codex CLI 则经由 hook 接入。集成到此为止。
注释
LLM agent 背后的大语言模型;输出会被左右,故视为不可信。
零信任 (Zero Trust) 不给任何主体默认信任,按策略逐一验证每个请求。
AI agent 接上真实工具、能代你行动的大模型,而非只会聊天。
提示词注入 藏进正常内容里的敌意指令,用来劫持大模型。
MCP 模型上下文协议;agent 调用外部工具的标准接口。
Fail-closed 校验不确定时一律阻断,而非放行。