safe-agentic-world/nomos

# Nomos **Nomos 帮助您安全地运行 AI agents，无需给予它们完全的系统信任。** 它位于您的 agent 和真实的副作用（文件、shell、网络、凭证）之间，然后： - 在执行前检查策略 - 默认阻止不安全的操作 - 脱敏敏感输出 - 编写审计跟踪 如果您使用 Codex、Claude Code、OpenClaw 或自定义 agents，Nomos 为您提供一个实用的控制层。 ## Nomos 是什么（及不是什么） Nomos **是**： - agent 操作的策略门控 - 确定性的执行边界 - 审计和脱敏层 Nomos **不是**： - 模型或 agent 框架 - 运行时加固（网络策略、身份、容器控制）的替代品 - 仅基于提示的安全系统 ## 安装 ### Go (全平台) ``` go install github.com/safe-agentic-world/nomos/cmd/nomos@latest ``` Windows 注意事项： - `nomos.exe` 通常安装在 `%USERPROFILE%\go\bin` ### macOS / Linux 快速安装 ``` curl -fsSL https://raw.githubusercontent.com/safe-agentic-world/nomos/main/install.sh | sh ``` 可选参数： - `NOMOS_VERSION=vX.Y.Z` 指定版本 - `INSTALL_DIR=$HOME/.local/bin` 避免 sudo ### 直接下载发布版本 如果您喜欢手动安装，请使用 GitHub Releases。使用 `nomos-checksums.txt` 进行验证。 ## 5 分钟本地检查 从 repo 根目录： 1. 构建： ``` go build -o .\bin\nomos.exe .\cmd\nomos ``` 2. 运行就绪检查： ``` .\bin\nomos.exe doctor -c .\examples\quickstart\config.quickstart.json --format json ``` 3. 验证一条允许规则： ``` .\bin\nomos.exe policy test --action .\examples\quickstart\actions\allow-readme.json --bundle .\policies\safe-dev-hardened.yaml ``` 4. 验证一条拒绝规则： ``` .\bin\nomos.exe policy test --action .\examples\quickstart\actions\deny-env.json --bundle .\policies\safe-dev-hardened.yaml ``` 如果以上步骤通过，说明您的 Nomos 设置正常。 ## 启动 Nomos ### HTTP gateway 模式 ``` .\bin\nomos.exe serve -c .\examples\quickstart\config.quickstart.json -p .\policies\safe-dev-hardened.yaml ``` ### MCP 模式 (用于编码助手) ``` .\bin\nomos.exe mcp -c .\examples\quickstart\config.quickstart.json -p .\policies\safe-dev-hardened.yaml ``` ## 常用命令 ``` .\bin\nomos.exe version .\bin\nomos.exe doctor -c .\config.example.json .\bin\nomos.exe policy test --action .\action.json --bundle .\policies\safe-dev.yaml .\bin\nomos.exe policy explain --action .\action.json --bundle .\policies\safe-dev.yaml ``` ## 入门策略 - `policies/minimal.json`：最小演示策略 - `policies/safe-dev.yaml`：更安全的本地开发基线 - `policies/safe-dev-hardened.yaml`：更严格的本地基线 - `policies/guarded-prod.yaml`：面向生产的态势 - `policies/unsafe.yaml`：故意放宽限制（仅用于测试） ## 接下来去哪里 - 快速入门：`docs/quickstart.md` - Agent 集成 (Codex, Claude Code, OpenClaw, SDK)：`docs/integration-kit.md` - 部署指南 (包括 CI/K8s 就绪)：`docs/deployment.md` - 强保证参考部署：`docs/strong-guarantee-deployment.md` - 策略语言：`docs/policy-language.md` - 威胁模型 + 安全检查清单：`docs/threat-model.md` - 发布验证：`docs/release-verification.md` ## 容器镜像 - 标准镜像：`docker build -t nomos:local .` - 启用 OPA 的镜像：`docker build --target runtime-opa -t nomos:opa-local .` ## 项目治理 - 贡献指南：`CONTRIBUTING.md` - 安全策略：`SECURITY.md` - 行为准则：`CODE_OF_CONDUCT.md` - 更新日志：`CHANGELOG.md` - 许可证：`LICENSE`

标签：AI代理安全, Claude Code, Codex安全, EVTX分析, Go语言, Lerna, MCP协议, Streamlit, 人机交互审批, 企业级AI安全, 凭据管理, 审计追踪, 敏感信息过滤, 文件系统保护, 日志审计, 知识图谱, 确定性控制, 程序破解, 策略执行, 网络安全网关, 自主智能体, 访问控制, 请求拦截, 边界防护, 零信任执行网关