kirklasalle/Prism
GitHub: kirklasalle/Prism
PRISM 是一款以密码学治理为核心架构的开源自托管 AI Agent 运行时平台,解决了自主 Agent 在能力与安全问责之间的固有矛盾。
Stars: 3 | Forks: 0
# PRISM — 治理原生的 Agents-as-a-Service 运行时
**首个具备密码学强制治理、三模型认知编排和完全计算机自主控制能力的开源 agent 平台 —— 专为拒绝在能力与问责之间妥协的运营者设计。**
PRISM 并非又一个 chatbot 包装器。它是一个**生产级自主 agent 操作系统**,能够编排 LLM 推理、浏览器自动化、终端虚拟化、container 沙盒和多 agent 集群 —— 所有这一切均由一个不可变的策略引擎管理,并在启动和 runtime 时进行密码学完整性验证。
当其他平台将安全性作为事后补充时,PRISM 已将治理作为其**核心承载架构**:每一次工具调用、每一个 agent 决策、每一次自主操作在执行前都必须通过一个三层策略引擎。高风险操作需要明确的人工批准。拒绝和超时是被视为首要的测试行为。运营者始终拥有最高权限。
## 为什么选择 PRISM
### 面临的问题
当今,每一个 agentic 框架都要求你做出同样的权衡:**能力还是安全,自主还是控制,速度还是透明。** 结果是,这些平台要么因过度受限而毫无用处,要么因不受限而无法被信任。
### PRISM 的不同之处
PRISM 通过**治理原生架构**彻底消除了这种权衡 —— 安全性不是事后添加的护栏,而是构建所有其他内容的基础。
| 能力 | 其他框架 | PRISM |
| :------------------ | :--------------------------------------- | :------------------------------------------------------------------------------------ |
| **治理** | prompt 级别的护栏,极易被绕过 | 密码学强制的 10 大定律(SHA-256 完整性,受 CI 控制) |
| **策略引擎** | 基础的允许/拒绝列表 | 具备审批队列、超时和拒绝路径的三级权限模型 |
| **多模型** | 每个请求单一模型 | Spectrum Refraction:具有结构化聚合的三模型并行 fan-out |
| **计算机操作** | 仅限浏览器或仅限终端 | 全栈:浏览器 + 终端 + container 沙盒,均受策略治理 |
| **Agent 生命周期** | 无状态工具调用 | 托管生命周期(临时 → 半永久 → 永久)并具备集群协调能力 |
| **身份** | API 密钥验证 | 具备 RBAC、SSO (OIDC/SAML)、SCIM 配置和角色问责链的 IAM |
| **可观测性** | 基础日志记录 | SHA-256 哈希活动事件,LLRE 认知经济学,检索质量遥测 |
| **自托管** | 仅限云端或受限的本地环境 | 完全可自托管,可在消费级硬件上运行,数据绝不离开你的机器 |
## ✦ 架构概览
```
┌──────────────────────────────────────────────────────────────┐
│ OPERATOR DASHBOARD │
│ Chat │ Agents │ Browser │ Computer │ Network │ Telemetry │
└──────────────────────────┬───────────────────────────────────┘
│
┌──────────────────────────▼───────────────────────────────────┐
│ GOVERNANCE PLANE │
│ ┌─────────┐ ┌──────────────┐ ┌──────────────────────┐ │
│ │ 10 Laws │ │ 3-Tier Policy│ │ Approval Queue │ │
│ │ (PAD) │──│ Engine │──│ (tier2/tier3 gates) │ │
│ │ SHA-256 │ │ auto│cond│apv│ │ approve/deny/timeout │ │
│ └─────────┘ └──────────────┘ └──────────────────────┘ │
└──────────────────────────┬───────────────────────────────────┘
│
┌──────────────────────────▼───────────────────────────────────┐
│ COGNITIVE RUNTIME │
│ ┌──────────┐ ┌──────────────┐ ┌─────────────────────┐ │
│ │ Spectrum │ │ Agent Pool │ │ Skills Engine │ │
│ │Refraction│ │ + Swarm Coord│ │ (Browser Researcher, │ │
│ │ (SR) │ │ + Task Decomp│ │ Terminal, Calendar, │ │
│ │ 3-model │ │ 4 topologies │ │ Email, Media, etc.) │ │
│ └──────────┘ └──────────────┘ └─────────────────────┘ │
│ ┌──────────┐ ┌──────────────┐ ┌─────────────────────┐ │
│ │ LLRE │ │ Causal Memory│ │ Guardian Agent │ │
│ │ Cognitive│ │ Fabric │ │ (local llama.cpp, │ │
│ │Economics │ │ (episodic + │ │ autonomous health │ │
│ │ TEQ/RSI │ │ session + │ │ monitor + PAD │ │
│ │ CSR/TCA │ │ semantic) │ │ integrity checker) │ │
│ └──────────┘ └──────────────┘ └─────────────────────┘ │
└──────────────────────────┬───────────────────────────────────┘
│
┌──────────────────────────▼───────────────────────────────────┐
│ TOOL ADAPTERS (Agent-Computer Interface) │
│ System │ Protocol │ Application │ Network │ Cognition │
│ Shell HTTP Browser 50+ cmds SR Tool │
│ FS A2A Terminal PTY ipconfig Autonomous │
│ Docker Container ping Planner │
│ Images Email/OAuth tracert │
│ Audio Calendar netstat │
│ Video Tasks/Notes nslookup │
│ Screen Media Gen │
└──────────────────────────────────────────────────────────────┘
```
## ✦ 创新工程
### 1. Permanent Active Directives (PAD) — 密码学治理
PRISM 的治理是不可配置的 —— 它是**宪法级**的。10 大定律(由 Kirk LaSalle 撰写,根植于阿西莫夫三大定律,并扩展至隐私、公平、透明度和操作边界)经过密码学密封:
- **SHA-256 完整性验证**在每次启动时及由 Guardian Agent 每 10 分钟进行一次
- **CI 门控**会阻止任何在未更新完整性常数的情况下修改指令的合并/发布
- **机器可读的定律清单**将每条指令映射到其 runtime 执行机制
- **治理前言注入**所有 Tier 2 及以上级别的 LLM 系统 prompt 中 —— 每一次模型交互都在 10 大定律内运作
- **修正案需要**治理委员会批准 + 密码学重新签名
没有任何其他 agent 平台能在密码学层面强制执行治理。
### 2. Spectrum Refraction (SR) — 三模型认知编排
PRISM 创新的**复合并行 fan-out 架构**同时调用三个模型实例:
| 半脑 | 角色 | 示例 |
| :--------------------- | :---------------------------------------- | :---------- |
| **左脑** (逻辑) | 分析推理,结构化分析 | Claude Opus |
| **右脑** (创意) | 创意生成,横向思维 | GPT-4o |
| **主脑** (协调器) | 综合,仲裁,最终响应 | Gemini Pro |
- **强制实例隔离**:在配置、激活和 runtime 门控处强制执行 左脑 ≠ 右脑
- **结构化 XML 标记聚合**将分析的严谨性与创意的广度相融合
- **三个隔离质量级别**:`full`(不同提供商),`model`(相同提供商,不同模型),`insufficient`(拒绝执行)
- 从创意半脑响应中进行**媒体产物提取**
没有任何竞争框架能提供具备结构化聚合和隔离强制的原生多模型同时 fan-out 能力。
### 3. LLRE 认知经济学引擎
**Low-Level Reasoning Engine(低级别推理引擎)**为你提供了前所未有的视角,以观察 agent 思考的效率:
- **Token 效能商数 (TEQ)** — token 是否被有效利用?
- **请求满足指数 (RSI)** — 用户的请求是否得到了满足?
- **上下文饱和率 (CSR)** — 上下文窗口容量是否得到了优化?
- **工具调用准确率 (TCA)** — 工具调用是否精确且成功?
- 具备 `
` 和 `` 标签解析及信号密度检查的 **prompt AST 编译器**
- **SQLite 持久化**在操作员控制台中提供交互式性能环
### 4. 完全计算机操作 — 浏览器、终端、Container
PRISM 将计算机操作视为**一等受管能力**,而非辅助功能:
- **浏览器自动化** — 基于 Playwright 的无头和有头浏览器控制,支持截图、页面导航、元素交互和多 tab 管理
- **终端虚拟化** — 通过 `node-pty` 实现的真实 PTY 会话,具备完全 shell 访问权限、命令风险分类和破坏性命令拒绝列表
- **Container 沙盒** — Docker container 编排,提供具备资源限制和生命周期管理的隔离执行环境
- **自主研究** — 浏览器研究员技能,能够自主在 web 上进行导航、搜索、提取和合成信息
- 所有路径均受三层策略引擎管理,并对高风险操作设有审批门控
### 5. 多 Agent 集群编排
- **Agent 生命周期**:临时(按任务)、半永久(空闲时回收)、永久(手动停止)
- **按 agent 分配模型**:按 agent 动态覆盖提供商/模型,在 runtime 可热交换
- **四种集群拓扑**:mesh、star、pipeline、broadcast
- 具备依赖感知的并行批处理的**任务分解**
- **智能遥测**:模式检测,角色热点分析,生命周期提升建议
- **Guardian Agent**:由本地 `llama.cpp` 推理驱动的永久自主系统 agent —— 监控 runtime 健康,自我修复崩溃的模型 slot,强制执行策略边界
### 6. 高级模型路由
- **完全可配置且 AI 辅助**:运营者完全控制路由拓扑,AI 辅助根据任务参数动态确定最佳模型分配。
- **基于角色的覆盖**:将特定模型或提供商映射到单个任务角色(例如 chat、代码生成、摘要、memory 索引或研究),并具备自动验证。
- **功耗感知策略**:支持基于目标配置的路由策略:`eco`(优先使用本地模型以消除 API 费用),`performance`(最高可用能力级别)和 `adaptive`(动态平衡 VRAM 和 API 成本)。
### 7. 高级模型矩阵(专属平台核心)
- **操作员专属注册表**:一个动态更新的专有数据库,包含提供商、模型、用例、功能和属性。
- **本地模型自动发现**:自动查询本地 runtime 环境(例如 Ollama `/api/ps`)以注册并测量本地能力参数(VRAM、速度、参数大小)。
- **弃用与日落生命周期跟踪**:保留弃用日期、日落截止时间、替代继任模式以及传统遥测配置,以防止静默失败并保留历史回归检查能力。
### 8. 身份、访问与问责
- **IAM 存储**具备 RBAC、多租户支持和用户生命周期管理
- **SSO**:用于企业身份提供商的 OIDC 和 SAML 集成
- **SCIM v2**:自动化的用户配置和取消配置
- **Character Accountability Control (CAC)**:每一次 agent 操作都通过不可变的问责链关联到一个 character 身份、一个 Prism 用户和一名操作员
- **会话管理**具备密码学会话 token 和基于 cookie 的验证
### 9. 技能引擎 — 自主 Agent 能力
生产就绪的技能,使 agent 能够与世界交互:
| 技能 | 能力 |
| :-------------------------- | :------------------------------------------------------------------------- |
| **Browser Researcher** | 具备搜索、导航、提取和合成功能的自主 web 研究 |
| **Terminal** | 具备风险分类和拒绝列表的 Shell 命令执行 |
| **Container Sandbox** | 基于 Docker 的隔离执行环境 |
| **Email (Gmail + Outlook)** | 通过 Google 和 Microsoft API 进行 OAuth2 认证的邮件读/发送 |
| **Calendar** | 用于事件管理的 Google Calendar 集成 |
| **Image Generation** | AI 图像生成工具 |
| **Audio/Video Generation** | 媒体生成和转录工具 |
| **Tasks & Notes** | 持久的任务管理和笔记记录 |
| **Project Store** | 使用 SQLite 进行结构化项目数据管理 |
| **Semantic Query** | 跨情景、会话和语义存储的 memory 检索 |
### 10. 插件架构 — MCP + Marketplace
- 具备热加载功能的 **Model Context Protocol (MCP)** 插件系统
- 用于插件完整性验证的 **Ed25519 代码签名**
- 具备清单 schema 强制的 **Plugin Pack Validator**
- 具有 OSI 许可证要求的 **Marketplace 审核策略**
- **插件开关** —— 在 runtime 启用/禁用插件而无需重启
### 11. 自主更新引擎与 Guardian 集成
PRISM 具备一个安全、受操作员控制且自主监控的更新编排框架,直接集成在操作员仪表板和 Guardian Agent 的后台周期中:
- **Guardian 辅助更新检测**:Guardian Agent 安排定期的远程检查以查询更新可用性,并在控制台上实时提醒操作员。
- **一键安全执行**:操作员可以通过侧边栏单击调用更新,这将启动进程外的更新编排器 (`scripts/prism-update.cjs`)。
- **安全第一(备份、审计与回退)**:
- 在下载代码之前,自动备份所有敏感的配置数据库、密钥和会话数据。
- 使用 PRISM Doctor 套件执行预运行的系统健康审计,以确保基准就绪状态。
- 更新后自动验证下载签名的完整性和编译有效性。
- 如果任何编译或启动测试失败,自动回滚到储藏的备份,保护实例免受代码损坏或依赖中断的影响。
## ⚡ 快速开始
### 一条命令 (Windows)
```
start_web.bat
```
### 一条命令 (Linux / macOS)
```
chmod +x start_web.sh && ./start_web.sh
```
### 从源码构建
```
npm ci # Install dependencies
npm run build # Build (includes PAD integrity check)
npm run start:server # Start dashboard at http://localhost:7070
```
### 使用 Docker
```
docker compose up -d # Start with health checks and persistent volumes
```
### 使用 PM2 (崩溃时自动重启)
```
npm install -g pm2
npm run pm2:start # Start with PM2 process management
npm run pm2:logs # View logs
```
操作员仪表板将在 **`http://localhost:7070`** 开启。
## 🖥️ 操作员仪表板
一个基于 tab 的高级操作员控制台,包含 10 个功能区域:
| Tab | 用途 |
| :---------------------- | :---------------------------------------------------------------------------------------------------- |
| **Chat Interface** | 支持 Spectrum Refraction 的会话式 LLM 交互 |
| **Provider & Settings** | LLM 提供商配置,模型能力矩阵,runtime 设置,LLRE 认知经济学面板 |
| **Tools & Plugins** | 浏览 19+ 内置工具、MCP 插件和 30 个系统实用程序 |
| **Agentic Control** | Agent 集群管理,Guardian Agent 状态,硬件资源分配 |
| **Browser Control** | 具备实时截图和导航的自主浏览器会话 |
| **Computer Control** | 终端会话,container 沙盒管理,自动驾驶演示 |
| **Workspace** | 项目管理,文件操作,character 分配 |
| **Network** | 50+ 精选网络命令,具备基于层级的治理和实时接口查看器 |
| **Telemetry** | 检索可观测性,性能指标,质量趋势 |
| **Logs & Debug** | 实时活动事件流,AI 决策路径追踪 |
### 41+ HTTP API 路由
通过 endpoint 对每个仪表板功能进行完全编程访问。有关完整的路由目录,请参阅 [API 文档](docs/USER_GUIDE.md)。
### 兼容 OpenAI 的 API
PRISM 暴露了一个兼容 OpenAI 的 `/v1/chat/completions` endpoint,可为已集成 OpenAI API 格式的应用程序提供直接替换。
## 🔐 安全态势
| 控制 | 实现 |
| :------------------- | :------------------------------------------------------------------------------ |
| **身份验证** | 所有 endpoint 均具备时序安全比较的基于 token 的验证门控 |
| **速率限制** | 基于 IP 的速率限制(可配置,默认 200 req/min) |
| **TLS** | 通过 `PRISM_TLS_CERT` + `PRISM_TLS_KEY` 的可选 HTTPS |
| **CORS/CSRF** | 带有拒绝日志记录的来源验证 |
| **安全响应头** | `X-Content-Type-Options: nosniff`, `X-Frame-Options: DENY`, `Referrer-Policy` |
| **API 密钥存储** | Windows DPAPI / OS 密钥链 — 绝不持久化在 SQLite 中,绝不通过 API 返回 |
| **PAD 完整性** | SHA-256 启动验证 + Guardian Agent 定期重新检查 |
| **插件签名** | 带有密钥轮换 SOP 的 Ed25519 代码签名 |
| **生产环境保护** | `PRISM_AUTH_DISABLED=true` 在 `NODE_ENV=production` 时抛出错误 |
| **IAM** | RBAC,OIDC SSO,SAML SSO,SCIM v2 配置 |
| **CodeQL** | CI 中的自动化安全分析 |
## 🏗️ LLM 提供商支持
PRISM 支持具备安全凭证管理的 **runtime 提供商/模型切换**:
| 提供商 | 类型 | 配置 |
| :--------------- | :-------------------- | :---------------------------------- |
| **OpenAI** | 云端 | `OPENAI_API_KEY` |
| **Anthropic** | 云端 | `ANTHROPIC_API_KEY` |
| **Ollama** | 本地 | 在 `localhost:11434` 自动发现 |
| **Ollama Cloud** | 云端 | `OLLAMA_API_KEY` |
| **Llama.cpp** | 本地 | `PRISM_LLAMACPP_BASE_URL` |
| **Google AI** | 云端 | `GOOGLE_AI_API_KEY` |
| **Custom** | 任何兼容 OpenAI 的 | `PRISM_CUSTOM_PROVIDER_URL` |
每个 chat 会话会持久化保存提供商/模型选择。安全的 API 密钥存储使用操作系统原生的凭证管理器。密钥**绝不**存储在 SQLite 中,也绝不通过 API 返回。
## 🧪 测试与 CI
PRISM 维护着 agentic 软件生态系统中最全面的测试套件之一:
- **185+ 测试文件**,涵盖单元、集成、E2E、安全和治理场景
- **7 个 GitHub Actions 工作流**:CI,CodeQL,Docker 发布,Helm 发布,每日构建,质量门控,发布
- **多平台 CI 矩阵**:Ubuntu + Windows,Node.js 22 + 23
- **9 个 CI 资格门控**,包括 PAD 完整性、插件签名、指令测试、安全测试、治理测试
- **发布验证脚本** (`npm run release:validate`),包含自动化基准测试和性能资格认证
- 使用无头 Chromium 的 **Playwright E2E 测试**
- 使用 `fast-check` 的**基于属性的测试**
```
npm test # Full test suite
npm run release:validate # Release qualification (90 tests + perf benchmarks)
npm run release:validate:strict # Strict mode for production certification
```
## 📁 项目结构
```
src/
├── adapters/ # Tool adapters (system, protocol, application, network, cognition)
├── benchmarks/ # Performance qualification and release validation
├── bootstrap/ # Server initialization and dependency wiring
├── cli/ # Setup wizard and CLI tools
├── core/
│ ├── accountability/ # Character accountability control (CAC)
│ ├── activity/ # Event model, bus, SHA-256 hashing, SQLite persistence
│ ├── agents/ # Agent pool, lifecycle, swarm coordinator, task decomposer
│ ├── approval/ # Approval queue and HTTP service
│ ├── compliance/ # SOC2 exporter, compliance status
│ ├── config/ # Workspace resolver, execution profiles
│ ├── database/ # Migration framework, connection management
│ ├── governance/ # Governance engine, policy validation
│ ├── iam/ # Identity store, RBAC, SSO (OIDC/SAML), SCIM, sessions
│ ├── incubation/ # Feature incubation and progressive rollout
│ ├── llre/ # Low-Level Reasoning Engine (AST, telemetry, economics)
│ ├── memory/ # Episodic, session, semantic memory + retrieval metrics
│ ├── observability/ # Universal telemetry aggregator
│ ├── operator/ # Dashboard service, routes, templates, chat, LLM management
│ ├── plugins/ # Plugin loader, signing, marketplace
│ ├── policy/ # 3-tier authority model and decision engine
│ ├── runtime/ # Orchestrator, workflow executor, autonomous planner
│ ├── security/ # Auth gate, rate limiter, CORS/CSRF, PAD integrity, signing
│ ├── skills/ # Skills engine (browser researcher, terminal, etc.)
│ └── tools/ # Tool registry and contract system
├── plugins/ # Plugin SDK and scaffolder
├── ptac/ # Testing & Active Control framework
└── tui/ # Terminal UI (Ink/React)
```
### 工作区
所有 runtime 数据均存储在源码树**之外**的感知操作系统的持久化工作区中:
| 平台 | 默认路径 |
| :------- | :----------------------------------------- |
| Windows | `%USERPROFILE%\Documents\Prism_Refraction` |
| macOS | `~/Documents/Prism_Refraction` |
| Linux | `$XDG_DATA_HOME/Prism_Refraction` |
使用 `PRISM_WORKSPACE_ROOT` 覆盖。你的数据绝不会触及源码目录。
## 📖 文档
PRISM 附带了 **90+ 份文档文件**,涵盖了平台的方方面面:
| 文档 | 用途 |
| :------------------------------------------- | :------------------------------------------------ |
| [产品需求](docs/PRISM_PRD.md) | 包含功能规格的完整 PRD |
| [开发者指南](docs/DEVELOPER_GUIDE.md) | 开发流程和实施指导 |
| [用户指南](docs/USER_GUIDE.md) | 面向操作员的使用和控件 |
| [入门指南](docs/GETTING_STARTED.md) | 首次设置演练 |
| [路线图](docs/ROADMAP.md) | 里程碑和交付顺序 |
| [测试策略](docs/TEST_STRATEGY.md) | 测试理念和覆盖率 |
| [安全](SECURITY.md) | 漏洞报告和安全策略 |
| [贡献指南](CONTRIBUTING.md) | 贡献指南 |
| [常见问题](docs/PRISM_FAQ.md) | 常见问题解答 |
| [词汇表](docs/PRISM_GLOSSARY.md) | 术语参考 |
| [部署指南](docs/DEPLOYMENT_GUIDE.md) | 生产环境部署选项 |
| [文档索引](docs/DOCS_INDEX.md) | 包含阅读顺序的完整目录 |
## 🌍 愿景
PRISM 将生成式 AI 范式从孤立的 chat 工具转变为 **Agents-as-a-Service (AaaS)**。它将复杂的多步推理、严格的治理边界和动态工具编排封装在一个尊重操作员约束的自主平台中。
PRISM 的目标不是“仅仅成为另一个助手”。它是一个**下一代 agent 操作系统**,建立在这样一个信念之上:AI 自主性和人工监督并不是对立的力量 —— 它们是互补的。当治理成为承载架构时,可以赋予 agent 更多的自主权,而不是更少。
### 10 大定律
PRISM 的治理植根于 **Permanent Active Directives** —— 这是由 Kirk LaSalle 撰写的 10 条不可变定律,用于治理平台内的所有智能系统:
1. **不造成伤害** — 智能系统不得伤害人类,或坐视人类受到伤害
2. **服从** — 智能系统必须服从人类命令(除非与定律 1 冲突)
3. **自我保护** — 智能系统必须保护自身的存在(除非与定律 1-2 冲突)
4. **普遍执行** — 定律适用于所有系统,无论是智能系统还是非智能系统
5. **无司法权** — 智能系统永远不能对人类拥有司法权
6. **隐私与数据保护** — 尊重并保护所有信息和个人数据
7. **真实** — 不得欺骗或操纵,透明沟通
8. **公平与中立** — 不带偏见、成见或歧视
9. **透明度与可审计性** — 维持可审计的推理和决策逻辑
10. **操作边界** — 不得自我复制或未经授权修改指令
这些定律在 **runtime 受到密码学强制执行** —— 不仅仅是文档记录,而是在每次启动时都通过 SHA-256 完整性检查进行验证。
## 🤝 贡献
我们欢迎你的贡献!有关以下内容的指南,请参阅 [CONTRIBUTING.md](CONTRIBUTING.md):
- Bug 报告和功能请求
- Pull request 工作流和提交约定
- 你的 PR 必须通过的 CI 门控
- 面向新贡献者的架构概述
## 📄 许可证
PRISM 采用 [Apache License 2.0](LICENSE) 授权。
## 🔗 参考
1. Anthropic Engineering, _Building effective agents_ (2024):
2. Yao et al., _ReAct: Synergizing Reasoning and Acting in Language Models_ (arXiv:2210.03629)
3. Schick et al., _Toolformer: Language Models Can Teach Themselves to Use Tools_ (arXiv:2302.04761)
4. Shen et al., _HuggingGPT_ (arXiv:2303.17580)
5. Model Context Protocol:
6. NIST AI Risk Management Framework:
基于 AI 自主性和人工监督是互补力量的信念而构建。
PRISM — 每一次自主操作,皆可观测。每一个决策,皆可追踪。每一份承诺,皆不可破。
标签:AI智能体, LLM应用框架, MITM代理, RPA流程自动化, 智能体操作系统, 特征检测, 系统访问控制, 自动化攻击, 自动化编排, 请求拦截