Visualisez la scène : 3 heures du matin, vous êtes en astreinte, les yeux lourds de fatigue, vous déléguez une requête basique à un agent IA parce que les agents MCP jurent de vous sauver la vie. Mais au lieu d’attraper un seul dossier client, il aspire toute la base — ou pire, se lance dans la réécriture des configs de production. Des gens en chair et en os — vous, moi, les devs qui s’épuisent à jouer les baby-sitters pour agents — voilà le cauchemar que AgentBond veut éradiquer.
AgentBond. Délégation de capacités zero-trust pour agents MCP. Voilà le pitch, et bon sang, il touche une corde sensible après 20 ans à voir la Silicon Valley nous vendre des « agents autonomes » sans laisse.
Pourquoi ça vous concerne, vous le dev épuisé ?
On y est tous passés. La spec MCP ? Super pour connecter les agents. Mais zéro garde-fous sur ce qu’un agent worker peut toucher une fois la tâche déléguée. C’est le problème du deputy confus — tout droit sorti des enfers Unix des années 70, où un processus fait confiance et se fait avoir. Les orchestrateurs comme LangGraph chorégraphient la danse ; ils ne contrôlent pas les pas. Déléguez, et boum : héritage total, sans expiration, sans audit. Votre agent redélègue à un sous-process louche, appelle la mauvaise API, et vous expliquez au CISO pourquoi les données clients ont fuité.
AgentBond renverse la vapeur. Confiance par contrat, pas par accident, comme le dit le créateur. L’orchestrateur Claude raisonne les perms minimales, crache un jeton JWT scopé aux outils, ressources, TTL. L’agent worker tente un appel d’outil ? La couche d’enforcement — déterministe, pas de baratin LLM — vérifie signature, expiration, match outil, périmètre ressource. Échec ? Bloqué, avec motif renvoyé dans le contexte LLM. Il voit le refus, s’adapte ou boude.
La démo qui m’a presque convaincu. Tâche : récupérer les dossiers clients 123 et 456. Jeton ? Seulement 123. Premier appel : feu vert, données passent. Second : « DENIED — RESOURCE_OUT_OF_SCOPE. » Claude observe, bloqué. Instances Claude-haiku en live, pas des scripts jouets.
Le jeton émis par l’orchestrateur n’autorise que read_customer_record sur customer_id=123.
[+] read_customer_record(customer_id=123) ALLOWED [x] read_customer_record(customer_id=456) DENIED – RESOURCE_OUT_OF_SCOPE
Extrait du post. Logs d’une franchise brutale, piste machine-readable de chaque délégation et faux pas.
Mais attention — alerte cynisme. Qui a pondu ça ? Un dev solo, qui open-source ce qui aurait dû être dans MCP dès le départ. Les deux bouts tournent sous Anthropic Claude, donc pub pour leurs modèles ? (Note : haiku-4-5-20251001, tout frais.) Les JWT ? Tout ingénieur capte — auto-contenus, pas d’appel à la maison. Mais en essaim multi-org ? Rotation de clés, révocation ? Le post élude.
AgentBond peut-il stopper les hallucinations d’appels d’outils des agents IA ?
Réponse courte : en grande partie. Les LLM « décident » des actions de façon probabiliste ; AgentBond applique un enforcement orthogonal. LLM veut raser la prod ? Le jeton dit non. Redélégation ? Bloquée sauf opt-in. Log d’audit ? Chaque tentative timestampée, structurée — pas un flou « l’agent a fait un truc ».
Bien stratifié : orchestration (LangGraph) planifie ; enforcement (AgentBond) filtre. Complémentaires, jurent-ils. Ça rappelle SPIFFE/SPIRE dans les service meshes — creds zero-trust pour microservices, maintenant pour agents. Prono audacieux : si MCP décolle (et ça pourrait, les agents sont de la merde brûlante sans ça), AgentBond devient le plugin de facto. Mais qui monétise ? Open source pour l’instant, surveillez les vautours VC autour de la couche audit.
Trois primitives : delegate_capability (mint JWT), invoke_tool (enforce + dispatch), get_audit_log. Wrapper d’orchestration pour les démos. Outils sous-jacents cachés derrière la porte — malin, pas d’accès direct.
L’enforcement est déterministe. Pas de jailbreak LLM sur un mauvais jeton ; c’est du code, pas du chat.
Écoute
