Selon l’annonce du projet Wardgate (11 février 2026), l’outil se place entre les agents IA et le monde extérieur pour isoler les identifiants, contrôler l’accès aux APIs et garder l’exécution de commandes à distance dans des environnements dédiés appelés conclaves.

Wardgate répond aux risques mis en avant par l’éditeur: fuite d’identifiants (via sorties de modèles, logs ou attaques), prompt injection entraînant des actions non intentionnées (ex. ‘rm -rf /’, exfiltration via ‘curl’), et équivalence d’accès entre agent compromis et permissions accordées. Il souligne que la conteneurisation seule ne suffit pas si les identifiants sont remis à l’agent et que des projets existants exigent de faire confiance à l’agent lui‑même.

La solution propose deux couches complémentaires 🛡️:

  • API Gateway: l’agent appelle Wardgate, qui appelle les APIs externes en injectant les identifiants sans les exposer à l’agent; des règles d’accès fines (lecture seule, interdiction de suppression, approbation avant envoi) s’appliquent, avec presets pour des services (Todoist, GitHub, Cloudflare, Google Calendar, Postmark, Sentry, IMAP/SMTP), adaptateurs de protocole (HTTP/REST, IMAP/SMTP via wrappers REST) et filtrage de données sensibles (OTP, liens de vérification, clés API).
  • Conclaves (exécution distante isolée): chaque conclave isole données, outils (ex. ‘rg’, ‘git’, ‘cat’) et réseau (sortant vers Wardgate uniquement, aucun port entrant). Les pipelines sont parsés pour évaluer chaque commande, avec politiques par conclave (allow/deny/ask), motifs d’arguments et restrictions de répertoires.

Des fonctions transverses renforcent le contrôle et la traçabilité 🔎:

  • Journalisation d’audit de toutes les requêtes et commandes.
  • Workflows d’approbation pour opérations sensibles (envoi d’email, suppression de données, ‘git push’).
  • Détection d’anomalies (patterns inhabituels comme récupération soudaine de 100 emails, etc.).
  • Admin UI & CLI pour gérer approbations, logs et supervision; wardgate-cli remplace ‘curl’ côté agent et empêche les connexions arbitraires.

L’annonce inclut des exemples concrets ✅: un preset Todoist avec capacités ‘read_data’/‘create_tasks’/‘close_tasks’ autorisées mais ‘delete_tasks’ refusée; un conclave ‘obsidian’ (notes) autorisant ‘cat’ et ‘rg’, demandant approbation pour ’tee’ et refusant le reste. Un démarrage rapide (fichiers .env et config.yaml, exécution de ‘wardgate’) et une documentation couvrant installation, architecture de sécurité, système de politique, références de presets et configuration, conclaves, wardgate-cli (et skill IA), ainsi qu’un guide de déploiement, sont fournis. Il s’agit d’une annonce de nouvel outil visant à établir une frontière de sécurité entre agents IA et systèmes.

🔗 Source originale : https://github.com/wardgate/wardgate