Paradigm と Tempo の連合がオープンソースした Centaur、自前の AI エージェント フレームワーク

暗号資産投資会社の Paradigm と Tempo は 5 月 21 日、共同で Centaur をオープンソース化しました。これは、自己完結型のマルチユーザー協調型の AI Agent 実行ランタイムのフレームワークで、1 月以降は Paradigm 内部で投資やエンジニアリングなど複数の部門にわたり幅広く利用されています。Centaur は「共有バーチャル社員」の形態で動作し、Slack のスレッドまたは API から呼び出すことができます。

セキュリティ設計：Iron Proxy がネットワーク層にて認証情報を注入

Centaur の中核となるセキュリティ設計は「Agent は決して API キーを保持しない」ことです。すべての認証情報は隔離された鍵管理マネージャーに集約されており、各サンドボックス・コンテナと外部ネットワークの間には Iron Proxy ファイアウォールが配置されています。Agent が外部 API にリクエストを送信すると、ファイアウォールは宛先ホストを識別し、鍵管理マネージャーから対応する認証情報を取り出して、送信先リクエストヘッダに注入して転送します——Agent が参照できるのは API の応答のみで、元のキーの値を取得することはありません。すべての送信リクエストはファイアウォールによって記録され、LLM API の応答本文は漏えいを検知して遮蔽するために即時スキャンされます。

サービス化されたアーキテクチャ：Slackbot、FastAPI、Postgres とサンドボックス・コンテナ

Centaur はステートレスなサービスアーキテクチャを採用し、すべての状態は Postgres に永続化されます。各サービスが再起動してもコンテキストは失われません。主要コンポーネントには、Slackbot（Next.js webhook リスナー）、FastAPI のコントロールプレーン（Agent セッションのライフサイクルとツールのエンドポイントを管理）、および各 Slack スレッドごとに独立したサンドボックス・コンテナ（Node.js、Python、Rust、Git を事前導入し、内部ネットワークアクセスのみに限定）があります。ワークフロー・エンジンは、手順レベルの Postgres チェックポイントでタスク進捗を記録し、クラッシュ後は最後に完了した手順までを正確に復元して、完了済みの作業を重複実行せずに済むよう設計されています。設計の着想は Absurd の Postgres を駆動するアーキテクチャに由来します。

拡張メカニズム：ツール、スキル、ワークフローのオープンなインターフェース

Centaur の拡張メカニズムは 3 つの部分で構成されています。ツール（Tools）は Python 系で、tools/ ディレクトリに配置すると API が自動で検出して REST エンドポイントを生成し、ホットリロードに対応します。ツールは pyproject.toml の中で必要な API ホストと認証情報を宣言し、防火壁による注入に合わせます。スキル（Skills）は .agents/skills/*/SKILL.md ファイルで、追加すると各 Agent セッションが自動的に継承します。ワークフロー（Workflows）は workflows/ ディレクトリ配下の Python ファイルで、cron の定時実行、API によるトリガー、ワークフローの組み合わせに対応します。企業は Overlay 方式で Docker イメージをマウントし、会社固有のツールやスキルを提供できます。Centaur は毎日自己省察を実行し、コアコードを修正することなくスキルとツールを自動的に改善します。

よくある質問

Centaur はどうやって API キーが Agent に盗まれないことを保証しますか？

すべての API キーは隔離された鍵管理マネージャーに集約され、Agent は環境変数、ディスク、メモリのいずれにおいてもキーを保持しません。Iron Proxy ファイアウォールはネットワーク層で認証情報を注入し、ネットワークポリシーによりすべての送信トラフィックは必ずファイアウォールを経由するよう強制されます。すべての送信リクエストは記録され、スキャンされます。たとえ Agent がリアルタイムの注入攻撃を受けたとしても、攻撃者はキーの値を取り出すことはできません。

Centaur のワークフロー・エンジンはどのようにしてクラッシュからの復旧を実現しますか？

ワークフロー・エンジンは、各手順の実行状態を Postgres のチェックポイントとして永続化します。実行中にクラッシュした場合、エンジンは最後に完了した手順から正確に復旧し、重複実行せず、また中間結果も失いません。手順間の待機時間（たとえば 24 時間のスリープ）は資源の消費を生まず、エンジンの期限が来ると自動的にワークフローが再開します。

現時点でオープンソース化されている部分には何が含まれ、今後の計画は何ですか？

オープンソース化されている内容には、コアとなるサービスのコード（API、ファイアウォール、鍵管理マネージャー）と、拡張テンプレートのリポジトリが含まれます。Centaur は、コアとユーザー空間（ツール、スキル、ワークフロー）を意図的に分離しており、公式には、将来的にはユーザー空間の能力をさらに強化する予定だと述べていますが、具体的な機能のロードマップや時期はまだ公表されていません。