CORE：为 AI 编码代理加一层「宪法」

AI 编码代理能力越来越强，但也越来越容易「闯祸」：随意删除文件、绕过架构约束、在生产数据库上动手脚。一个名为 CORE 的开源项目尝试用机器可强制执行的「宪法式」规则，从结构上阻断这类危险操作，而不是事后告警。

项目概览

CORE 由开发者 Dariusz Newecki 开源，目前以 2.x 版本发布在 PyPI（Beta 阶段，遵循 SemVer），代码托管在 GitHub 仓库 DariuszNewecki/CORE。它将自己定位为「治理运行时（governance runtime）」，核心理念是「LLM 在 CORE 内部运行，永远不能凌驾于 CORE 之上」。项目自带一键安装脚本 install-core.sh，可在 Docker 中完成部署并现场运行后果链（consequence-chain）演示，无需任何 LLM API Key。

核心机制：宪法式硬阻断

CORE 用一组机器可读规则约束代理行为。当代理提议某个动作时，系统会先做合法性校验：若违反规则则直接「硬阻断（HARD HALT）」并写入完整审计日志；若通过则进入自动执行或人工审批流程。项目在文档中给出的典型场景是：

• 代理：「我要删除生产数据库来修这个 bug」
• CORE：依据 data.ssot.database_primacy 规则阻断，执行中止，违规已记录。

项目同时区分两类授权路径：风险等级为「安全」的操作由系统按 risk_classification.safe_auto_approval 自动放行；涉及结构性变更的则需要 principal.governor 角色人工审批，两者使用同一份审计 schema。

四层架构

CORE 把代码仓库划分为四层，并把这些分层关系当作「法律」而非「约定」来强制执行：

• Specs（人类意图）：.specs/ 目录，存放架构文档、北极星说明、ADR 等，只读且由人撰写。
• Mind（法律）：.intent/ 与 src/mind/，定义允许、必须、禁止的规则，以及「Meta → Constitution → Policy → Code」的权威等级，共 215 条规则、15 个执行引擎。
• Will（裁决）：src/will/，按 INTERPRET → PLAN → GENERATE → VALIDATE → STYLE CHECK → EXECUTE 的阶段流水线编排推理，并记录每一次决策。
• Body（执行）：src/body/，负责文件读写、Git 操作、测试运行等原子动作，本身不判断也不治理。

审计与可复现性

项目强调「治理可执行、可审计」。每一步操作都会留下 FINDING → PROPOSAL → APPROVAL → EXECUTION → FILE CHANGE 的完整因果链，时间戳、提交哈希、耗时、增删行数都记录在案，用户可直接通过 proposal_consequences 与 blackboard_entries 表查询。文档列出了两条示例链：一条是 ruff 格式化检查的自动审批（1.29 秒完成，+105/-0 行），一条是补全 docstring 的人工审批（24.5 秒，+26/-0 行），方便读者对照验证。

适用场景与局限

CORE 主要面向需要让 AI 代理长期、自主修改代码库的团队，关心变更可追溯、架构约束不被绕过的场景。不过项目仍处于 Beta，作者为个人开发者，缺乏第三方背书与大规模生产验证；规则的编写质量直接决定治理效果，本身也引入新的维护成本。对于只是偶尔使用 Copilot 类工具补全片段的个人开发者来说，这套运行时显得有些重。