Agent libOS: een Library-OS-geïnspireerde runtime voor langdurige, capaciteitsgestuurde LLM-agenten

Samenvatting

Grote taalmodellen (LLM) agenten evolueren van vraag-antwoordassistenten naar langlopende software-actoren: ze behouden toestand over modelaanroepen heen, splitsen subtaken af, wachten op externe gebeurtenissen, vragen menselijke autoriteit aan, genereren tools, en voeren bijwerkingen uit die moeten worden hervat en gecontroleerd. Dit artikel presenteert Agent libOS, een runtime-substraat voor LLM-agenten dat is geïnspireerd op bibliotheekbesturingssystemen (libOS). Agent libOS draait bovenop een conventioneel hostbesturingssysteem; het implementeert geen hardwarestuurprogramma's, kernelmodusisolatie of een POSIX-compatibel besturingssysteem. In plaats daarvan behandelt het een agent als een AgentProcess: een planbaar uitvoeringssubject met procesidentiteit, ouder-kind afstammingslijn, levenscyclusstatus, een tooltabel afgeleid van een AgentImage, getypeerd Object Memory, expliciete capabilities, menselijke wachtrijen, checkpoints, gebeurtenissen en auditrecords. De centrale ontwerpregel is dat tools libc-achtige wrappers zijn; runtime-primitieven vormen de autoriteitsgrens. Bestandssysteemtoegang, objecttoegang, slaapstanden, menselijke goedkeuring, JIT toolregistratie en externe bijwerkingen worden gecontroleerd op primitiefgrenzen onder expliciete capabilities en beleid. We beschrijven het ontwerp, het dreigingsmodel, het Python-prototype en de veiligheidsgerichte evaluatie. Het huidige prototype implementeert asynchrone planning, namespace-lokaal Object Memory, runtime-geïntegreerde menselijke goedkeuring, eenmalige toestemmingsverleningen, per-proces werkdirectory's, shell- en imageregistratie-primitieven, Deno/TypeScript JIT tools via een libOS syscall-broker, bestandssysteem/object-bridge tools, een injecteerbaar Resource Provider Substrate, deterministische demo's, real-model smoke scripts en op het moment van schrijven 123 regressietests. In plaats van het verbeteren van de planner-nauwkeurigheid, toont Agent libOS een runtime-substraat waarin langlopende LLM-agenten kunnen worden gepland, geautoriseerd, hervat en gecontroleerd, zonder tool dispatch als vertrouwensgrens te behandelen.

English

Large language model (LLM) agents are evolving from request-response assistants into long-running software actors: they maintain state across model calls, fork subtasks, wait for external events, request human authority, generate tools, and perform side effects that must be resumed and audited. This paper presents Agent libOS, a library-OS-inspired runtime substrate for LLM agents. Agent libOS runs above a conventional host operating system; it does not implement hardware drivers, kernel-mode isolation, or a POSIX-compatible operating system. Instead, it treats an agent as an AgentProcess: a schedulable execution subject with process identity, parent-child lineage, lifecycle state, a tool table derived from an AgentImage, typed Object Memory, explicit capabilities, human queues, checkpoints, events, and audit records. Its central design rule is tools are libc-like wrappers; runtime primitives are the authority boundary. Filesystem access, object access, sleeps, human approval, JIT tool registration, and external side effects are checked at primitive boundaries under explicit capabilities and policy. We describe the design, threat model, Python prototype, and safety-oriented evaluation. The current prototype implements async scheduling, namespace-local Object Memory, runtime-integrated human approval, one-shot permission grants, per-process working directories, shell and image-registration primitives, Deno/TypeScript JIT tools over a libOS syscall broker, filesystem/object bridge tools, an injectable Resource Provider Substrate, deterministic demos, real-model smoke scripts, and 123 regression tests at the time of writing. Rather than improving planner accuracy, Agent libOS demonstrates a runtime substrate in which long-running LLM agents can be scheduled, authorized, resumed, and audited without treating tool dispatch as the trust boundary.