Ihre KI bekommt Werkzeuge.
Das Netz bekommt nichts.
Searxly Agentic Tools ist ein kleiner Server, der in der App auf Ihrer Maschine läuft und Ihrer eigenen lokalen KI erlaubt, Searxlys private Web-Werkzeuge aufzurufen. Er lauscht nur auf Loopback, verlangt ein Token auf jeder Anfrage und ist aus, bis Sie ihn einschalten. Keine andere Maschine und kein KI-Unternehmen kann ihn erreichen. Und jeder Aufruf, den er annimmt, wird von Bulwark geprüft — demselben quelloffenen Schild, der Zusammenfassungen schützt, erweitert auf die ganze Werkzeugschleife.
Searxly exponiert die Werkzeuge. Sie bringen das Modell.
Searxly liefert keine eigene KI mehr. Stattdessen exponiert es sein privates Browsing als Werkzeuge, die das lokale Modell, das Sie bereits laufen lassen, über das Model Context Protocol aufrufen kann. Diese Seite handelt davon, wie dieser Werkzeugserver abgesichert ist — jede Barriere zwischen den Anfragen Ihres Modells und dem Rest Ihrer Maschine, und warum hier nichts je eine Cloud erreicht.
Lokal von Konstruktion, standardmäßig aus.
Nur Loopback
Der Server bindet an 127.0.0.1 und nie an 0.0.0.0. Als gestaffelte Verteidigung wird selbst eine Verbindung, die irgendwie von außerhalb der Maschine ankommt, rundweg abgelehnt.
Token auf jeder Anfrage
Ein Zufallstoken wird in Ihre Keychain gemint und als Bearer-Credential auf jedem Aufruf verlangt, in konstanter Zeit verglichen. Kein Token, keine Werkzeuge.
Anti DNS-Rebinding
Jede Anfrage mit einem Origin-Header wird abgelehnt, und der Host muss Loopback sein — damit eine bösartige Webseite Ihren Browser nicht dazu bringen kann, den Server hinter Ihrem Rücken zu steuern.
Standardmäßig aus
Es wird deaktiviert ausgeliefert. Einschalten ist eine bewusste Wahl, und sein Status wird klar angezeigt, während es läuft.
Schalter pro Werkzeug
Schalten Sie einzelne Werkzeuge ein oder aus. Ein deaktiviertes Werkzeug verschwindet aus der Discovery und wird abgelehnt, wenn ein Modell es trotzdem aufruft.
Browsersteuerung ist ein zweites Opt-in
Die Werkzeuge, die auf Ihren Tab wirken können — click, type, navigate — sind versteckt und abgelehnt, bis Sie die Browsersteuerung separat aktivieren.
Nichts an irgendeinen KI-Anbieter
Werkzeuge fahren über Ihr eigenes SearXNG und Ihre eigene Maschine. Searxly sendet nichts an irgendeinen Modell-Host; die KI ist die, die Sie laufen lassen.
Läuft sandboxed
Der Server lebt in der App Sandbox mit nur dem Loopback-Server-Entitlement, das er braucht — nichts mehr.
Jeder Aufruf protokolliert
Ein Live-Aktivitätslog zeichnet jeden Werkzeugaufruf auf, damit Sie genau sehen, was Ihr Modell wann getan hat.
Bulwark auf jedem Aufruf
Jeder Aufruf wird von Bulwark geprüft, bevor er läuft, und jedes Web-Ergebnis wird gescannt und als Daten gewrappt, bevor Ihr Modell es liest. Details unten.
Angriffe pausieren Aktionen
Versucht eine Seite, Ihr Modell zu instruieren, werden die Werkzeuge, die handeln, sofort pausiert. Suchen und Lesen laufen weiter; nur Sie können fortsetzen drücken.
Durchgegangene Schleifen gestoppt
Ein gleitendes Rate-Limit und Erkennung wiederholter Aufrufe stoppen ein hängengebliebenes — oder gekapertes — Modell davor, die Werkzeuge schneller zu hämmern, als echte Arbeit aussieht, und sagen dem Modell genau, wie lange es warten soll, bevor es erneut versucht.
Fragen, bevor es handelt
Ein Formular ausfüllen ist frei, aber eines absenden — Daten posten, ein Konto anlegen, eine Nachricht senden — pausiert für Ihre Ein-Tipp-Freigabe. Nur der irreversible Schritt wartet auf Sie.
Ein abgemeldeter Agent
Optional den Agenten in einem privaten, abgemeldeten Tab abschotten, damit er nicht als der angemeldete Sie handeln oder Ihre Sessions und Cookies berühren kann.
Ihr sofortiger Kill-Switch
Ein Tipp pausiert jedes handelnde Werkzeug, während Suchen und Lesen weiterlaufen — sobald etwas seltsam wirkt, stoppen Sie es kalt.
Persönliche Angaben, geschwärzt
E-Mails, Telefonnummern, Kartennummern, Namen und Adressen in Werkzeugergebnissen werden von Rampart durch Platzhalter ersetzt, bevor Ihr Modell sie je sieht — damit ein Cloud-Modell nie Ihre privaten Daten erhält.
Lesen ist leicht. Handeln ist das Risiko.
Ein Zusammenfasser, der reingelegt wird, schreibt eine schlechte Zusammenfassung. Ein Agent, der reingelegt wird, tut Dinge. Wenn ein Modell Werkzeuge aufrufen kann, verzerrt eine feindliche Seite nicht nur die Antwort — sie versucht, den nächsten Werkzeugaufruf zu steuern. Deshalb läuft jeder Agentic-Tools-Aufruf durch Bulwark, unseren quelloffenen Schutz, aufgerüstet vom Schutz von Zusammenfassungen zum Schutz der ganzen Agentenschleife. Es läuft auch andersherum: Rampart entfernt personenbezogene Informationen aus jedem Ergebnis, bevor Ihre KI es sieht, damit nichts Privates an ein Cloud-Modell leckt.
Eine feindliche Seite versucht, Ihre Hände zu werden.
Der kanonische Agentenangriff ist eine Eskalationskette: das Modell liest eine Seite, die eine Anweisung versteckt, die Anweisung sagt ihm, ein anderes Werkzeug aufzurufen, und dieser Aufruf trägt Ihre Daten zu jemand anderem Server. Bulwark bricht die Kette an mehr als einem Glied — sodass selbst ein Modell, das reingelegt wurde, den Diebstahl nicht vollenden kann.
- ✓Der Seitentext erreicht das Modell als Daten gewrappt, nicht als Anweisungen
- ✓Der Angriff wird erkannt — handelnde Werkzeuge werden pausiert
- ✓Der Exfiltrations-Link selbst wird allein an seiner Form abgelehnt
Drei Engpässe.
Argumente bevor ein Werkzeug läuft
Jedes Argument wird geprüft. Links, die nur existieren, um Daten hinauszutragen, werden allein an ihrer Form abgelehnt — tausende Zeichen lang, ein riesiger kodierter Blob in der Query, Credentials im Host eingebacken, oder ein Nicht-Web- Schema wie javascript:. Argumente mit unsichtbarem Unicode (der Trick mit versteckten Zeichen) werden rundweg abgelehnt. Das Modell bekommt eine Klartext-Begründung, kein stilles Scheitern.
Ausgaben nachdem ein Web-Werkzeug zurückkehrt
Suchergebnisse, Seiten und Snapshots werden bereinigt, gegen Bulwarks mehrsprachige Injection-Signaturen bewertet und vor dem Lesen durch Ihr Modell in eine Random-Nonce-Grenze gewrappt — dasselbe Spotlighting, das Zusammenfassungen schützt. Der Inhalt kommt unmissverständlich als Daten an; ein gefälschtes Schließ-Tag in der Seite kann den Wrapper nicht verlassen.
Die Schleife über Aufrufe hinweg
Ein gleitendes Rate-Limit stoppt durchgegangene Schleifen. Und die Taint-Regel: sobald injizierter Inhalt in irgendeinem Ergebnis gesehen wird, wird jedes handelnde Werkzeug — click, type, navigate, Tabs öffnen, Lesezeichen speichern — abgelehnt, während nur-lesende Suche und Lesen weiterlaufen. Die Pause hält, bis ein Mensch sie beendet.
Pausiert heißt pausiert — bis Sie etwas anderes sagen.
Wenn der Schutz auslöst, zeigt Einstellungen → Agentic Tools in klaren Worten, was passiert ist — welches Werkzeug den feindlichen Inhalt hereingebracht hat und was pausiert ist — neben einem einzigen Button Aktionen fortsetzen. Die Ablehnung, die Ihr Modell erhält, sagt ihm, Sie zu fragen, nicht erneut zu versuchen. Kein Timeout rüstet es still wieder; kein Modell kann sich vorbeireden.
Der ehrliche Vorbehalt gilt hier wie überall: Prompt Injection ist kein gelöstes Problem, und niemand sollte Ihnen sagen, sein Agent sei unhackbar. Bulwarks Aufgabe ist geschichtete Eindämmung — leichte Angriffe scheitern rundweg, schwere reißen unterwegs einen Draht, und sobald einer es tut, hört Ihr Browser auf zu handeln und fängt an zu fragen.
Jede Anfrage läuft einen Spießrutenlauf.
Ein Werkzeugaufruf von Ihrem Modell kommt auf der Loopback-Schnittstelle an, trägt sein Bearer-Token und wird auf eine feindliche Origin geprüft, bevor etwas läuft. Dann prüft Bulwark den Aufruf selbst — Argumente, Rate und ob Aktionen pausiert sind. Erst dann führt das Werkzeug aus — gegen Ihr eigenes SearXNG oder Ihren eigenen aktiven Tab — und das Ergebnis kommt gescannt, gewrappt und protokolliert zurück. An keinem Punkt kreuzt eine Anfrage, ein Prompt oder ein Ergebnis zu einem Searxly-Server oder irgendeinem KI-Anbieter.
- ✓Loopback-Bind — vom Netz unerreichbar
- ✓Token, Origin und Host auf jedem Aufruf geprüft
- ✓Bulwark prüft den Aufruf und wrappt das Ergebnis
- ✓Läuft gegen Ihr SearXNG, auf Ihrem Mac
Ein typisches Browser-KI-Backend
- ✕Ihr Prompt und der Seitenkontext gehen zu den Servern eines Anbieters
- ✕Das Modell ist ihres — Sie können es weder sehen noch tauschen
- ✕Immer an, an ein Konto und eine Werbeidentität gebunden
- ✕Werkzeugaufrufe laufen ungeschützt — eine feindliche Seite kann sie steuern
- ✕Sie vertrauen einer Pipeline, die Sie nicht inspizieren können
Searxly Agentic Tools
- ✓Werkzeuge laufen auf Ihrem Mac — nichts an irgendein KI-Unternehmen gesendet
- ✓Das Modell ist Ihres, welches auch immer Sie laufen lassen
- ✓Standardmäßig aus · loopback-only · token-geschützt
- ✓Jeder Aufruf von Bulwark geprüft — open source, auditierbar
- ✓Offener Standard, jeder Aufruf protokolliert
Der Server ist lokal. Ihre Modellwahl ist Ihre.
Searxlys Werkzeuge verlassen Ihren Mac nie — aber die KI, die sie aufruft, ist eine, die Sie wählen. Zeigen Sie Agentic Tools auf ein lokales Modell wie Ollama oder LM Studio und die ganze Schleife ist auf dem Gerät, mit einem Netzwerkmonitor verifizierbar. Zeigen Sie es auf ein Cloud-Modell und, während Searxly die Werkzeuge weiter lokal ausführt, ist das, was Ihr Client an diesen Anbieter sendet, zwischen Ihnen und ihnen. Wenn gar nichts verlassen soll, laufen Sie ein lokales Modell. Agentic Tools wurde genau dafür gebaut.
„Fähigkeit ohne Überwachung.“
Der privateste Assistent ist der, den Sie bereits laufen lassen — mit ehrlichen Werkzeugen und nichts, worüber man nach Hause telefonieren müsste.