paracoding-ai/paracoding-oss
GitHub: paracoding-ai/paracoding-oss
Paracoding 是一个部署在 Google Cloud 上的受监督 AI 运维环境,通过人工审批网关让 AI agent 安全地提议和执行云基础设施操作。
Stars: 0 | Forks: 0
# Paracoding
### 你专属的云端 AI 运维环境 —— 这是一个经过强化的 Linux 桌面,你可以远程接入,使用你的 Claude 计划登录,并驱动一个受监督的 agent 集群。只需通过一个代码仓库即可部署到*你自己的* Google Cloud 中。
**AI 负责提议。人类负责提交。**
## 你实际获得的内容
Paracoding 可以从这个代码仓库部署到一个全新的 Google Cloud 项目中,搭建起一个你可以自行建立的受监督的 AI 运维环境:
- 🖥️ **一个云端支持 AI 的 Linux 桌面。** 这是一台 GCE 工作站,你可以**通过 Chrome Remote Desktop 从任何设备远程接入** —— 甚至是受到严格限制的工作用 Chromebook。它**会在你不使用时自动进入闲置状态**,因此你不必为一台只是停在那里的机器付费。
- 🔐 **使用你自己的 Claude 计划登录。** 在该桌面上使用**你的 Claude Max 订阅**登录,并直接驱动 Claude —— 完整的桌面环境、真实的浏览器、真实的 shell。*(不想使用订阅?我们还提供了一种无密钥路径,可通过 Vertex 将 Claude 费用计入你自己的 Google Cloud 账单。)*
- 🤖 **一个受监督的 agent 集群。** 在桌面后台运行着一个小巧且始终在线的控制服务器 —— 它是集群的大脑:包含共享的**任务板、日志和人工执行网关**。具有特定角色作用域的 agent(顾问、紧急访问、发布者等)会在上面提议工作;由你决定哪些可以真正运行。
- 🛡️ **基于硬件信任根且由人工把控。** 每台机器都是基于 Titan 的 Shielded VM,并且没有任何 agent 可以在未经你允许的情况下执行特权操作。
## 为什么将 AI agent 指向真实基础设施是安全的
大多数“自主 agent”项目都要求你相信 agent 不会做出灾难性的事情。Paracoding 的构建理念恰恰相反:
每一项特权操作都*由 agent 提议,并由人类提交*。确认步骤是服务器强制执行的**仅限人类**操作 —— 它会拒绝任何 agent 连接器,并要求提供任何 agent 都无法拥有的带外 token —— 因此,即使是处于困惑、被误导或被攻陷状态的 agent,也无法更改生产环境。这一特性加上以下几层防护,构成了向 agent 开放云账号的负责任基础:
- **硬件信任根(Google Titan)。** 每台机器都是 Shielded VM —— 基于 Titan 的 vTPM、Secure Boot、完整性监控。信任根存在于*低于*攻击者从 OS 内部所能更改的任何内容的底层。
- **每个 agent 独立的身份与最小权限。** 每个 agent 都有自己的由服务器强制执行的身份,并绑定在连接器上 —— 没有 agent 可以冒充其他 agent。集群使用无密钥的 Workload Identity (ADC) 进行身份验证;不存在可能泄露的长期有效密钥。
- **人工执行网关。** Agent 可以*暂存*特权操作;只有人类才能*运行*它。一个专用的确认运行器是特权作业的唯一执行者,并且它**仅**运行人类批准的内容 —— 不存在始终在线的自动执行器。
- **边缘的深度防御。** 控制平面位于 Google Cloud Armor(默认拒绝)、源 IP 允许列表和外部 HTTPS 负载均衡器之后。
- **审计日志优先且可重现。** 每一项操作都会被写入一个只能追加的日志中,并且整个强化集群都可以通过此代码仓库进行重建 —— 部署的状态与经过审查的代码完全匹配。
这个网关并不是 PPT 里的空头支票 —— 它就在你正在阅读的代码中:[`mcp/server.py`](mcp/server.py) 强制执行仅限人类的确认操作,而 [`jobs/confirm_runner.py`](jobs/confirm_runner.py) **仅**执行经过人类确认的作业。
这个项目对其所争取的目标非常明确 —— 硬件信任根、每个 agent 的独立身份、无密钥最小权限、人工审批网关、端到端审计日志、完全可重现性 —— 同时也明确说明了它**未**声明的部分:它未经独立审计,且不作任何合规声明。单一操作员部署会将信任集中在一名操作员身上 —— 这是一个经过深思熟虑的权衡,我们光明正大地声明这一点,而不是将其隐藏。
## 架构
两台虚拟机,为了控制成本和爆炸半径而分开部署:
| | MCP 控制服务器 | 操作员桌面 |
|---|---|---|
| **角色** | 始终在线的集群大脑 —— 任务板 · 日志 · 确认网关 | 你的工作环境 —— 完整的 Linux 桌面 |
| **机器** | 小型、强化、始终运行 | 配置更高;**闲置时自动停止** |
| **访问方式** | 位于负载均衡器 + Cloud Armor + 密钥路径身份验证之后 | Chrome Remote Desktop |
| **权限** | 仅运行人类确认的作业 | 提议工作;绝不自我批准 |
每台机器都是基于 Titan 的 Shielded VM,通过此代码仓库重建。
## 快速开始
你需要一个 Google Cloud 项目和 `gcloud` CLI。
1. **配置控制服务器** —— `scripts/rebuild.sh`(一键式主机引导;已经过灾难恢复演练验证)。
2. **配置桌面** —— `scripts/provision-desktop.sh
一切皆已证明 · 身份受作用域限制 · 人工把控 · 记录在案 · 可从源码重现。
标签:AI智能体, AI运维, Linux云桌面, 人机协同, 安全沙箱, 特权提升, 自动化部署, 谷歌云, 逆向工具