paracoding-ai/paracoding-oss

GitHub: paracoding-ai/paracoding-oss

Paracoding 是一个部署在 Google Cloud 上的受监督 AI 运维环境,通过人工审批网关让 AI agent 安全地提议和执行云基础设施操作。

Stars: 0 | Forks: 0

# Paracoding ### 你专属的云端 AI 运维环境 —— 这是一个经过强化的 Linux 桌面,你可以远程接入,使用你的 Claude 计划登录,并驱动一个受监督的 agent 集群。只需通过一个代码仓库即可部署到*你自己的* Google Cloud 中。 **AI 负责提议。人类负责提交。**
## 你实际获得的内容 Paracoding 可以从这个代码仓库部署到一个全新的 Google Cloud 项目中,搭建起一个你可以自行建立的受监督的 AI 运维环境: - 🖥️ **一个云端支持 AI 的 Linux 桌面。** 这是一台 GCE 工作站,你可以**通过 Chrome Remote Desktop 从任何设备远程接入** —— 甚至是受到严格限制的工作用 Chromebook。它**会在你不使用时自动进入闲置状态**,因此你不必为一台只是停在那里的机器付费。 - 🔐 **使用你自己的 Claude 计划登录。** 在该桌面上使用**你的 Claude Max 订阅**登录,并直接驱动 Claude —— 完整的桌面环境、真实的浏览器、真实的 shell。*(不想使用订阅?我们还提供了一种无密钥路径,可通过 Vertex 将 Claude 费用计入你自己的 Google Cloud 账单。)* - 🤖 **一个受监督的 agent 集群。** 在桌面后台运行着一个小巧且始终在线的控制服务器 —— 它是集群的大脑:包含共享的**任务板、日志和人工执行网关**。具有特定角色作用域的 agent(顾问、紧急访问、发布者等)会在上面提议工作;由你决定哪些可以真正运行。 - 🛡️ **基于硬件信任根且由人工把控。** 每台机器都是基于 Titan 的 Shielded VM,并且没有任何 agent 可以在未经你允许的情况下执行特权操作。 ## 为什么将 AI agent 指向真实基础设施是安全的 大多数“自主 agent”项目都要求你相信 agent 不会做出灾难性的事情。Paracoding 的构建理念恰恰相反: 每一项特权操作都*由 agent 提议,并由人类提交*。确认步骤是服务器强制执行的**仅限人类**操作 —— 它会拒绝任何 agent 连接器,并要求提供任何 agent 都无法拥有的带外 token —— 因此,即使是处于困惑、被误导或被攻陷状态的 agent,也无法更改生产环境。这一特性加上以下几层防护,构成了向 agent 开放云账号的负责任基础: - **硬件信任根(Google Titan)。** 每台机器都是 Shielded VM —— 基于 Titan 的 vTPM、Secure Boot、完整性监控。信任根存在于*低于*攻击者从 OS 内部所能更改的任何内容的底层。 - **每个 agent 独立的身份与最小权限。** 每个 agent 都有自己的由服务器强制执行的身份,并绑定在连接器上 —— 没有 agent 可以冒充其他 agent。集群使用无密钥的 Workload Identity (ADC) 进行身份验证;不存在可能泄露的长期有效密钥。 - **人工执行网关。** Agent 可以*暂存*特权操作;只有人类才能*运行*它。一个专用的确认运行器是特权作业的唯一执行者,并且它**仅**运行人类批准的内容 —— 不存在始终在线的自动执行器。 - **边缘的深度防御。** 控制平面位于 Google Cloud Armor(默认拒绝)、源 IP 允许列表和外部 HTTPS 负载均衡器之后。 - **审计日志优先且可重现。** 每一项操作都会被写入一个只能追加的日志中,并且整个强化集群都可以通过此代码仓库进行重建 —— 部署的状态与经过审查的代码完全匹配。 这个网关并不是 PPT 里的空头支票 —— 它就在你正在阅读的代码中:[`mcp/server.py`](mcp/server.py) 强制执行仅限人类的确认操作,而 [`jobs/confirm_runner.py`](jobs/confirm_runner.py) **仅**执行经过人类确认的作业。 这个项目对其所争取的目标非常明确 —— 硬件信任根、每个 agent 的独立身份、无密钥最小权限、人工审批网关、端到端审计日志、完全可重现性 —— 同时也明确说明了它**未**声明的部分:它未经独立审计,且不作任何合规声明。单一操作员部署会将信任集中在一名操作员身上 —— 这是一个经过深思熟虑的权衡,我们光明正大地声明这一点,而不是将其隐藏。 ## 架构 两台虚拟机,为了控制成本和爆炸半径而分开部署: | | MCP 控制服务器 | 操作员桌面 | |---|---|---| | **角色** | 始终在线的集群大脑 —— 任务板 · 日志 · 确认网关 | 你的工作环境 —— 完整的 Linux 桌面 | | **机器** | 小型、强化、始终运行 | 配置更高;**闲置时自动停止** | | **访问方式** | 位于负载均衡器 + Cloud Armor + 密钥路径身份验证之后 | Chrome Remote Desktop | | **权限** | 仅运行人类确认的作业 | 提议工作;绝不自我批准 | 每台机器都是基于 Titan 的 Shielded VM,通过此代码仓库重建。 ## 快速开始 你需要一个 Google Cloud 项目和 `gcloud` CLI。 1. **配置控制服务器** —— `scripts/rebuild.sh`(一键式主机引导;已经过灾难恢复演练验证)。 2. **配置桌面** —— `scripts/provision-desktop.sh ` —— 参见 [`docs/DESKTOP.md`](docs/DESKTOP.md)。 3. **连接 Chrome Remote Desktop**,使用你的 Claude 计划登录,并运行你的第一个*先提议后批准*的作业。 完整重建操作手册:[`docs/REBUILD.md`](docs/REBUILD.md) · 可选的强化指南:[`docs/OPTIONAL-GCP-HARDENING.md`](docs/OPTIONAL-GCP-HARDENING.md)。 ## 代码仓库内容 | 路径 | 包含内容 | |---|---| | [`mcp/`](mcp/) | MCP 集群服务器 —— 任务板、日志、每个 agent 的身份绑定、人工确认网关 | | [`jobs/`](jobs/) | 人类确认的特权执行器 + 类型化的作业类型白名单 | | [`systemd/`](systemd/) | 单元和定时器 —— **没有始终在线的自动作业运行器**;特权操作必须通过网关 | | [`scripts/`](scripts/) | `rebuild.sh`, `provision-desktop.sh`, `provision-vm.sh`, `verify.sh` | | [`agents/`](agents/permission-model.txt) | 每个 agent 的用户/群组 + workspace 权限模型 | | [`docs/`](docs/) | 重建操作手册、桌面设置、可选的 GCP 强化指南 | ## 状态 **MVP · v1.0 —— 早期开源版本。** 它提供了一个真实的、基于硬件信任根的、由人工把控的安全模型,该模型在发布前已经过威胁建模,但它**尚未**经过独立审计,且不作任何合规声明。在将其指向你无法承受损失的目标之前,请先阅读代码和文档。 ## 许可证 参见 [LICENSE](LICENSE)。
一切皆已证明 · 身份受作用域限制 · 人工把控 · 记录在案 · 可从源码重现。
标签:AI智能体, AI运维, Linux云桌面, 人机协同, 安全沙箱, 特权提升, 自动化部署, 谷歌云, 逆向工具