IronClaw

IronClaw 是由 nearai 组织维护的开源 Agent OS，以 Rust 为主体语言（86.1%），定位为安全优先的个人 AI 助手平台。其核心设计围绕三个支柱展开：

安全优先：不受信任的工具在 WASM 沙箱中隔离执行，采用基于能力的权限模型；凭证在宿主边界注入且从不暴露给工具代码，配有泄漏检测；内置提示注入防御（Block/Warn/Review/Sanitize 四级策略）；HTTP 端点白名单、每工具速率限制与资源约束构成纵深防御。安全流水线为：WASM → Allowlist Validator → Leak Scan(request) → Credential Injector → Execute → Leak Scan(response) → WASM。

始终可用：支持 REPL、HTTP Webhook、WASM Channels（Telegram/Slack/Discord）、Web Gateway（SSE/WebSocket 实时流式传输）等多通道接入；Docker 沙箱提供容器级隔离，orchestrator/worker 模式配合每任务独立 token；Routines 引擎支持 Cron 调度、事件触发与 Webhook 处理；心跳系统实现主动后台监控；并行作业与自修复机制保障服务连续性。

自扩展与持久记忆：支持根据自然语言描述动态构建 WASM 工具；通过 MCP 协议连接外部能力服务器；插件架构实现即插即用无需重启。持久记忆层基于 PostgreSQL + pgvector，采用全文与向量混合搜索（Reciprocal Rank Fusion 融合），工作空间文件系统与身份文件实现跨会话上下文保持。

项目统一接入 15+ 个 LLM 后端，包括 Anthropic、OpenAI、Google Gemini（OAuth 免 key）、Ollama（本地推理）、AWS Bedrock、MiniMax、GitHub Copilot 等，并支持 OpenAI 兼容端点。所有数据本地存储，AES-256-GCM 加密，无遥测无数据共享。

架构上采用 Channels → Agent Loop → Scheduler/Routines Engine → Workers/Orchestrator → Tool Registry 的分层设计。核心组件包括 Agent Loop（主消息处理与作业协调）、Router（意图分类）、Scheduler（并行作业调度）、Worker（LLM 推理与工具调用）、Orchestrator（容器生命周期管理）、Web Gateway（浏览器 UI）、Routines Engine（后台任务）、Workspace（持久记忆与混合搜索）、Safety Layer（提示注入防御与内容净化）。

采用 Apache-2.0 / MIT 双许可。当前最新版本 v0.27.0（2026-04-29），共 30 个 release，1,336+ commits。提供预编译包、Shell 脚本、Homebrew、Windows Installer 及源码编译等多种安装方式。前置条件为 Rust 1.92+、PostgreSQL 15+（含 pgvector 扩展）及 NEAR AI 账户。Engine v2 为新一代引擎，需通过 ENGINE_V2=true 手动启用，引入 capability 状态词汇表与规范化工具权限等改进。

注意：README 中列出的官网 https://www.ironclaw.com 尚未验证其当前可访问性与活跃状态。