ThinkWatch

ThinkWatch 是一款面向企业的 AI 安全网关，采用 Rust 后端 + React 前端构建，通过双端口架构（公网 Gateway :3000 + 内网 Console :3001）统一管控组织内的 AI API 与 MCP 工具调用。

AI API 网关能力：单端口原生兼容 OpenAI Chat Completions、Anthropic Messages、OpenAI Responses 三种格式，支持 OpenAI、Anthropic、Gemini、Azure OpenAI、AWS Bedrock 及任意兼容端点的多供应商路由与自动格式转换；按模型前缀自动路由；流式 SSE 零开销透传与实时 token 计数；虚拟 API Key（tw- 前缀）全生命周期管理；多维度多窗口速率限制与自然周期 token 预算；模型级 token 加权；三态熔断器与指数退避重试；实时成本追踪。

MCP 网关能力：一个端点聚合所有上游 MCP 服务器工具，命名空间隔离避免冲突，工具级 RBAC 精确管控，连接池与健康监控，每次工具调用完整审计。

安全与合规：5 级 RBAC（Super Admin → Viewer）、SSO/OIDC 集成、AES-256-GCM 静态加密、SHA-256 Key 哈希存储、CSP 安全头、JWT 熵强制、会话 IP 绑定、PII 自动脱敏、Distroless 2MB 容器镜像。

可观测性：Prometheus 指标端点、增强健康检查、ClickHouse 列式审计日志、Syslog/Kafka/Webhook 日志转发、统一日志浏览器。

支持 Docker Compose 与 Kubernetes Helm Chart 部署，可作为 Cursor、Claude Code、Cline 等工具的即插即用替代后端。当前版本 v0.1.0，仓库 555+ commits，采用 BSL 1.1 许可（Change Date 2030-04-02，届时转 GPL-2.0-or-later）。