控制面与执行面分离
推理和凭证留在你的 Runtime 上,Wisclaw 云端只做轻量中转。
- Prompt / 任务 / 凭证在本机 Runtime 执行
- 云端仅转发握手、通知与元信息
- 永远不代发推理、不持有 token
产品
为你的私有运行实例打造的控制面。
Wisclaw 把私有运行实例产品化:双引擎 Runtime 留在你的设备上,手机、桌面与浏览器只充当控制面。
控制面配对绑定双引擎多租户审计优先
核心优势
围绕控制面 / 执行面分离设计。
配对绑定式接入
每一条指令都绑定到已配对的私有实例,未授权界面默认只读。
- Runtime owner 本机授权后才能下发
- 手机 / Web / 桌面共享同一条配对链路
- 配对失效自动降级为只读模式
审计与版本治理
任务、产物、配置变更端到端可回溯;多条版本线可控演进。
- 任务时间线 + 产物 + 操作审计留痕
- 控制面 / 协议 / Runtime 独立版本
- Stable / Recommended / Pinned 三档灰度与回滚
架构与关键能力
双引擎、配对、扩展中心、版本通道。
四项基础能力,让 Wisclaw 在多个独立 Runtime 之间保持可用、可扩展、可升级。
双引擎:同步主路径 + 异步桥接引擎
Runtime 侧同时持有同步主执行路径(OpenClaw)与异步桥接引擎(Hermes),能力按 plan 叠加,对配对/计费透明。
- 同步主路径:交互、设备能力、配对、即时任务(所有 plan 默认)
- 异步桥接引擎按 plan 解锁三档:桥接引擎(Pro+)、定时调度(Team+)、多通道路由(Team+)
- FRB 桥接到桌面原生层;两条路径在 Runtime 进程内隔离演进,不影响配对体验
多租户配对:Direct / Workspace / Relay
三种配对方式覆盖个人、团队与跨网络场景,由所有者在 Runtime 本机授权。
- 直连:本机或同网段一对一;Workspace:成员 + 设备 + Runtime 同审计边界;Relay:跨网络代握手
- 所有者在 Runtime 本机确认配对;远程优先 Tailscale Serve / SSH Tunnel
- Wisclaw 云端只转发握手与通知,不做公网入口、不持有 token
扩展中心:已配对实例扩展管理
扩展目录只在"已配对 Runtime"上下文生效,不做面向公众的技能市场。
- 下载 / 校验 / 沙箱化 / 权限确认全部发生在 Runtime 本机
- 手机 / Web 只承载"安装意图"
- 未配对时不展示扩展市场
版本通道与兼容矩阵
App、控制面协议、Runtime 双引擎核心三条版本线独立演进。
- Stable / Recommended / Pinned 三档
- 协议破坏时提示回滚或升级
- 兼容矩阵与诊断报告在控制面统一呈现
能力边界
Wisclaw 主动不做的事,同样重要。
清晰的边界用来保护你的凭证、对齐应用商店审核规则与中国大陆生成式 AI 监管要求。
不做的(红区)
- ❌ 实时远端桌面 / 云浏览器投屏
- ❌ 把 operator 级原始交互映射到手机手势
- ❌ 云端代发推理请求或持有 token
- ❌ 未配对状态下提供自由 Prompt 或扩展市场
主做的(绿区)
- ✅ 任务 / 审批 / 模板 / 产物查看
- ✅ 已配对 Runtime 的配对绑定式指令发送
- ✅ 审计日志、时间线与告警推送
- ✅ 基于 owner 授权的扩展与模型 allowlist 配置
运行实例控制
运行实例控制
时间线与产物
看得见每个任务的"前因后果",不做远端桌面投屏。
- 阶段状态、关键产物、错误摘要
- 按时间轴回看或跳转到某一步
- 产物下载与审计链路联动
任务下发与审批
预置任务与模板下发,敏感操作先审批再执行。
- 任务 / 模板库一键下发
- 敏感操作走审批链
- Runtime 离线时发送入口自动禁用
告警与通知
重要状态变化推送到你在用的那块屏幕。
- 异常 / 审批 / 完成事件推送
- 支持桌面、移动、Web 多端到达
- 配对失效时自动停止发送
安装与治理
安装与治理
桌面向导
可视化装 Runtime,不依赖命令行。
- 检测系统依赖与权限
- 初始化双引擎运行实例(同步主路径 + 异步桥接引擎)
- 首次配对与 owner 授权
版本通道
三档通道让升级可控、回滚可控。
- Stable / Recommended / Pinned
- 控制面 / 协议 / Runtime 独立演进
- 兼容矩阵一屏可读
诊断与回滚
出现不兼容时,保留一条可退路。
- Runtime 健康检查
- 依赖版本与诊断报告
- 按通道安全回滚
安全与审计
安全与审计
传输加密
Wisclaw 云端只转发密文,不持有 token。
- 全链路 TLS 1.3 + HSTS
- Token 由 Runtime 公钥封装
- 凭证不落控制面磁盘
配对与授权
下发动作前先校验"已配对 + 在线"。
- 所有者在 Runtime 本机确认配对
- 四级角色权限:所有者 / 管理员 / 操作员 / 审计员
- 一次性配对凭证可随时吊销
审计追溯
所有动作留痕,支持导出与归档。
- 任务、审批、配置变更
- 配对 / 扩展 / 模型 allowlist 变更
- 按时间范围搜索与导出
多租户与团队协作
多租户与团队协作
组织 → Workspace → Runtime 三层模型
组织管计费与合同,Workspace 圈定审计与配对边界,Runtime 真正承载执行。
- 一个组织可以创建多个 Workspace(按部门 / 业务线划分)
- 每个 Workspace 拥有独立的成员、配对、审批与审计视图
- Runtime 加入 Workspace 后才被四级角色权限管控
四级角色权限:所有者 / 管理员 / 操作员 / 审计员
按职能切分权限,告别"共用一个管理员账号"。
- 所有者:组织所有权 + 计费 + 危险操作
- 管理员:成员 / 配对 / 扩展 / 审批配置
- 操作员负责日常下发与审批;审计员只读审计与配对记录
三种配对方式覆盖全场景
按场景选择:个人直连、团队 Workspace、跨网络中继;后续可平滑升级。
- 直连(Direct):本机或同网段一对一
- Workspace:成员、设备、Runtime 共属同一审计与配对边界
- Relay:跨网络由 Wisclaw 协助代握手,所有者仍需审批
审批链与企业微信 / 飞书集成
把告警和审批塞进团队每天在用的消息流,所有响应留痕到 Workspace 审计日志。
- 任务告警 / 审批请求接入企业微信、飞书等
- 可配置多级审批节点;批准 / 拒绝 / 撤销均留痕
- 用户凭证只留在 Runtime 本机,不外发给第三方通道
技术架构
仓库里真正在用的技术栈。
Flutter 多端 UI、Flutter-Rust Bridge 原生集成、Runtime 端双引擎运行实例(同步主路径 + 异步桥接引擎)、TypeScript 控制 API、REST + SSE 配对通道、PostgreSQL 元数据。Token 始终留在你的 Runtime 本机。
多端 UI
Flutter
桌面 / 移动 + Next.js 官网 & Console
桌面原生集成
Flutter-Rust Bridge
承接本地 Runtime 与系统能力
引擎执行面
同步主路径 + 异步桥接引擎
同步主路径 = OpenClaw;异步桥接引擎 = Hermes,负责长任务 / 记忆 / 可恢复执行
控制 API
TypeScript · Node.js
services/control_api
通信协议
REST + SSE
配对 / 心跳 / 通知
存储
PostgreSQL
仅控制面元数据;凭证留在 Runtime 本机密钥链
平台支持
Runtime 在你的设备上,控制面覆盖全部端。
macOS / Windows / Linux
桌面端
在自己的电脑或云主机上部署 Runtime,由它持有 API Key、发起推理请求、保存工作区与扩展。桌面端也是日常操作与所有者授权的主入口。
iOS / Android
移动端
与桌面端 Runtime 完成配对后,在手机上审批任务、查看时间线、回看产物、接收通知。未配对或 Runtime 离线时不提供输入框,避免把手机当成远端瘦终端。
浏览器(wisclaw.cc/console)
网页控制台
面向团队与临时接入的 Web 控制台:与已绑定的 Runtime 下发指令、查看审计与产物。所有凭证只留在 Runtime 本机,不在云端集中存储。
立即开始
把 Runtime 装在自己的设备上,用 Wisclaw 作为控制面。
免费下载桌面 Runtime,数分钟内从任意端完成配对。