source: https://www.paradigm.xyz/2026/05/open-sourcing-centaur-multiplayer-self-hosted-secure-agents
tags: [agent, platform, team-collaboration, open-source, security, paradigm]
rating: 4.5/5 — 企业级架构设计,安全模型一流,Paradigm 背书,适合团队/组织级部署
related: [openclacky-report, slock-report, fastclaw-report]
Centaur — Paradigm 开源的多玩家、自托管、安全 AI Agent 平台
> 一句话版本: Paradigm(顶级加密风投)和 Tempo 把内部用了半年的 AI Agent 平台开源了——你在 Slack 里 @它,它就在独立沙箱里替你干活,所有 API 密钥藏在防火墙后面,Agent 自己都看不到密码。
基本信息
| 字段 | 内容 |
|---|---|
| **项目** | Centaur (paradigmxyz/centaur) |
| **官网** | https://centaur.run/ |
| **许可证** | Apache 2.0(博客声明)/ MIT(官网 footer) |
| **语言** | Python 88.7% + TypeScript 8.9% |
| **Stars** | 214 · **Forks** 27 |
| **作者** | Georgios Konstantopoulos, Arjun Balaji, Dan Robinson 等 Paradigm 团队 |
| **投资方** | Paradigm(知名加密风投,$2.5B+ AUM) |
| **发布时间** | 2026-05-21(今日发布) |
| **内核** | FastAPI + Postgres + Kubernetes + iron-proxy |
| **部署方式** | 自托管,Kubernetes 集群 |
这是什么?
Centaur 是一个为团队协作设计的 AI Agent 平台。
不同于个人使用的 Agent(如 Claude Code、OpenClaw),Centaur 解决的是 组织级 需求:
- Slack 原生:在 Slack 频道里 @centaur,它就在该线程里回复
- 每个线程一个沙箱:每个对话分配独立的 Kubernetes 容器,里面有 shell、git、Python、Node.js 等开发工具
- Harness 无关:你选 Amp、Claude Code、Codex 或任何 CLI Agent 做执行引擎
- 工具共享:写一个 Python 类放到 tools/,所有 Agent 对话立刻能用
- 工作流持久化:Python 工作流,每一步 checkpoint 到 Postgres,进程崩溃后从断点恢复
- 永不泄露密钥:Agent 在沙箱里运行,看不到任何真实 API Key,防火墙在请求外出时自动注入凭证
架构深度解析
核心服务
Slack / API
│
▼
┌─────────────┐ ┌──────────────────┐
│ Slackbot │───▶│ Centaur API │
│ (Next.js) │ │ (FastAPI) │
└─────────────┘ └───────┬──────────┘
│
┌────────────┼──────────────┐
▼ ▼ ▼
┌──────────┐ ┌──────────┐ ┌──────────────┐
│ Postgres │ │ 沙箱 │ │ iron-proxy │
│ (状态) │ │ (K8s) │ │ (防火墙) │
└──────────┘ └──────────┘ └──────────────┘
│
▼
外部 API(Slack/GitHub/Google等)
| 组件 | 功能 |
|---|---|
| **Slackbot** | 极薄的 Next.js webhook 监听器,收到 @centaur 后调用 API |
| **API** | FastAPI 控制平面,管理会话生命周期,生成工具 REST 端点,运行持久化工作流引擎 |
| **Postgres** | 唯一事实来源。线程分配、执行状态、工作流 checkpoint、API 密钥、审计日志 — 全部持久化 |
| **沙箱** | 每个对话一个 Kubernetes 容器,内部网络隔离,资源限制,预启动池消除冷启动延迟 |
| **iron-proxy** | 基于 mitmproxy 的网络安全边界,拦截所有出口流量,在请求到达外部 API 前注入正确凭证 |
安全模型(核心创新)
这是 Centaur 最有价值的设计。传统方案把 API Key 放环境变量,Agent 请求直接发出去。Centaur 完全不同:
1. 工具在 pyproject.toml 声明需要哪些密钥和对接哪些 API 域名
2. 沙箱启动时,iron-proxy 构建映射:api.slack.com → SLACK_BOT_TOKEN
3. Agent 调用工具 → 请求从沙箱发出 → 经过防火墙 → 防火墙匹配域名,注入正确密钥 → 请求到达外部 API
4. Agent 从始至终看不到密钥。即使被 prompt injection 攻击,也无法窃取凭证
5. 所有出口请求被记录,LLM 响应体实时扫描泄露密钥并脱敏
> ❌ 传统方案:API_KEY=xxx 环境变量 → Agent 直接发请求
> ✅ Centaur:Agent 发请求 → iron-proxy 拦截 → 匹配域名注入密钥 → 外部 API
工具系统(Extension Point #1)
# tools/my-tool/client.py — 整个文件就是一个工具
import httpx
class MyToolClient:
def search(self, query: str, limit: int = 10) -> dict:
"""Search for something."""
return httpx.get(f"https://api.example.com/search?q={query}&limit={limit}").json()
def _client():
return MyToolClient()
- 丢到 tools/ 目录后自动发现、自动生成 REST 端点、热重载
- 一个工具的
search()方法自动变成POST /tools/my_tool/search - 声明在 pyproject.toml 中的 API 域名和密钥由防火墙自动处理
工作流系统(Extension Point #2)
# workflows/daily_digest.py
WORKFLOW_NAME = "daily_digest"
async def handler(inp, ctx):
data = await ctx.step("fetch", lambda: fetch_metrics())
await ctx.sleep("wait", timedelta(hours=24))
await ctx.run_agent("summarize", text=f"Summarize: {data}")
- 每步 checkpoint 到 Postgres
- 进程崩溃 → 精确恢复断点
- sleep 24 小时不消耗资源(工作流挂起,引擎到时间唤醒)
- 受 Absurd 的 Postgres 驱动架构启发
Overlay 系统
每个公司可以基于 Overlay 构建自己的 Agent 版本——通过 Docker 镜像叠加到核心服务上,添加自有工具、工作流、人设、Skill,不 fork 核心代码。
与 OpenClaw / 其他 Agent 的对比
| 维度 | OpenClaw | Centaur | OpenClacky | 备注 |
|---|---|---|---|---|
| **核心定位** | 个人 Agent | 团队 Agent | 个人 Agent | 根本差异 |
| **交互方式** | 多聊天平台 | Slack 原生 | 终端 + Web UI | |
| **安全模型** | 传统密钥 | iron-proxy 防火墙 | 传统密钥 | Centaur 最优 |
| **持久化工作流** | ❌ | ✅ Postgres checkpoint | ❌ | 企业级需求 |
| **语言** | Node.js | Python (FastAPI) | Ruby | |
| **部署** | 进程式 | Kubernetes 集群 | 进程式 + 桌面安装 | |
| **Harness** | 内置 PI | 用户自选 (Amp/Codex/etc) | 内置 | |
| **工具系统** | Skills + Tools | Python 插件 | invoke_skill | |
| **组织级共享** | 伪共享 (文件) | 真共享 (中心化) | 伪共享 (文件) | Centaur 优势 |
Paradigm 背景
- 全球最大加密风投之一,管理资产 $2.5B+
- 投资组合:Uniswap、Optimism、Flashbots、Blast 等
- 团队是技术型 VC,大量开源贡献(Reth、Foundry 等)
- Georgios Konstantopoulos — CTO / Research Partner
- Arjun Balaji — Partner(知名加密意见领袖)
- Dan Robinson — General Partner
- 与 Tempo 合作开发(Tempo 是 Paradigm 投资的稳定币公司)
对 Jay 的意义
1. 新一类竞品出现:Centaur 不是 OpenClaw 的直接竞品(定位不同),但它代表了行业对"组织级 Agent"的需求信号
2. 安全模型值得参考:iron-proxy 的 credential injection 思路比 OpenClaw 的环境变量方案高一个层次
3. Slack-native 设计:如果 Jay 想做 Slack 集成,Centaur 是很好的参考实现
4. Postgres 持久化工作流:Amp 没有这个能力,Centaur 的 checkpoint 设计可以直接借鉴
5. Paradigm 背书:顶级 VC 把自己的内部工具开源,说明这个赛道已经进入"产品化竞争"阶段
6. 和 OpenClaw 生态互补:OpenClaw 可以跑在 Centaur 沙箱里当 harness(他们支持 Codex/Claude Code)
评分
| 维度 | 评分 | 说明 |
|---|---|---|
| 架构设计 | ★★★★★ | 服务化架构清晰,每个组件职责明确,可替换 |
| 安全模型 | ★★★★★ | iron-proxy credential injection 是当前最佳实践 |
| 团队协作 | ★★★★★ | Slack-native + 共享工具/Skills,真·团队 Agent |
| 生态成熟度 | ★★★☆☆ | 214 stars,今天刚发布,无 release |
| 部署门槛 | ★★☆☆☆ | 需要 Kubernetes 集群,自托管要求高 |
| 文档质量 | ★★★★★ | AGENTS.md + 完整架构/安全/部署文档 |
| **综合** | **★★★★☆ (4.5/5)** | 架构和安全性标杆,适合企业,不适合个人用户 |
原始链接: https://www.paradigm.xyz/2026/05/open-sourcing-centaur-multiplayer-self-hosted-secure-agents
GitHub: https://github.com/paradigmxyz/centaur
官网: https://centaur.run/