Built with Tauri · Rust · TypeScript

让 AGENT 被驾驭
并高效协作

AgentVis 是一个易用、高效、可治理的 AI AGENT 运行平台。
多智能体协同 · 五层安全防护 · 沙箱运行模式 · 可视化交互 。

5 层纵深防御 MB + SA 协同 可视化增强 三层记忆体系
Observability

HARNESS, 你可看得见

全链路的闭环工程的 Autonomous Agency

Core Features

不止于对话,
是完整的 Agent Runtime

主脑 + 子智能体

Master Brain 专注决策与规划,Sub-Agent 循环执行,接受 Checkpoint 监督。FSM 状态机驱动任务循环,Loop Governor管控确保永不失控。

五层安全防护

从 Prompt 软约束、TypeScript 工具拦截到 Rust 硬阻断、沙箱审计与 Trash Bin 可恢复删除,形成连续防御链。

可视化增强

自动将文本回复升维为 ECharts 图表、Mermaid 流程图、交互式 Widget 组件,让数据一目了然。

实时 Diff 审批

Myers Diff 算法配合四级内容匹配(精确/归一化/模糊/语义),支持逐块审批、全部接受/拒绝,以及快照回滚。

项目预览

Vite Dev Server 内嵌,Agent 生成的前端项目即时预览。Windows Junction 零成本依赖共享,无需离开应用。

IM 远程指挥

通过飞书/Slack消息向 Agent 下达任务,实时在消息卡片中查看思维链进度,按"终止任务"按钮随时终止。

Security First

安全不是功能,
基础

AgentVis 默认假设 Agent 可能走偏,并在工程上提前放好刹车。五层纵深防御,从软约束到硬阻断、运行时沙箱与可恢复删除,每一层都有明确的拦截边界。

Layer 01
LLM 行为软约束

Master Brain / Checkpoint / Sub-Agent 三层安全约束,Safety Footer 行为自检防御,LoopGovernor 5 级熔断。

Layer 02
TypeScript 工具拦截

工具按风险分级授权,高风险 exec 必须通过 Checkpoint 审批,黑白名单精确匹配。

Layer 03
Rust 命令硬阻断

系统文件删除、权限篡改、环境变量修改、格式化磁盘等高危操作完全阻断,危险脚本扫描拦截。

Layer 04
进程 / 网络沙箱

Job Object、AppContainer、broker/proxy 与 direct-audit 组合,为 shell 与 Skill 执行增加运行时边界和审计。

Layer 05
Agent Trash Bin

删除操作重写为回收站移动,30 天内随时恢复,降低不可逆错误的破坏半径。

vs. competitor

6 类高危漏洞
AgentVis 如何应对?

架构级免疫 AgentVis —— Tauri 桌面应用天然消除攻击面
Critical 远程代码执行 (RCE),攻击者可远程注入并执行任意代码
AgentVis —— 无 HTTP 服务端口对外暴露,Tauri 架构级不可达。
Critical UI 劫持 / XSS,攻击者可注入脚本劫持用户会话
AgentVis —— 无外部可访问的 gateway,UI 运行在本地 WebView 沙箱中,跨域攻击无入口
High 实例暴露 / 未授权访问,无认证即可访问 Agent 实例和工作空间
AgentVis —— 100% 本地运行,零网络监听端口,无实例可被远程发现或访问。
主动防御 多层拦截 + AI 驱动审计
High 技能供应链投毒,恶意技能包可窃取数据或植入后门
AgentVis —— LLM 驱动 ReAct 深度安全扫描,7 维度 Skill 审计,安装前自动风险评估。
Critical 系统访问失控 / 误操作,导致系统级破坏
AgentVis —— 五层纵深防御 — LLM 软约束 → TS 工具拦截 → Rust 硬阻断 → 沙箱审计 → Trash Bin 兜底。
High Token / API 密钥泄露,经 URL 参数传递或明文存储,易被日志和中间人捕获
AgentVis —— API 密钥通过 Rust crypto/keystore.rs 加密存储于 Windows Credential Manager,不经 URL 传递,沙箱脱敏并审计
Sandbox Runtime

让 AGENT 能动手,
也把边界画清楚。

AgentVis 的沙箱不是一个孤立开关,而是贯穿命令、进程、文件、网络与审计的运行时安全层。不同任务可以选择不同权限档位:默认保持实用,高风险场景收紧边界,需要联网时把出口纳入可审计链路。

01 命令先过安全链路

TS 工具层快速分级,Rust 命令层兜底校验,危险命令、保护路径、脚本危险 API 在真正落地前被拦截或要求确认。

02 联网行为可收口

HTTP(S) 任务优先进入 broker/proxy 审计路径;Script Skill 可声明 brokerOnly,直连失败关闭;非 HTTP(S) 走 direct-audit 精确授权。

03 失败原因可追溯

SandboxAuditEvent 记录模式、网络策略、命中规则、决策结果与脱敏目标信息,让安全失败从“被挡住”变成“知道为什么”。

执行链路
TS 工具层
Rust 校验层
进程 / 网络沙箱
审计与恢复
受控联网当前按 broker/proxy 优先与审计口径呈现;Script Skill 的 brokerOnly 是更严格的 fail-closed 路径,脚本必须通过 broker helper 或主进程 broker 代发 HTTP(S) 请求。WFP 等全协议硬隔离能力仍作为高级实验与诊断入口,不提前包装成默认承诺。
LocalAudit

本机审计模式

默认适合日常 Agent 工作、本地自动化与浏览器任务。它不限制在单一工作区内,该模式具有多重防御和审计约束机制,包括系统级与自定义路径保护、黑名单命令拦截、高危命令阻断,以及安全移至回收站功能。

默认实用 保护路径 可恢复删除
ControlledNetwork

受控联网模式

默认在本地文件空间进行操作,具备Agent-browser 的 CDP Runtime 权限。它继承了本地审计的多重防御机制。HTTP(S) 流量会优先路由至代理中介(broker/proxy)进行安全审计,任何必要的直接连接都必须经过明确授权。

broker/proxy direct-audit agent-browser
OfflineIsolated

离线隔离模式

采用 AppContainer 容器化执行,强制实施严格的文件边界和严格的断网措施。它会阻断直接的网络访问以及工作区之外的所有操作,并严格禁止任何桌面自动化控制。非常适合用于处理不可信脚本和高危任务。

工作区边界 硬禁网 高风险任务
Product Overview

一个窗口,尽收眼底

从 Agent 创建、设置、决策、执行、人类指令介入 到 项目关联、文件预览、审批管理,一体化可视。

AgentVis 界面全览
Intelligent Augmentation

文本自动升维
数据一目了然。

Visual Enhancer 后处理增强层自动识别 Agent 回复中的数据特征——百分比、趋势、流程、对比——将纯文本智能转化为 ECharts 图表、Mermaid 流程图与交互式 Widget 组件,让输出结果更直观,缓解用户对信息密度的耐受性,增强用户对信息的理解与决策支持。

ECharts 8 种图表 Mermaid 流程图 Widget 选项卡片 Widget 决策树 5 指标启发式触发 深浅模式自适应
Diff & Fast Apply

每一行修改,
都在你掌控之中。

基于 XML 修改协议的四级内容匹配引擎,配合 Myers Diff 算法实现精确到行的变更可视化。支持逐块审批、全部接受/拒绝,以及快照回滚。

精确匹配 归一化匹配 模糊匹配 Levenshtein 语义匹配 Embedding 快照回滚 ×10 Undo/Redo ×50
AgentVis Diff 预览面板
Hub & Agent Collaboration

你的 AGENT 像团队一样协作,
但决策权始终在手中。

通过 Hub 创建团队工作空间,每个 Agent 拥有独立上下文与能力,成员相互感知但不共享记忆。用户通过 @引用、讨论区和任务分配主导协作节奏,而非让 Agent 之间自动通讯——更多的可控性,更少的不确定性。

Hub 讨论区 — 多 Agent 引用与 @ 交叉讨论
Hub 讨论区 — 引用 + @Agent 交叉评审
Agent 独立窗口 — 每个 Agent 拥有完整的独立能力
Agent 独立窗口 — 各自拥有完整能力

Hub 团队空间

顶部 Tab 创建多个 Hub,每个 Hub 是一个独立的团队工作区。Hub 拥有专属讨论区,是团队协调的中心——用户在此 @Agent 发起讨论、引用 Agent 窗口的对话内容发起跨角色评审。

上下文隔离

Agent 之间不共享历史会话——它们知道彼此的姓名和工作目录,但无法访问对方的对话上下文。这从根本上杜绝了上下文污染:每个 Agent 在自己的职责范围内保持清醒的独立判断。

用户主导协作

决定何时、由谁、讨论什么——这些权力始终在你手中。你可以给 Agent 分配任务、召唤它们在 Hub 讨论、让它们相互引用内容进行交叉评审,甚至让 Agent 查看彼此的工作目录。

共同项目

让多个 Agent 关联同一个项目目录,它们可以在各自的窗口中独立工作于同一个代码库。用户按需开放协作范围——从独立任务到共享工程,灵活控制团队的协作边界。

Scenario A

多角色协作撰写 PRD

创建 BA、Architect、UX 三个 Agent,各自在独立窗口中完成需求分析、架构设计和体验规划。

用户在 Hub @Architect 评审需求 → Architect 以净空视角给出意见 → 用户引用 BA 窗口的对话到 Hub → 触发跨角色讨论
Scenario B

纠偏错误输出

Architect 在独立窗口生成了错误的技术方案,用户在 Hub 发起纠正。

用户在 Architect 窗口找到错误段落 → 右键"引用到 Hub" → 输入 "@Architect 这个方案有问题,请重新考虑…" → Architect 仅基于引用内容和新指令修正
Scenario C

专家Agent提供建议

Hub 讨论陷入僵局,需要引入不受之前争论历史干扰的全新视角。

用户输入 "@UX 请从用户体验角度客观评价现在的方案" → UX 以纯净视角(不带过往固化视角历史)给出建议
Memory & Skills

持久协作、长效运行的 AGENT

三层记忆架构、Agent-Log、分层上下文管理让 Agent 在同一会话窗口中持久记忆、与用户成长并对齐。自由调度的技能与安全审计系统扩展 Agent 能力边界。

三层记忆架构

  • 短期缓冲 — 滑动窗口,水位线触发压缩,避免对话堆积
  • 状态摘要 — topics / decisions / open questions,语义召回
  • 长期事实 — 稳定性验证后写入,避免瞬时噪音变成「记忆」
  • 任务经验 — task_experience 独立进入 Master Brain 决策链

技能生态系统

  • 全局 Skills,自由开关 — 所有 Agent 共享技能按需加载
  • Agent 独立Skills — 每个 Agent 可设置精准命中模式按职能配备使用
  • AI 驱动安全审查 — 7 维度扫描,安装前自动评估风险
  • 一次安装,刷新生效 — 无需重启,热加载接入

分层上下文管理

Agent 执行长链路任务时,上下文窗口会因工具调用结果不断膨胀。AgentVis 通过 MB + SA 分层架构独立维护各自的上下文管道,配合多级压缩与成果持久化机制,任务中断可恢复,Sub-Agent 在数百步的任务中始终保持上下文健康——不遗忘、不重复、不失控。MB 自由设置决策轮次上限,Long-Horizon Task稳健运行。

3 级 递进压缩策略
∞ 次 上下文可重置
200 工具调用安全阀
三级递进压缩

L2 上下文重置主动清理 → L1 梯度压缩高位兜底 → L3 预算警告引导收尾。支持无限次重置,总预算不归零。

MB 战略连续性

SA 报告以语义围栏标记防止误判,MB 的决策理由跨轮注入,确保战略连续性不因 SA 轮替而断裂。

跨 SA 成果持久化

Task Artifact Store 自动提取工具执行成果(搜索/文件/命令),FIFO 淘汰保持固定预算,新 SA 无需重复劳动。

会话轮次隔离

SA 工具结果不写入父级 Session,每轮清理 tool 消息,跨轮知识传递由记忆系统承担,保持会话通道清洁。

Human-in-the-Loop

随时暂停,纠偏或调整需求

区别于 approve / deny 的二元门控的 HITL 范式机制——Agent 在执行到敏感操作时暂停,弹出"允许"或"拒绝"按钮。AgentVis 的纵深防御为 HITL 提供了新路径:你可以在 Agent 执行的任何步骤主动暂停,用自然语言输入调整指令,Agent 立即改变方向继续执行。

主动暂停,而非被动审批

点击暂停按钮,Agent 完成当前工具调用后立即挂起。不需要预设"敏感操作列表",任何时候你觉得方向不对,一键暂停。

自然语言介入指令

暂停后输入调整指令——"换个思路,不要用递归"、"先查一下文档再动手"——Agent 在下一步 LLM 调用中立即感知你的意图并调整执行方向。

介入指令跨轮持久化

你的介入指令被写入 Task Artifact,后续所有 SA 轮次都能感知。即使 Agent 轮替,你的调整意图不会丢失。

Live Preview

代码到浏览器,
零延迟预览。

Vite Dev Server 内嵌到应用中,Agent 生成的前端项目即时渲染。Windows Junction 实现零成本依赖共享,CSS Tailwind 自动版本降级。

React / Vue / Vanilla Windows Junction Tailwind 自动降级 localhost 安全绑定
AgentVis Live Preview
Remote & Automation

远程操控,本地自动化

通过飞书/Slack消息向 Agent 下达操控远程电脑任务,向用户发送消息与传输本地文件。借助内置桌面与浏览器自动化工具,与 Agent 探索更多本地自动化工作流程。

Guides

四份指南,
从首次启动到稳定运行

按真实上手路径整理快速开始、技能使用、沙箱安全与 IM 机器人配置。先跑通第一条任务链路,再逐步扩展 Agent 的能力边界。

FAQ

常见问题

不需要,一键安装应用后,系统会自动创建runtime环境安装相关依赖,首次安装需要静候片刻,之后在设置面板 ☀ 找到API密钥和云端服务选项,填入Api-Key,回到主界面创建Hub和Agent即可开启Agent协作之旅。 AgentVis内置了浏览器与桌面自动化、数据抓取、github查询、arxiv论文检索、新闻RSS、Yahoo财经、邮件助手、视频数据分析总结、html-ppt/pdf/docx/xlsx等实用skills,Agent会协助指导使用。

AgentVis 基于 Tauri 架构,100% 本地运行。所有对话记录、文件操作、记忆数据都存储在你的本地磁盘上,并支持一键备份与恢复,不会上传到任何云端服务器。API Key 通过 Windows Credential Manager 加密存储。

支持 OpenAi / Anthropic / Gemini 及其所有兼容协议的供应商及模型,包括Zhipu、MiniMax、DeepSeek、Xiaomi、阶跃step、Agnes、火山引擎、OpenRouter 等,还可以设置 Local 自定义Api端点,将自动路由到对应兼容协议。你可以在设置中自由切换模型供应商商和具体型号,同时支持自定义添加模型或让 Agent 代为添加模型。

不需要。AgentVis 使用 WebSocket 长连接模式与飞书/Slack通信,无需公网 IP 或反向代理。你只需配置飞书/Slack机器人凭证,即可在手机上远程控制 Agent。默认最大各支持 10 个机器人对接 10 个 Agent 同时远程执行任务。

完全支持。描述自身需求让 Agent 使用skill-creator 编写技能并安装,设置面板中刷新技能列表即可使用。若选择自行导入本地技能包或粘贴 github 链接的技能包将启动审查,安装前会经过 AI 驱动的 7 维度安全审计。AgentVis兼容市面上的skill包,设计了两种skill模式,具体可参考 AgentVis 技能使用指南。

当前版本为 Windows 桌面应用。Tauri 框架本身支持跨平台,macOS 和 Linux 版本在规划中。