大家好,我是何三,独立开发者
最近刷 Hacker News 的时候,一个叫 Moltis 的项目直接上了首页,GitHub 2.4K Star,增速挺猛的。
我花了点时间研究了一下,发现这东西确实有点东西——用 Rust 写的 AI Agent 服务器,一个二进制文件,自带沙箱隔离,零 unsafe 代码。
今天跟大家聊聊它到底解决了什么问题,凭什么值得关注。
现在的 AI Agent,用着真的放心吗?
说实话,现在主流的 AI Agent 方案,用起来多少有点"糙"。
OpenClaw,TypeScript 写的,430K 行代码,依赖 Node.js 运行时,沙箱只是应用级别的。NanoClaw 更狠,500 行代码就搞了个 Agent 循环——轻量是轻量了,但安全呢?功能呢?
还有一个现实问题:你让 AI Agent 帮你执行命令,它到底在不在沙箱里跑的?你的 API Key 有没有泄露风险?
这些问题,Moltis 的开发者显然想清楚了。
Moltis 是什么?一句话说清楚
一个自托管的、持久化的 AI Agent 服务器。
翻译成人话就是:你把它部署在自己的机器上(Mac Mini、树莓派、云服务器都行),它帮你对接多个 LLM 提供商(OpenAI、Anthropic、本地模型),同时提供 Web UI、Telegram Bot、Discord Bot 等多种交互方式,所有数据都留在你本地。
关键特性:
- Rust 写的,单二进制文件,没有 Node.js 依赖
- 沙箱隔离,每条命令都在 Docker 或 Apple Container 里执行,不碰宿主机
- 零 unsafe 代码(workspace 级别直接禁止)
- 3100+ 测试,46 个模块化 crate,可独立审计
- 内置语音(15+ 提供商)、记忆系统、MCP 协议、定时任务……
和其他方案比,差异在哪?
我列几个关键对比:
安全性:Moltis 的 Agent 循环核心只有约 5000 行代码。对比 OpenClaw 的 430K 行——代码越少,审计越容易,漏洞越少。而且 Rust 的所有权系统天然就比 GC 语言更安全。
沙箱:不是那种"假装"的应用级沙箱,而是真正的 Docker + Apple Container 隔离,每个会话独立。工具执行的环境和你的宿主机完全隔绝。
认证:支持密码、Passkey(WebAuthn)、API Key,还内置了一个加密 Vault(XChaCha20-Poly1305 + Argon2id)。Secret 处理用的是 secrecy::Secret,drop 时自动清零内存,工具输出中也会自动遮蔽。
语音:不是插件,是内置的。8 个 TTS 提供商 + 7 个 STT 提供商,开箱即用。
记忆:SQLite + 全文搜索 + 向量搜索的混合方案。跨会话回忆、自动上下文压缩,还兼容 Cursor 的项目上下文格式。
架构长什么样?
Moltis 的架构其实很清晰,核心分三层:
入口层:Web UI、Telegram、Discord、Teams 这些通道,统一走 WebSocket 接入 Gateway。
服务层:Gateway Server(基于 Axum)负责 HTTP/WS 和认证。下面是 Chat Service,里面有 Agent Runner(Agent 循环)、Tool Registry(工具注册)和 Provider Registry(多模型管理)。
数据层:会话持久化用 JSONL,记忆系统用 SQLite(支持向量搜索和全文搜索),事件系统支持 15 种 Hook。
最底下是 Sandbox:所有命令执行都在隔离容器里。
整个核心代码 46 个 crate 模块化设计,核心 Agent 循环 + Provider 模型就 ~5000 行。这意味着什么?你想审计安全性,不需要读 20 万行代码,读 5000 行就够了。
动手试试
Moltis 的安装真的很简单。
macOS / Linux 一行命令:
curl -fsSL https://www.moltis.org/install.sh | sh
或者用 Homebrew:
brew install moltis-org/tap/moltis
Docker 也支持:
docker pull ghcr.io/moltis-org/moltis:latest
装好之后启动:
moltis
打开 http://localhost:13131,首次运行终端会打印一个 setup code,输入到 Web UI 里设置密码就行。
然后配置 LLM 提供商。最简单的方式是设环境变量:
export ANTHROPIC_API_KEY="sk-ant-..."
# 或者
export OPENAI_API_KEY="sk-..."
重启 Moltis,模型就自动出现在模型选择器里了。
如果你想用本地模型(完全离线),Web UI 的 Settings → Providers 里也有 Local LLM 选项。
连接 Telegram Bot:
# 1. 找 @BotFather 创建 bot,拿到 token
# 2. Moltis Web UI → Settings → Telegram → 输入 token → Save
# 3. 直接给你的 bot 发消息
配置 MCP 服务器:
# moltis.toml
[mcp.servers.github]
command = "npx"
args = ["-y", "@modelcontextprotocol/server-github"]
env = { GITHUB_TOKEN = "ghp_..." }
开启长期记忆:
[memory]
provider = "openai"
model = "text-embedding-3-small"
把 Markdown 文件丢到 ~/.moltis/memory/ 目录下,Moltis 就能跨会话检索了。
安全设计值得一提
Moltis 在安全上的思考确实比较深。
- SSRF 防护:DNS 解析后拦截回环地址、私有地址、链路本地地址
- Origin 校验:拒绝跨源的 WebSocket 升级请求
- Hook 门控:
BeforeToolCall钩子可以在每次工具调用前检查和拦截 - 自动检查点:在修改技能和记忆前自动创建快照,支持回滚
- 上下文文件威胁扫描:检测上传文件中的潜在风险
对于有安全洁癖的开发者来说,这套设计确实让人安心。
适合谁用?
我觉得这几类人会感兴趣:
自托管爱好者:不想把数据交给第三方云服务,想完全掌控自己的 AI Agent。
独立开发者 / 小团队:需要一个安全、功能完整的 AI 助手,能跑在便宜的服务器甚至树莓派上。
对安全有要求的企业:3100+ 测试、零 unsafe 代码、模块化可审计,代码层面就扛得住审视。
多通道需求:想同时通过 Web、Telegram、Discord 跟 AI Agent 交互,一个服务全搞定。
一些个人判断
Moltis 2.4K Star、上 Hacker News 首页,说明社区确实认可这种"安全优先、自托管、单二进制"的方向。
但我也注意到,它和 OpenClaw 生态有兼容性设计(支持导入 OpenClaw 配置、兼容 OpenClaw 技能商店),说明作者不是想"推翻"谁,而是在提供一个更安全、更可审计的替代方案。
Rust 在 AI 基础设施领域的渗透越来越深,从 Tauri 到 Moltis,"安全+性能"的组合正在成为一种差异化竞争力。
项目地址:https://github.com/moltis-org/moltis
MIT 协议,可以放心用。
本文使用 MGO 编辑并发布
关注"何三笔记",回复"mgo" 免费下载使用
