原生容器隔离
每位用户拥有独立沙箱容器,基于 overlayfs + network namespace 隔离,iptables DROP 禁止容器间通信,不依赖 Docker。
PicoAide Control Plane
服务在线认证
Local / LDAP / OIDC
MCP 服务
Browser / Computer / Agent + 第三方
配置策略
KV 展平存储
部署模式
按用户 / 按组 / 默认
系统边界
内网部署 / 原生容器 / 组织权限继承
AI 只在授权上下文中工作,数据保持在企业边界内。
AI 沙箱 (picoagent)
→
MCP SSE 端点
→
ServiceHub 中继
→
浏览器 / 桌面执行端
✓
用户技能按组分发,支持 Git 仓库和注册中心
✓
浏览器授权连接可随时开启或断开
✓
桌面白名单限制文件访问范围
✓
定时任务由 Cron 调度器自动执行
40
MCP 工具 · 3 服务
200+
并发沙箱节点
审计追溯
配置变更全程记录
零依赖
原生 Linux 内核能力,不依赖 Docker
能力总览
围绕企业内网协作的核心能力
PicoAide 把认证、沙箱、浏览器、桌面、文件和技能统一到一个控制平面里,减少碎片化工具栈。
认证可插拔
使用 Provider 注册表模式,支持 Local / LDAP / OIDC。init() 自动注册,新增认证源无需修改核心代码。
MCP 三层中继
SSE 与 WebSocket 组成双层中继,browser/computer 通过代理执行,agent 服务端直接处理。同时支持第三方 MCP 服务器代理。
技能分发
技能仓库支持 Git 导入、注册中心安装和按组部署。支持默认技能设置和用户自主安装策略。
文档入口
按角色分层组织
管理员线和用户线文档分开,各自覆盖完整的使用流程和最佳实践。