简介

Tracecat 是面向团队和 AI 智能体的开源安全自动化平台。

• 从提示到自动化：通过智能体、工作流、案例和表格，从您自己的智能体框架（例如 Claude Code、Codex、OpenCode）构建端到端的自动化流程。
• 代码原生：将您 Git 仓库中的自定义 Python 脚本同步到 Tracecat 中。
• 一体化：智能体、工作流、查找表和案例管理——技术团队所需的一切自动化功能都集中在一个平台上。
• 可任意自托管：支持 Docker、Kubernetes 和 AWS Fargate。

默认采用 nsjail 进行沙箱隔离，并基于 Temporal 运行，以确保安全性、可靠性和可扩展性。

特性

[!IMPORTANT] Tracecat 目前处于积极开发中。请在更新前查看发布 变更日志。

核心能力

• 智能体：使用提示、工具、聊天以及任何 MCP 服务器（远程 HTTP / OAuth 或本地通过 npx / uvx 命令）构建自定义智能体。
• 工作流：低代码构建器，支持复杂的控制流（条件分支、循环）和持久化执行（Temporal）。
• 案例管理：利用智能体和工作流跟踪、自动化并解决工作任务。
• 集成：提供 100 多种预构建的连接器，支持通过 HTTP、SMTP、gRPC、OAuth 等方式与企业级工具集成。
• MCP 服务器：可通过您自己的智能体框架与 Tracecat 配合使用。
• 自定义注册中心：将自定义 Python 脚本转化为智能体工具和工作流步骤。

其他开源亮点

• 沙箱隔离：在 nsjail 沙箱或 pid 运行环境中运行不受信任的代码和智能体。
• 查找表：存储和查询结构化数据。
• 变量：在工作流和智能体之间复用值。
• 无 SSO 税：支持 SAML / OIDC。
• 审计日志：可导出至您的 SIEM 系统。

企业版

• 细粒度访问控制：为人员和智能体提供 RBAC、ABAC 和 OAuth2.0 范围控制。
• 人工介入：通过统一收件箱、Slack 或电子邮件审查并批准敏感操作调用。
• 工作流版本控制：可同步至 GitHub、GitLab、Bitbucket 等平台。
• 指标与监控：针对工作流、智能体和案例进行监控。

技术栈

• 后端：Python + FastAPI、SQLAlchemy、Pydantic、uv
• 前端：Next.js + TypeScript、React Query、Shadcn UI
• 持久化工作流与任务：Temporal
• 沙箱：nsjail
• 数据库：PostgreSQL
• 对象存储：兼容 S3

开源版与企业版

本项目遵循 AGPL-3.0 许可证，但存在以下例外：

• packages/tracecat-ee 目录受 Tracecat 付费 EE（企业版）许可证约束。
• deployments/k8s 是一个 Git 子模块，采用开源可用的 PolyForm Shield 许可证。该目录包含 Tracecat Helm Chart 和 EKS 部署模板，仅供内部使用；其 Chart 发布会从该仓库推送到公共 ECR。
• 任何在代码库中用于限制 EE 功能的代码。

上述例外部分的代码未经许可不得重新分发、出售或以其他方式进行商业化。

如果您对 Tracecat 的企业版许可证或托管云服务感兴趣，请访问我们的 官网 或 预约会议。

社区

有问题或反馈？欢迎加入 Tracecat 社区 Discord 与我们交流。

贡献者

感谢所有优秀的贡献者为项目贡献代码、集成、文档和支持！正是有了你们，开源才得以实现。更多信息请参阅我们的 贡献指南。

Tracecat 快速上手指南

Tracecat 是一个面向团队和 AI 代理的开源安全自动化平台。它支持从提示词直接生成自动化流程（Prompt-to-automations），允许将自定义 Python 脚本同步为工作流步骤，并提供沙箱隔离执行环境。

环境准备

在开始之前，请确保您的开发环境满足以下要求：

• 操作系统: Linux, macOS 或 Windows (推荐 WSL2)
• Docker & Docker Compose: 用于本地部署核心服务
• Git: 用于代码同步
• Python: 3.10+ (如需开发自定义脚本或贡献代码)
• Node.js: 18+ (如需前端开发)

注意：Tracecat 默认使用 nsjail 进行代码沙箱隔离，以确保运行未信任代码时的安全性。在 Linux 环境下通常可直接运行；macOS/Windows 用户建议通过 Docker 容器化运行以获得最佳兼容性。

安装步骤

推荐使用 Docker Compose 进行快速本地部署。

1. 克隆项目仓库

git clone https://github.com/TracecatHQ/tracecat.git
cd tracecat

2. 配置环境变量

复制示例环境变量文件并根据需要修改（例如设置加密密钥）：

cp .env.example .env
# 编辑 .env 文件，确保 SECRET_KEY 已更改为强随机字符串

3. 启动服务

使用 Docker Compose 启动所有依赖服务（包括 PostgreSQL, Temporal, MinIO/S3 等）：

docker compose up -d

等待服务完全启动后，您可以通过浏览器访问：

• 前端界面: http://localhost:3000
• 后端 API: http://localhost:8000

提示：首次启动可能需要几分钟时间初始化数据库和 Temporal 命名空间。查看日志可使用 docker compose logs -f。

基本使用

以下是创建一个简单自动化工作流的最简路径：

1. 创建第一个工作流 (Workflow)

登录 Web 界面 (http://localhost:3000)：

1. 进入 Workflows 页面，点击 Create New Workflow。
2. 命名为 Hello-Tracecat。
3. 在可视化编辑器中，添加一个 Start 触发器。
4. 添加一个 Action 步骤，选择内置的 http.request 连接器或使用 Custom Python Script。

2. 编写自定义 Python 脚本

在 Action 步骤中选择 "Custom Code"，输入以下 Python 代码作为测试：

def main(context):
    # 获取输入参数或上下文变量
    message = context.get("input_message", "Hello from Tracecat!")
    
    # 返回结果，该结果可传递给后续步骤
    return {
        "status": "success",
        "message": f"Processed: {message}",
        "timestamp": "2023-10-27T10:00:00Z"
    }

3. 运行与测试

1. 点击编辑器右上角的 Run 按钮。
2. 在弹出的测试窗口中，传入 JSON 格式的测试数据：

   {
     "input_message": "Security Alert Detected"
   }
   

3. 查看执行结果输出。由于启用了 nsjail 沙箱，即使代码包含潜在风险操作，也会在隔离环境中安全执行。

4. 集成 AI 代理 (可选)

如果您配置了 LLM API Key，可以在 Agents 模块创建代理，通过自然语言指令让 Agent 自动调用上述工作流或查询 Lookup Tables 中的数据，实现 "Prompt-to-automation"。

---

更多高级功能（如 MCP 服务器集成、案例管理、企业级 RBAC）请参考官方文档或加入 Discord 社区交流。