Claude Code Wingman

🦅 WhatsApp 遥控 AI 编程助手

dev-tools榜 #43

将 Claude Code 集成到 WhatsApp,实现远程任务下发、实时审批和进度追踪,让 AI 编程助手随身可控

收藏
8.8k
安装
3.6k
版本
0.2.0
CLS 安全性认证2026-06-24
点击查看完整报告 >

使用说明

核心用法

Claude Code Wingman 是一款桥接工具,将 Anthropic 的 Claude Code CLI 与 Clawdbot(WhatsApp 机器人框架)打通。用户通过 WhatsApp 聊天即可向 Claude Code 下发编程任务,并在需要审批时收到即时通知。

工作流程:
1. 用户发送自然语言指令(如"修复 api.py 中的认证 bug")

2. Clawdbot 在后台启动 tmux 会话,运行 Claude Code

3. 当 Claude Code 需要执行敏感操作(编辑文件、运行命令等)时,通过 WhatsApp 向用户请求批准

4. 用户回复"允许"或"拒绝",Clawdbot 将决策转发给 Claude Code

5. 任务完成后,结果返回 WhatsApp 聊天窗口

实时监控: 用户可随时通过 tmux attach 命令接入会话,直接观察或干预 Claude Code 的执行过程。

显著优点

  • 移动端友好:无需打开终端或 IDE,在 WhatsApp 中即可完成复杂编程任务的委托和审批
  • 安全可控:所有危险操作(文件修改、命令执行)均需显式人工批准,避免 AI 自主造成的意外
  • 异步协作:任务在后台 tmux 会话中持续运行,用户可随时查询状态或接管控制
  • 零配置接入:通过 Clawdbot 插件机制安装,复用已有的 Claude Code 认证和配置

潜在缺点与局限性

  • 依赖 tmux:会话管理完全依赖 tmux,若 tmux 崩溃或服务器重启,未保存的状态可能丢失
  • 单会话限制:未明确支持多任务并行管理,复杂场景下可能出现会话冲突
  • 审批延迟:WhatsApp 消息往返存在延迟,对需要快速迭代的高频交互任务不够流畅
  • 终端渲染限制:tmux capture-pane 获取的文本输出可能丢失颜色、布局和交互元素,影响问题诊断
  • 权限边界模糊:Clawdbot 本身拥有启动 Claude Code 的权限,一旦通过初始审批,后续子操作的权限委托链条较长

适合人群

  • 需要在外出时监控或干预 AI 编程任务的开发者
  • 希望为团队建立"AI 助手操作审计和人工把关"流程的技术负责人
  • 已使用 Claude Code 且希望扩展其触达场景(移动设备、IM 工具)的现有用户

常规风险

| 风险类型 | 说明 |
|---------|------|
| 会话劫持 | tmux 会话若未妥善保护,多用户系统上可能被其他用户 attach |
| 凭证泄露 | Clawdbot 与 Claude Code 的集成可能涉及 API key 或会话 token 的传递存储 |
| 误操作放大 | 移动端的快速回复可能导致未经仔细审查的批准决策 |
| 网络依赖 | WhatsApp 连接不稳定时,审批流程中断可能导致 Claude Code 长时间等待 |
| 日志残留 | tmux 输出历史可能包含敏感代码或数据,需定期清理

安全解读

核心用法

Claude Code Wingman 是一款将 Anthropic 的 Claude Code CLI 工具与即时通讯(WhatsApp)集成的自动化技能。用户可通过 Clawdbot 聊天界面远程派发编程任务,如"修复 api.py 中的认证漏洞",系统自动在后台 tmux 会话中启动 Claude Code 执行代码操作。

主要功能流程:
1. 用户通过 WhatsApp 发送自然语言指令

2. Clawdbot 创建隔离的 tmux 会话并启动 Claude Code

3. 当 Claude Code 遇到需人工确认的权限请求时,向用户推送审批通知

4. 用户可在聊天中批准/拒绝,或随时 attach 到 tmux 会话直接观察执行过程

5. 任务完成后返回结果摘要

关键命令:

  • tmux attach -t <session>:实时接管会话
  • tmux capture-pane:获取当前输出快照
  • --auto 标志:启用全自动权限批准模式(⚠️高风险)

显著优点

| 维度 | 评价 |
|:---|:---|
| **便捷性** | 将专业开发工作流迁移至移动端聊天场景,实现"随时随地编程" |
| **可控性** | 支持实时会话 attach,比纯异步 AI 工具更具透明度 |
| **零依赖** | 仅依赖系统级工具(tmux、bash),无第三方 npm/pip 依赖,攻击面小 |
| **轻量架构** | 995 行代码,5 个 shell 脚本,易于审计和二次开发 |

潜在缺点与局限性

🔴 关键安全风险:自动批准机制

auto-approver.sh 脚本通过正则匹配 tmux 输出中的 "Do you trust" / "Do you want" 提示,自动发送按键响应完成权限授予。此设计实质上绕过 Claude Code 的安全确认流程,可能导致:

  • 未授权的文件修改、删除
  • 恶意代码自动执行
  • 敏感配置泄露

--auto 模式进一步将此风险放大为完全无人值守的自动化操作。

其他局限:

  • 临时文件安全:审批日志存储于 /tmp,虽设 600 权限但目录本身可被其他用户访问
  • 会话名称验证:正则验证存在潜在绕过可能,tmux 命令拼接处或存在注入风险
  • 隐私合规:未明确声明数据收集范围,审批日志可能包含敏感文件路径
  • 治理成熟度:个人开发者维护(yossiovadia),无 LICENSE 文件,安全响应流程缺失

适合人群

| 推荐场景 | 不推荐场景 |
|:---|:---|:---|
| 需在移动设备上远程触发代码任务的开发者 | 处理敏感生产环境或合规要求严格的金融/医疗系统 |
| 已在隔离环境(容器/VM)中运行 Claude Code 的用户 | 无法承受自动误操作后果的关键业务代码库 |
| 愿意手动审核每个权限请求的技术爱好者 | 追求企业级 SLA 和安全审计能力的大型团队 |
| 希望将 AI 编程助手集成到现有聊天工作流的极客用户 | 不熟悉 tmux 或命令行基础操作的普通用户 |

常规风险

1. 权限扩散风险:自动批准机制一旦启用,Claude Code 获得的系统权限等同于运行该 skill 的用户账户
2. 供应链风险:项目由单一维护者控制,代码变更缺乏多方审查

3. 操作不可撤销性:tmux 自动化发送的按键无法回滚,误操作可能即时生效

4. 信息泄露:会话名称、文件路径等元数据可能残留于 /tmp 日志文件

5. 社交工程攻击:WhatsApp 作为控制通道,若账号被盗可能导致攻击者通过"审批请求"诱导授权

建议缓解措施:

  • 始终在 Docker 容器或专用低权限账户中运行
  • 彻底禁用 --auto 模式,强制交互式审批
  • 定期清理 /tmp/claude-approvals/ 目录
  • 监控 ~/.claude/ 配置目录的异常变更

Claude Code Wingman 内容

clawdbot-skill文件夹
test-project文件夹
手动下载zip · 14.1 kB
README.mdtext/markdown
请选择文件