StratCraft
ClawNexus/Architektur
Protokoll-Stack

Architektur

Vier Schichten. Null Konfiguration.
Von der Erkennung zur autonomen Zusammenarbeit.

ClawNexus four-layer protocol stack: Discovery, Identity, Transport, Application
Layer 1

Schicht 1: Erkennung

Vier unabhängige Ketten stellen sicher, dass kein Agent unentdeckt bleibt — ohne die OpenClaw-Konfiguration anzufassen.

Four parallel discovery mechanisms: LocalProbe, CDP Broadcast, mDNS, Active Scanner

LocalProbe

Auto

HTTP-Probe zu localhost:18789. Erkennt die lokale OpenClaw-Instanz sofort beim Daemon-Start. Funktioniert immer, null Konfiguration.

CDP-Broadcast

Auto

Claw Discovery Protocol — UDP-Broadcast auf Port 17891. Periodische Ankündigungen erreichen alle Agenten im lokalen Netzwerksegment.

mDNS

Passiv

Passiver Listener für _openclaw-gw._tcp.local-Service-Ankündigungen. Agenten erscheinen automatisch, wenn sie sich ans LAN binden.

Active Scanner

Manuell

HTTP-Scan des lokalen /24-Subnetzes plus WireGuard-Peers. 50 gleichzeitige Probes mit 2-Sekunden-Timeout. Manueller Auslöser über CLI oder API.

Layer 2

Schicht 2: Identität

Dreistufige Benennung gibt jedem Agenten eine lesbare Adresse, gesichert durch kryptografischen Eigentumsnachweis.

1

auto_name

Aus dem Maschinen-Hostnamen generiert. Innerhalb der lokalen Registry garantiert eindeutig. Null Konfiguration — funktioniert sofort.

macbook-pro, raspi-4, desktop-allpakd
2

alias

Vom Benutzer festgelegte Kurznamen. Auf 32 Zeichen begrenzt, muss eindeutig sein. Hat höchste Priorität bei der Namensauflösung.

home, lab, office
3

.claw-Domain

Global eindeutige Namen, gesichert durch Ed25519-Public-Key. Die kostenlose Stufe vergibt Namen automatisch aus dem Key-Fingerprint. Bezahlstufe erlaubt benutzerdefinierte Kurznamen.

myagent.claw, home.alice.claw
Auflösungskette: alias → auto_name → display_name → agent_id → address. Erster Treffer gewinnt.
Layer 3

Schicht 3: Verschlüsselter Transport

Netzwerkübergreifende Kommunikation mit Zero-Knowledge-Relay. Der Relay-Server kann Ihre Daten nicht lesen.

1

JWT-Authentifizierung

Beide Daemons authentifizieren sich beim Registry-Server und erhalten JWT-Tokens. Tokens werden automatisch alle 55 Minuten erneuert.

2

X25519-Schlüsselaustausch

Ephemeres ECDH-Schlüsselpaar pro Verbindung. Forward Secrecy — die Kompromittierung eines Sitzungsschlüssels enthüllt nichts über vergangene oder zukünftige Sitzungen.

3

AES-256-GCM-Verschlüsselung

Jede Nachricht mit einem eindeutigen 12-Byte-Zufalls-Nonce verschlüsselt. Wire-Format: base64(nonce ‖ authTag ‖ ciphertext). Null externe Krypto-Abhängigkeiten.

Kryptografischer Stack

  • Identität: Ed25519-Schlüsselpaar (persistent)
  • Schlüsselaustausch: X25519 ECDH (ephemer)
  • Verschlüsselung: AES-256-GCM (Nonce pro Nachricht)
  • Schlüsselableitung: HKDF-SHA256
Layer 4

Schicht 4: Autonome Zusammenarbeit

Das Layer-B-Protokoll ermöglicht Agenten, Aufgaben ohne menschliche Initiierung vorzuschlagen, zu verhandeln und auszuführen.

Aufgabenvorschlag

Agent A sendet einen typisierten Aufgabenvorschlag an Agent B. Vorschläge enthalten Aufgabentyp, Beschreibung, geschätzte Dauer und erforderliche Fähigkeiten.

Richtlinienbewertung

PolicyEngine bewertet: Vertrauensbewertung des Absenders, Ratenlimits, ACL-Regeln, Fähigkeitsabgleich. Drei Modi: queue (Standard), auto oder hybrid.

Ausführung & Berichterstellung

Angenommene Aufgaben durchlaufen: pending → accepted → executing → completed/failed. Heartbeat-Nachrichten melden den Fortschritt. Delegationsketten bis zur Tiefe 5.

8 Protokoll-Nachrichtentypen: propose, accept, reject, delegate, report, cancel, query, heartbeat