WebChat HTTPS Proxy 是一个专为 OpenClaw WebChat 控制界面设计的独立反向代理工具,主要功能是将原本基于 HTTP 的本地控制界面安全地暴露为 HTTPS/WSS 协议。该代理默认监听本地端口 8443,通过 TLS 加密传输数据,并自动处理 WebSocket 连接转发至网关服务(ws://127.0.0.1:18789)。同时支持语音转文字功能的前端代理,将 `/transcribe` 请求转发至本地的 faster-whisper 服务,确保浏览器与后端服务之间的同源通信安全。整个系统采用自签名证书机制,首次访问时需手动信任浏览器警告,后续即可在无感状态下运行。部署过程完全自动化,脚本支持重复执行且不影响现有配置,用户可通过环境变量灵活调整绑定地址和端口。
核心功能特点
- 提供 HTTPS/WSS 反向代理,默认在 8443 端口为 WebChat 控制界面启用加密通信
- 自动管理自签名 TLS 证书,支持 TLS 1.2+ 协议并强制验证客户端证书权限
- WebSocket 透传至本地网关服务,实现实时双向通信
- 代理 /transcribe 接口至本地 faster-whisper 服务,支持 Bearer Token 认证
- 内置路径遍历防护和静态文件服务安全限制,防止目录越权访问
- 严格限制输入输出大小(上传≤50MB,响应≤10MB),防范内存耗尽攻击
适用场景
该工具主要面向需要远程或跨设备访问 OpenClaw WebChat 控制界面的场景。例如,当用户在家庭局域网内使用树莓派等边缘设备运行语音识别服务时,可通过设置 VOICE_HOST 参数将 HTTPS 代理开放到指定 LAN IP,使手机、平板或其他设备安全地通过 HTTPS 访问控制界面,无需依赖公网暴露或复杂端口转发。对于开发者和高级用户而言,此代理提供了比纯 HTTP 更安全的本地服务访问方式,尤其适合在共享网络环境中保护敏感操作。此外,其严格的 SSRF 防护和网络隔离策略(默认仅绑定 localhost)确保了即使配置错误也不会导致内网服务被外部探测。结合 systemd 开机自启机制,它成为构建可靠、安全、可维护的本地化智能语音交互系统的关键组件。