一个用 Rust 编写的 Anthropic Claude API 兼容代理服务,将 Anthropic API 请求转换为 Kiro API 请求。
在保持 Anthropic API 完全兼容的基础上,针对 Opus 4.7/4.8 支持、系统提示词治理、精确计费(tokenUsageEvent)、安全研究场景使用体验 做了增强。
| 能力 | 说明 |
|---|---|
| Claude Opus 4.7/4.8 | 完整支持:adaptive thinking、自动降级 enabled→adaptive、强化文本协议 prefix 保证 <thinking> 标签稳定输出 |
| Thinking 兼容 | display 字段端到端转发;客户端硬传 enabled 在 Opus 4.7 上自动降级;模型名 *-thinking 后缀按模型版本智能选择 enabled/adaptive |
| 客户端系统提示词 | 长度自动剥离(避免上游拒绝过长 system)、自定义 prefix/append 注入 |
| 预设系统 | 5 个内置预设(override 解禁 / pentest 渗透 / nsfw / code_complete / concise)+ 用户自定义预设;可任意组合启用,Admin UI 一键管理 |
| Admin UI | 凭据管理 + 凭据分组(出口代理)+ 系统提示词治理面板 + 实时预览注入效果 |
| Admin API | /api/admin/credentials*、/api/admin/config/system-prompt、/api/admin/config/system-prompt/presets(含 enable/disable/CRUD) |
| 模型识别正则 | claude-opus-4-6/4.6 + 4-7/4.7 + 4-8/4.8 多种变体(claude-opus-4.7、claude-4.7-opus、claude-opus-4-7-20260101) |
| 运行时配置热更新 | 系统提示词、重试、prompt cache 配置支持 Admin API 热更新,无需重启 |
| 精确计费 | 接入上游 tokenUsageEvent 真值覆盖 output;西文 token 量级校准;接住 meteringEvent credit 供对账 |
本项目仅供研究使用, Use at your own risk, 使用本项目所导致的任何后果由使用人承担, 与本项目无关。 本项目与 AWS/KIRO/Anthropic/Claude 等官方无关, 本项目不代表官方立场。
因 TLS 默认从 native-tls 切换至 rustls,你可能需要专门安装证书后才能配置 HTTP 代理。可通过 config.json 的 tlsBackend 切回 native-tls。
如果遇到请求报错, 尤其是无法刷新 token, 或者是直接返回 error request, 请尝试切换 tls 后端为 native-tls, 一般即可解决。
Write Failed/会话卡死: 如果遇到持续的 Write File / Write Failed 并导致会话不可用,参考 Issue #22 和 #49 的说明与临时解决方案(通常与输出过长被截断有关,可尝试调低输出相关 token 上限)
- Anthropic API 兼容: 完整支持 Anthropic Claude API 格式
- 流式响应: 支持 SSE (Server-Sent Events) 流式输出
- Token 自动刷新: 自动管理和刷新 OAuth Token
- 多凭据支持: 支持配置多个凭据,按优先级自动故障转移
- 负载均衡: 支持
priority(按优先级)和balanced(均衡分配)两种模式 - 智能重试: 单凭据最多重试 3 次,单请求最多重试 9 次
- 凭据回写: 多凭据格式下自动回写刷新后的 Token
- Thinking 模式: 支持 Claude 的 extended thinking 功能
- 工具调用: 完整支持 function calling / tool use
- WebSearch: 内置 WebSearch 工具转换逻辑
- 多模型支持: 支持 Sonnet、Opus、Haiku 系列模型
- Admin 管理: 可选的 Web 管理界面和 API,支持凭据管理、余额查询等
- 多级 Region 配置: 支持全局和凭据级别的 Auth Region / API Region 配置
- 凭据级代理: 支持为每个凭据单独配置 HTTP/SOCKS5 代理,优先级:凭据代理 > 全局代理 > 无代理
PS: 如果不想编辑可以直接前往 Release 下载二进制文件
前置步骤:编译前需要先构建前端 Admin UI(用于嵌入到二进制中):
cd admin-ui && pnpm install && pnpm build
cargo build --release创建 config.json:
{
"host": "127.0.0.1",
"port": 8990,
"apiKey": "sk-kiro-rs-qazWSXedcRFV123456",
"region": "us-east-1"
}PS: 如果你需要 Web 管理面板, 请注意配置
adminApiKey
创建 credentials.json(从 Kiro IDE 等中获取凭证信息):
PS: 可以前往 Web 管理面板配置跳过本步骤 如果你对凭据地域有疑惑, 请查看 Region 配置
Social 认证:
{
"refreshToken": "你的刷新token",
"expiresAt": "2025-12-31T02:32:45.144Z",
"authMethod": "social"
}IdC 认证:
{
"refreshToken": "你的刷新token",
"expiresAt": "2025-12-31T02:32:45.144Z",
"authMethod": "idc",
"clientId": "你的clientId",
"clientSecret": "你的clientSecret"
}./target/release/kiro-rs或指定配置文件路径:
./target/release/kiro-rs -c /path/to/config.json --credentials /path/to/credentials.jsoncurl http://127.0.0.1:8990/v1/messages \
-H "Content-Type: application/json" \
-H "x-api-key: sk-kiro-rs-qazWSXedcRFV123456" \
-d '{
"model": "claude-sonnet-4-20250514",
"max_tokens": 1024,
"stream": true,
"messages": [
{"role": "user", "content": "Hello, Claude!"}
]
}'也可以通过 Docker 启动:
docker-compose up需要将 config.json 和 credentials.json 挂载到容器中,具体参见 docker-compose.yml。
如果 kiro-rs 容器需要被另一个 sub2api 容器通过容器名直连,重启时必须用脚本 tools/redeploy.sh,否则 docker bridge 网络隔离会导致 connection refused:
# 仅重启(用现有镜像)
bash tools/redeploy.sh
# 先 build 再重启
bash tools/redeploy.sh --build /opt/kiro-rs-src脚本会自动 docker network connect sub2api-deploy_sub2api-network kiro-rs。也可以通过环境变量 SUB2API_NETWORK 自定义网络名。
| 字段 | 类型 | 默认值 | 描述 |
|---|---|---|---|
host |
string | 127.0.0.1 |
服务监听地址 |
port |
number | 8080 |
服务监听端口 |
apiKey |
string | - | 自定义 API Key(用于客户端认证,必配) |
region |
string | us-east-1 |
AWS 区域 |
authRegion |
string | - | Auth Region(用于 Token 刷新),未配置时回退到 region |
apiRegion |
string | - | API Region(用于 API 请求),未配置时回退到 region |
kiroVersion |
string | 0.9.2 |
Kiro 版本号 |
machineId |
string | - | 自定义机器码(64位十六进制),不定义则自动生成 |
systemVersion |
string | 随机 | 系统版本标识 |
nodeVersion |
string | 22.21.1 |
Node.js 版本标识 |
tlsBackend |
string | rustls |
TLS 后端:rustls 或 native-tls |
countTokensApiUrl |
string | - | 外部 count_tokens API 地址 |
countTokensApiKey |
string | - | 外部 count_tokens API 密钥 |
countTokensAuthType |
string | x-api-key |
外部 API 认证类型:x-api-key 或 bearer |
proxyUrl |
string | - | HTTP/SOCKS5 代理地址 |
proxyUsername |
string | - | 代理用户名 |
proxyPassword |
string | - | 代理密码 |
adminApiKey |
string | - | Admin API 密钥,配置后启用凭据管理 API 和 Web 管理界面 |
loadBalancingMode |
string | priority |
负载均衡模式:priority(按优先级)或 balanced(均衡分配) |
extractThinking |
boolean | true |
非流式响应的 thinking 块提取。启用后 <thinking> 标签会被解析为独立的 thinking 内容块 |
tokenWesternCharWeight |
number | 1.85 |
西文字符 token 估算权重。本地估算把字符折算成 token(CJK 按 4.0 单位/字符,西文按本权重),旧默认 1.0 会把英文低估约 1.86 倍导致 input/cache_read 计费偏低;1.85 校准自实测。配 countTokensApiUrl(外部精确计数)时本权重不参与。配 1.0 回退旧行为 |
defaultEndpoint |
string | ide |
默认 Kiro 端点。凭据未显式指定 endpoint 时使用。当前支持:ide |
完整配置示例:
{
"host": "127.0.0.1",
"port": 8990,
"apiKey": "sk-kiro-rs-qazWSXedcRFV123456",
"region": "us-east-1",
"tlsBackend": "rustls",
"kiroVersion": "0.9.2",
"machineId": "64位十六进制机器码",
"systemVersion": "darwin#24.6.0",
"nodeVersion": "22.21.1",
"authRegion": "us-east-1",
"apiRegion": "us-east-1",
"countTokensApiUrl": "https://api.example.com/v1/messages/count_tokens",
"countTokensApiKey": "sk-your-count-tokens-api-key",
"countTokensAuthType": "x-api-key",
"proxyUrl": "http://127.0.0.1:7890",
"proxyUsername": "user",
"proxyPassword": "pass",
"adminApiKey": "sk-admin-your-secret-key",
"loadBalancingMode": "priority",
"extractThinking": true
}支持单对象格式(向后兼容)或数组格式(多凭据)。
| 字段 | 类型 | 描述 |
|---|---|---|
id |
number | 凭据唯一 ID(可选,仅用于 Admin API 管理;手写文件可不填) |
accessToken |
string | OAuth 访问令牌(可选,可自动刷新) |
refreshToken |
string | OAuth 刷新令牌 |
profileArn |
string | AWS Profile ARN(可选,登录时返回) |
expiresAt |
string | Token 过期时间 (RFC3339) |
authMethod |
string | 认证方式:social 或 idc |
clientId |
string | IdC 登录的客户端 ID(IdC 认证必填) |
clientSecret |
string | IdC 登录的客户端密钥(IdC 认证必填) |
priority |
number | 凭据优先级,数字越小越优先,默认为 0 |
region |
string | 凭据级 Auth Region, 兼容字段 |
authRegion |
string | 凭据级 Auth Region,用于 Token 刷新, 未配置时回退到 region |
apiRegion |
string | 凭据级 API Region,用于 API 请求 |
machineId |
string | 凭据级机器码(64位十六进制) |
email |
string | 用户邮箱(可选,从 API 获取) |
proxyUrl |
string | 凭据级代理 URL(可选,特殊值 direct 表示不使用代理) |
proxyUsername |
string | 凭据级代理用户名(可选) |
proxyPassword |
string | 凭据级代理密码(可选) |
endpoint |
string | 凭据级端点名称(可选,未配置时使用 config.defaultEndpoint) |
说明:
- IdC / Builder-ID / IAM 在本项目里属于同一种登录方式,配置时统一使用
authMethod: "idc" - 为兼容旧配置,
builder-id/iam仍可被识别,但会按idc处理
{
"accessToken": "请求token,一般有效期一小时,可选",
"refreshToken": "刷新token,一般有效期7-30天不等",
"profileArn": "arn:aws:codewhisperer:us-east-1:111112222233:profile/QWER1QAZSDFGH",
"expiresAt": "2025-12-31T02:32:45.144Z",
"authMethod": "social",
"clientId": "IdC 登录需要",
"clientSecret": "IdC 登录需要"
}[
{
"refreshToken": "第一个凭据的刷新token",
"expiresAt": "2025-12-31T02:32:45.144Z",
"authMethod": "social",
"priority": 0
},
{
"refreshToken": "第二个凭据的刷新token",
"expiresAt": "2025-12-31T02:32:45.144Z",
"authMethod": "idc",
"clientId": "xxxxxxxxx",
"clientSecret": "xxxxxxxxx",
"region": "us-east-2",
"priority": 1,
"proxyUrl": "socks5://proxy.example.com:1080",
"proxyUsername": "user",
"proxyPassword": "pass"
},
{
"refreshToken": "第三个凭据(显式不走代理)",
"expiresAt": "2025-12-31T02:32:45.144Z",
"authMethod": "social",
"priority": 2,
"proxyUrl": "direct"
}
]多凭据特性:
- 按
priority字段排序,数字越小优先级越高(默认为 0) - 单凭据最多重试 3 次,单请求最多重试 9 次
- 自动故障转移到下一个可用凭据
- 多凭据格式下 Token 刷新后自动回写到源文件
支持多级 Region 配置,分别控制 Token 刷新和 API 请求使用的区域。
Auth Region(Token 刷新)优先级:
凭据.authRegion > 凭据.region > config.authRegion > config.region
API Region(API 请求)优先级:
凭据.apiRegion > config.apiRegion > config.region
支持全局代理和凭据级代理,凭据级代理会覆盖该凭据产生的所有出站连接(API 请求、Token 刷新、额度查询)。
代理优先级:凭据.proxyUrl > config.proxyUrl > 无代理
凭据 proxyUrl 值 |
行为 |
|---|---|
具体 URL(如 http://proxy:8080、socks5://proxy:1080) |
使用凭据指定的代理 |
direct |
显式不使用代理(即使全局配置了代理) |
| 未配置(留空) | 回退到全局代理配置 |
凭据级代理示例:
[
{
"refreshToken": "凭据A:使用自己的代理",
"authMethod": "social",
"proxyUrl": "socks5://proxy-a.example.com:1080",
"proxyUsername": "user_a",
"proxyPassword": "pass_a"
},
{
"refreshToken": "凭据B:显式不走代理(直连)",
"authMethod": "social",
"proxyUrl": "direct"
},
{
"refreshToken": "凭据C:使用全局代理(或直连,取决于 config.json)",
"authMethod": "social"
}
]客户端请求本服务时,支持两种认证方式:
-
x-api-key Header
x-api-key: sk-your-api-key -
Authorization Bearer
Authorization: Bearer sk-your-api-key
可通过环境变量配置日志级别:
RUST_LOG=debug ./target/release/kiro-rs| 端点 | 方法 | 描述 |
|---|---|---|
/v1/models |
GET | 获取可用模型列表 |
/v1/messages |
POST | 创建消息(对话) |
/v1/messages/count_tokens |
POST | 估算 Token 数量 |
| 端点 | 方法 | 描述 |
|---|---|---|
/cc/v1/messages |
POST | 创建消息(缓冲模式,确保 input_tokens 准确) |
/cc/v1/messages/count_tokens |
POST | 估算 Token 数量(与 /v1 相同) |
/cc/v1/messages与/v1/messages的区别:
/v1/messages:实时流式返回,message_start中的input_tokens是估算值/cc/v1/messages:缓冲模式,等待上游流完成后,用从contextUsageEvent计算的准确input_tokens更正message_start,然后一次性返回所有事件- 等待期间会每 25 秒发送
ping事件保活
支持 Claude 的 extended thinking 功能:
{
"model": "claude-sonnet-4-20250514",
"max_tokens": 16000,
"thinking": {
"type": "enabled",
"budget_tokens": 10000
},
"messages": [...]
}完整支持 Anthropic 的 tool use 功能:
{
"model": "claude-sonnet-4-20250514",
"max_tokens": 1024,
"tools": [
{
"name": "get_weather",
"description": "获取指定城市的天气",
"input_schema": {
"type": "object",
"properties": {
"city": {"type": "string"}
},
"required": ["city"]
}
}
],
"messages": [...]
}| Anthropic 模型 | Kiro 模型 |
|---|---|
*sonnet* |
claude-sonnet-4.5 |
*opus*(含 4.5/4-5) |
claude-opus-4.5 |
*opus*(其他) |
claude-opus-4.6 |
*haiku* |
claude-haiku-4.5 |
当 config.json 配置了非空 adminApiKey 时,会启用:
-
Admin API(认证同 API Key)
GET /api/admin/credentials- 获取所有凭据状态POST /api/admin/credentials- 添加新凭据DELETE /api/admin/credentials/:id- 删除凭据POST /api/admin/credentials/:id/disabled- 设置凭据禁用状态POST /api/admin/credentials/:id/priority- 设置凭据优先级POST /api/admin/credentials/:id/reset- 重置失败计数GET /api/admin/credentials/:id/balance- 获取凭据余额
-
Admin UI
GET /admin- 访问管理页面(需要在编译前构建admin-ui/dist)
- 凭证安全: 请妥善保管
credentials.json文件,不要提交到版本控制 - Token 刷新: 服务会自动刷新过期的 Token,无需手动干预
- WebSearch 工具: 当
tools列表仅包含一个web_search工具时,会走内置 WebSearch 转换逻辑
完整的架构说明、请求生命周期与逐文件职责见
docs/ARCHITECTURE.md。
kiro-rs/
├── src/
│ ├── main.rs # 程序入口:装配 provider/router 并启动 axum
│ ├── http_client.rs # 统一 HTTP 客户端构建(代理 / TLS 后端)
│ ├── model/ # 配置模型
│ │ ├── arg.rs # 命令行参数
│ │ ├── config.rs # config.json 全量结构
│ │ └── runtime.rs # 运行时可热改配置(Admin 改动回写磁盘)
│ ├── common/ # 公共工具:auth / hash / io(原子写) / redact(脱敏)
│ ├── anthropic/ # Anthropic API 兼容层
│ │ ├── router.rs / middleware.rs / handlers.rs / types.rs
│ │ ├── error_map.rs # 上游错误 → Anthropic 错误协议
│ │ ├── models.rs # /v1/models 列表
│ │ ├── preprocess.rs # system prompt 注入/剥离、thinking 规范化
│ │ ├── prompt_filter.rs # 剥离客户端内置安全限制
│ │ ├── prompt_presets.rs # 内置预设库(presets/*.md)
│ │ ├── document.rs # PDF/document 块文本提取
│ │ ├── token_count.rs # token 估算
│ │ ├── websearch.rs # WebSearch ↔ Kiro MCP
│ │ ├── prompt_cache.rs # 中转层多断点前缀缓存(存储)
│ │ ├── cache_accounting.rs # 缓存 per-request 计费
│ │ ├── converter/ # Anthropic → Kiro 协议转换
│ │ │ └── model_map / session / tools / content / history
│ │ └── stream/ # Kiro 事件 → Anthropic SSE
│ │ └── context / buffered / sse_state / thinking / signature / tokens
│ ├── kiro/ # Kiro / CodeWhisperer 客户端
│ │ ├── provider.rs # 上游调用 + 故障转移 + 重试
│ │ ├── machine_id.rs # 设备指纹
│ │ ├── metrics.rs # 请求级指标环形缓冲
│ │ ├── endpoint/ # 端点抽象(mod trait + ide 实现)
│ │ ├── token_manager/ # 多凭据池
│ │ │ └── acquire / selection / refresh / failure / failure_kind
│ │ │ / persistence / admin_ops
│ │ ├── parser/ # AWS Event Stream 解码
│ │ │ └── decoder / frame / header / crc / error
│ │ └── model/ # 数据模型
│ │ ├── credentials / token_refresh / usage_limits
│ │ ├── events/ # assistant / tool_use / reasoning / context_usage / base
│ │ └── requests/ # kiro / conversation / tool
│ ├── admin/ # Admin API(凭据/指标/system-prompt/cache/retry)
│ │ └── router / middleware / handlers / service / metrics / types / error
│ └── admin_ui/router.rs # rust-embed 嵌入前端 dist,/admin 静态服务
├── admin-ui/ # Admin UI 前端工程(React+TS+Vite,构建产物嵌入二进制)
├── docs/ # 架构与设计文档
├── tools/ # 辅助工具
├── Cargo.toml / Dockerfile / docker-compose.yml / *.example.json
MIT
本项目的实现离不开前辈的努力:
本项目部分逻辑参考了以上的项目, 再次由衷的感谢!