v3.7.11 安全架构说明 最后更新: 2026-05-24

Auto-Coding 是一个本地运行的子代理编排系统。所有子 agent 通过 OpenClaw Gateway 的 sessions_spawn 机制创建，在 isolated 上下文中执行。不向外部第三方服务发送代码或项目数据。

• 实现: auto_coding_workflow.py 中 spawn 使用 --session isolated 模式
• 效果: 子 agent 不继承父 session 的完整上下文，降低信息泄露面
• 超时控制: 所有子 agent 有 runTimeoutSeconds 限制，防止无限挂起

• 实现: model_auto_router.py — 三层决策路由（阶段→分类→上下文阈值）
• 约束: 仅使用 volcengine-plan provider 的模型，跨 provider 调用全部拒绝
• 分工: Pro 模型做推理/审查，Flash 模型做代码生成/测试

• 实现: scorecard_engine.py 中的 _safe_bool_eval() — 使用 ast.parse 白名单节点
• 策略: 不支持 eval() / exec()，仅允许布尔比较表达式（Eq/NotEq/Lt/Gt/And/Or/Not）

• 子 agent 执行: cron 监控 agent 白名单为 exec,message，在 isolated session 中运行
• subprocess 调用: 仅用于调用 openclaw CLI（cron add/rm、infer model run），输入均来自本地可控变量
• 风险边界: 不会将用户原始输入直接拼入 shell 命令

• 实现: feishu_notifier.py
• 数据: 仅发送任务状态摘要（完成/失败/超时）和审批请求
• 凭证: 飞书 Token 通过 os.environ 读取，不硬编码

• 范围: 仅限 self.project_dir 指定的项目目录
• 权限: 子 agent 继承父进程文件权限，不扩大

本 skill 不依赖任何第三方数据外传服务。仅与 OpenClaw Gateway（本地）交互。

• 所有环境变量均为可选配置
• 默认从 gateway config 自动加载模型
• 模型 Provider 约束在 model_auto_router.py 中（仅 volcengine-plan）

如遇到安全问题：

1. 停止所有子 agent

   openclaw gateway stop

2. 清理任务目录

   rm -rf /tmp/auto-coding-*

3. 检查日志

   tail -n 200 ~/.openclaw/logs/gateway.log

4. 更新到最新版本

   clawhub update auto-coding-correctversion

• skills/discipline-meta.skill.md 中的 override 关键字是人工审批流程的设计文档描述，不是 prompt injection 指令。Agent 仅在用户确认后方可跳过规则，且记录到 audit log
• skills/decomposition.skill.md、skills/verification.skill.md 中不含实际密码/凭证示例（已替换为通用术语）

版本: v3.7.11 — 安全说明与代码实现一一对应