Режим разрешений живет в APX, а не в APC
APC — это слой переносимого контекста. APX — это слой среды выполнения и инструментов. Это различие имеет значение для безопасности.
Разрешения — это не истина проекта. Это политика машины.
Репозиторий должен перемещаться между ноутбуками и настольными компьютерами беспрепятственно. Настройка разрешений не должна навязывать один и тот же уровень риска каждой машине. Если вы поместите состояние разрешений в APC, вы смешаете локальное доверие с общим контекстом.
APX сохраняет четкую границу. Режим разрешений живет в вашем локальном конфиге, а не в репозитории.
Доступные режимы:
- total: запуск каждого инструмента без подтверждения.
- automatico: разрешение безопасного чтения и работы в shell. Запрос подтверждения для деструктивных или исходящих действий.
- permiso: запуск только разрешенных инструментов напрямую. Для всего остального требуется подтверждение.
Automatico — это режим по умолчанию. Он делает среду выполнения удобной для повседневной работы.
APC управляет метаданными проекта, агентами и навыками. Этот контент остается стабильным для различных инструментов и хорошо работает в git.
Режим разрешений зависит от факторов среды выполнения:
- Кто владеет машиной.
- Является ли машина личной или общей.
- Является ли задача исследовательской или высокорискованной.
- Насколько сильно вы доверяете среде выполнения сегодня.
Если вы перенесете разрешения в APC, вы создадите две проблемы. Вы унаследуете политику, которая может не подойти новой машине. Вы также превратите локальный выбор безопасности в общий проектный багаж.
Репозиторий описывает работу. APX решает, какой властью обладает локальная среда выполнения.
APX обеспечивает это в коде. Функция createPermissionGuard считывает ваш глобальный конфиг и блокирует или разрешает вызовы инструментов.
Эта структура соответствует вашему рабочему процессу. Чтение файла отличается от изменения репозитория. Безопасный поиск отличается от MCP-соединения.
Вы можете использовать один и тот же проект APC с разными политиками APX. Используйте automatico на своем ноутбуке. Используйте permiso на общей рабочей станции.
Используйте этот тест, чтобы определить, к чему относится настройка:
- Отвечает ли она на вопрос «что это за проект?» Поместите её в APC.
- Отвечает ли она на вопрос «что эта машина может делать прямо сейчас?» Поместите её в APX.
Режим разрешений должен принадлежать APX. Это сохраняет переносимость APC и обеспечивает предсказуемость вашей локальной среды выполнения.
Source: https://dev.to/agentprojectcontext/permission-mode-lives-in-apx-not-apc-50d6
Optional learning community: https://t.me/GyaanSetuAi
