Режим разрешений живет в APX, а не в APC

APC — это слой переносимого контекста. APX — это слой среды выполнения и инструментов. Это различие имеет значение для безопасности.

Разрешения — это не истина проекта. Это политика машины.

Репозиторий должен перемещаться между ноутбуками и настольными компьютерами беспрепятственно. Настройка разрешений не должна навязывать один и тот же уровень риска каждой машине. Если вы поместите состояние разрешений в APC, вы смешаете локальное доверие с общим контекстом.

APX сохраняет четкую границу. Режим разрешений живет в вашем локальном конфиге, а не в репозитории.

Доступные режимы:

  • total: запуск каждого инструмента без подтверждения.
  • automatico: разрешение безопасного чтения и работы в shell. Запрос подтверждения для деструктивных или исходящих действий.
  • permiso: запуск только разрешенных инструментов напрямую. Для всего остального требуется подтверждение.

Automatico — это режим по умолчанию. Он делает среду выполнения удобной для повседневной работы.

APC управляет метаданными проекта, агентами и навыками. Этот контент остается стабильным для различных инструментов и хорошо работает в git.

Режим разрешений зависит от факторов среды выполнения:

  • Кто владеет машиной.
  • Является ли машина личной или общей.
  • Является ли задача исследовательской или высокорискованной.
  • Насколько сильно вы доверяете среде выполнения сегодня.

Если вы перенесете разрешения в APC, вы создадите две проблемы. Вы унаследуете политику, которая может не подойти новой машине. Вы также превратите локальный выбор безопасности в общий проектный багаж.

Репозиторий описывает работу. APX решает, какой властью обладает локальная среда выполнения.

APX обеспечивает это в коде. Функция createPermissionGuard считывает ваш глобальный конфиг и блокирует или разрешает вызовы инструментов.

Эта структура соответствует вашему рабочему процессу. Чтение файла отличается от изменения репозитория. Безопасный поиск отличается от MCP-соединения.

Вы можете использовать один и тот же проект APC с разными политиками APX. Используйте automatico на своем ноутбуке. Используйте permiso на общей рабочей станции.

Используйте этот тест, чтобы определить, к чему относится настройка:

  • Отвечает ли она на вопрос «что это за проект?» Поместите её в APC.
  • Отвечает ли она на вопрос «что эта машина может делать прямо сейчас?» Поместите её в APX.

Режим разрешений должен принадлежать APX. Это сохраняет переносимость APC и обеспечивает предсказуемость вашей локальной среды выполнения.

Source: https://dev.to/agentprojectcontext/permission-mode-lives-in-apx-not-apc-50d6

Optional learning community: https://t.me/GyaanSetuAi