19 插件 Cookbook(可直接落地)
本章给你 6 个可直接改造的插件场景模板(以“思路+边界+验证”为主)。
1) 敏感文件保护插件
- 目标:阻止
.env、私钥、凭据文件被读取或外传。 - 核心:在
tool.execute.before检测参数中的路径模式。 - 边界:不要只靠插件;必须配合
permission.readdeny。 - 验证:尝试读取
.env,应被阻止且日志可见。
2) Bash 风险命令拦截
- 目标:防止高风险命令误执行(
rm,del,rmdir,shutdown)。 - 核心:插件可做二次提醒与审计日志;权限层做硬 deny。
- 边界:避免“插件允许、权限拒绝”语义冲突,策略要统一。
- 验证:执行风险命令时,应触发阻断且写入审计记录。
3) 会话摘要归档
- 目标:任务结束后自动归档会话摘要到指定目录(不含敏感信息)。
- 核心:监听 session 相关事件,将关键信息结构化输出。
- 边界:摘要必须脱敏,不要写入 token、cookie、密钥。
- 验证:完成一次任务后,归档文件新增且字段完整。
4) 通知插件(长任务)
- 目标:后台长任务完成后发送桌面通知/Slack 通知。
- 核心:监听任务完成事件,控制通知节流。
- 边界:通知频率上限,避免告警疲劳。
- 验证:触发 >2 分钟任务,完成后只发 1 条通知。
5) 环境注入插件
- 目标:按项目注入固定环境变量(代理、时区、语言、路径)。
- 核心:通过
shell.env类能力统一注入。 - 边界:不要注入敏感值;敏感值放平台 Secret。
- 验证:在工具里打印环境,确认变量存在且最小暴露。
6) 上下文裁剪插件
- 目标:控制上下文长度,降低成本并提升稳定性。
- 核心:按规则裁剪“低价值噪声”,保留结构化结论。
- 边界:裁剪策略必须可回退,避免误删关键上下文。
- 验证:同任务多轮对比 token 成本与输出质量。
插件治理清单(团队)
- 插件必须有 owner、版本、变更记录。
- 每个插件必须有“回滚方法”。
- 新插件先灰度到 1-2 人,再全员启用。
- 每月做一次“插件价值复盘”:保留高价值,移除低收益。