ContextQMD
Back to Aionui

ACP 单聊 - 权限与安全 (F-PERM)

docs/prds/conversations/acp/permissions.md

1.9.256.4 KB
Original Source

ACP 单聊 - 权限与安全 (F-PERM)

本文档由 PM 从 prd-acp-scenarios.md 抽取,保持与源同步。 覆盖技术场景:S-PERM-01 ~ S-PERM-06

(F-PERM-01) AI 操作权限审批 [部分实现]

实现差距:核心审批流程完整,但缺少 30 分钟超时自动拒绝机制(createdAt 字段已预留,无定时扫描逻辑)

用户故事:作为用户,我希望 AI 在执行敏感操作(如写入文件、运行命令)前征求我的许可,以便我掌控 AI 的行为。

待确认(源自 S-PERM-01 矛盾 1):权限审批存在两层自动判断机制,其确切执行顺序需开发确认。当前理解为:系统先检查"始终允许"记录,再检查是否处于免确认模式。两层判断的先后关系直接影响用户在不同场景下的体验。

前置条件:AI 会话处于活跃状态,且未开启免确认模式

正常流程(用户视角):

  1. AI 在执行敏感操作前 -> 用户界面弹出权限确认卡片,显示操作类型(如"编辑文件")、操作内容(如文件路径)和可选项
  2. 用户选择"允许"-> AI 继续执行该操作
  3. 用户选择"始终允许"-> AI 继续执行该操作,且后续同类操作(相同类型 + 相同对象)自动放行,不再弹窗
  4. 用户选择"拒绝"-> AI 不执行该操作,继续对话

异常情况

  • 用户 30 分钟内未响应权限请求:系统自动拒绝该操作
  • AI 正在等待权限审批时,用户点击"停止"按钮:权限请求被取消,AI 停止当前任务
  • 多个权限请求同时到达:按顺序依次展示给用户

不同 AI 后端的差异

  • 团队模式下:权限请求无超时限制(等待团队管理者审批)

验收标准

  • 敏感操作前弹出权限确认卡片,包含操作类型和内容
  • 用户可选择"允许""始终允许"或"拒绝"
  • 选择"始终允许"后,同类操作在当前会话内自动放行
  • 会话重置后,"始终允许"记录被清除
  • 超时未响应时自动拒绝

(F-PERM-02) 权限确认操作 [已实现]

用户故事:作为用户,我希望在权限确认卡片上快速做出决定,且操作后 AI 立即响应。

前置条件:界面上有未处理的权限确认卡片

正常流程(用户视角):

  1. 用户看到权限确认卡片,卡片上显示操作描述和可选按钮
  2. 用户点击某个选项按钮 -> 确认卡片消失
  3. AI 根据用户选择继续或放弃操作,对话继续

异常情况

  • 用户在 AI 尚未完全初始化时做出确认:系统等待初始化完成后再执行确认
  • 确认卡片对应的操作已不存在(如 AI 已被停止):确认操作无效,卡片静默消失

验收标准

  • 点击确认按钮后,卡片立即从界面消失
  • AI 在用户确认后立即恢复执行
  • 无效的确认操作不会引发错误

(F-PERM-03) 免确认模式 / YOLO 模式 [已实现]

用户故事:作为用户,我希望开启免确认模式后,AI 可以自主执行所有操作而无需逐一征求我的许可,所有操作请求自动通过,以便提高效率。

待确认(源自 S-PERM-03 矛盾 2):部分 AI 后端(codebuddy)的免确认模式内部标识存在不一致记录,需开发确认实际使用的值。此矛盾不影响用户体验,但可能影响该后端免确认模式能否正确生效。

前置条件:当前 AI 后端支持免确认模式

正常流程(用户视角):

  1. 用户在模式选择中切换到免确认模式 -> 系统提示模式已切换
  2. AI 需要执行操作时 -> 系统自动选择第一个选项(通常为"允许"),几乎即时通过
  3. 用户不会看到任何确认卡片,AI 连续执行操作
  4. 定时任务复用已有会话时,系统自动为其启用免确认模式(用户无感知)

异常情况

  • AI 后端不支持免确认模式(如 Codex、Gemini):该模式选项不出现在模式列表中
  • 启用失败:用户看到错误提示,模式保持不变
  • 操作请求没有可选项(罕见情况):即使在免确认模式下也会弹出卡片,需要用户手动处理

不同 AI 后端的差异

  • 支持免确认模式的后端:Claude、Codebuddy、Qwen、iFlow
  • 不支持免确认模式的后端:Codex、Gemini 及其他通用后端 -- 模式列表中不展示此选项

验收标准

  • 支持免确认的后端,模式列表中包含免确认选项
  • 不支持免确认的后端,模式列表中不包含免确认选项
  • 开启免确认模式后,所有带有可选项的操作请求自动通过
  • 自动通过的速度足够快(用户几乎无感知延迟)
  • 没有可选项的操作请求不会被自动处理
  • 从免确认模式切回其他模式后,操作重新需要确认
  • 定时任务复用会话时可自动进入免确认模式

(F-PERM-04) 查看待确认操作列表 [已实现]

用户故事:作为用户,我希望查看当前会话中所有等待我确认的操作,以便不遗漏任何需要审批的请求。

前置条件:AI 会话处于活跃状态

正常流程(用户视角):

  1. 用户打开/切换到某个会话 -> 界面显示该会话中所有待确认的操作卡片
  2. 若无待确认操作 -> 不显示任何确认卡片

异常情况

  • 会话未初始化或已结束:返回空列表,不显示确认卡片

验收标准

  • 进入会话时,所有待确认操作以卡片形式展示
  • 确认或拒绝操作后,对应卡片从列表中消失
  • 无待确认操作时,界面干净无多余元素

(F-PERM-06) 会话创建时的模式与权限初始化 [已实现]

用户故事:作为用户,我希望新建会话时的模式和权限设置来自我的默认偏好或引导页选择,无需每次重新配置。

前置条件:用户新建一个 AI 会话

正常流程(用户视角):

  1. 用户在引导页选择了"免确认模式" -> 新建的会话自动进入免确认模式
  2. 用户未做任何选择 -> 新建的会话使用默认模式,操作需要逐一确认
  3. 之前在设置中开启过全局免确认 -> 新建会话自动继承该设置

验收标准

  • 引导页选择的模式在新会话中立即生效
  • 默认情况下新会话使用默认模式(需逐一确认)
  • 全局免确认设置可被引导页的显式选择覆盖