执行链路总览
一条 Bash 命令从 AI 决策到实际执行的完整路径:只读命令的判定:为什么 Read 免审批而 Bash 不一定
BashTool 的isReadOnly() 方法(packages/builtin-tools/src/tools/BashTool/BashTool.tsx:655)决定一条命令是否被视为”只读”:
BashTool.tsx:120-166):
对于复合命令(
ls dir && echo "---" && ls dir2),系统拆分后逐段检查——所有非中性段都必须属于上述集合,整条命令才被视为只读。
AST 安全解析:tree-sitter bash 解析
preparePermissionMatcher()(BashTool.tsx:663)在权限检查前用 parseForSecurity() 解析命令结构:
ls && git push,解析后拆分为 ["ls", "git push"],确保 git push 不会因为前半段是只读命令而绕过权限检查。解析失败时采用 fail-safe 策略——假设不安全,触发所有安全 hook。
超时控制:分级策略
ShellCommand(src/utils/ShellCommand.ts:144)通过 onTimeout 回调通知调用方,由调用方决定是终止还是后台化。
自动后台化
长时间运行的命令可以自动转为后台任务,不阻塞 AI 的 agentic loop:npm install 阻塞整个 agentic loop 数分钟。
输出截断策略
命令输出过长时会触发截断,防止把海量日志塞进 AI 的上下文窗口:
截断不是简单砍尾——
isIncomplete 标记确保 AI 知道输出不完整,可以决定是否需要用更精确的命令重新获取。
为什么用专用工具而不是直接调 shell
Claude Code 为文件读写、代码搜索等操作提供了专用工具(Read、Grep、Glob),而不是让 AI 用cat、grep 等 shell 命令。这不仅是用户体验的选择,更是架构层面的设计决策:
isConcurrencySafe()(BashTool.tsx:652)是一个常被忽视但重要的设计——只有只读命令可以在 agentic loop 中并行执行,有副作用的命令必须串行,防止竞态条件。
进度反馈的流式设计
BashTool 的命令执行是流式的,通过onProgress 回调逐行推送输出:
useToolCallProgress hook 实时展示命令输出。resolveProgress() 信号机制让 generator 在有新数据时才 yield,避免了忙等待。