Skip to main content

执行链路总览

一条 Bash 命令从 AI 决策到实际执行的完整路径:

只读命令的判定:为什么 Read 免审批而 Bash 不一定

BashTool 的 isReadOnly() 方法(packages/builtin-tools/src/tools/BashTool/BashTool.tsx:655)决定一条命令是否被视为”只读”:
判定逻辑基于 4 个命令集合(BashTool.tsx:120-166): 对于复合命令(ls dir && echo "---" && ls dir2),系统拆分后逐段检查——所有非中性段都必须属于上述集合,整条命令才被视为只读。

AST 安全解析:tree-sitter bash 解析

preparePermissionMatcher()BashTool.tsx:663)在权限检查前用 parseForSecurity() 解析命令结构:
关键安全点:对于复合命令 ls && git push,解析后拆分为 ["ls", "git push"],确保 git push 不会因为前半段是只读命令而绕过权限检查。解析失败时采用 fail-safe 策略——假设不安全,触发所有安全 hook。

超时控制:分级策略

超时后系统不会直接杀进程——ShellCommandsrc/utils/ShellCommand.ts:144)通过 onTimeout 回调通知调用方,由调用方决定是终止还是后台化。

自动后台化

长时间运行的命令可以自动转为后台任务,不阻塞 AI 的 agentic loop:
自动后台化的完整链路:
主线程 Agent 有 15 秒的阻塞预算——超过这个时间,系统自动将命令后台化。这防止了一个 npm install 阻塞整个 agentic loop 数分钟。

输出截断策略

命令输出过长时会触发截断,防止把海量日志塞进 AI 的上下文窗口: 截断不是简单砍尾——isIncomplete 标记确保 AI 知道输出不完整,可以决定是否需要用更精确的命令重新获取。

为什么用专用工具而不是直接调 shell

Claude Code 为文件读写、代码搜索等操作提供了专用工具(Read、Grep、Glob),而不是让 AI 用 catgrep 等 shell 命令。这不仅是用户体验的选择,更是架构层面的设计决策: isConcurrencySafe()BashTool.tsx:652)是一个常被忽视但重要的设计——只有只读命令可以在 agentic loop 中并行执行,有副作用的命令必须串行,防止竞态条件。

进度反馈的流式设计

BashTool 的命令执行是流式的,通过 onProgress 回调逐行推送输出:
UI 层通过 useToolCallProgress hook 实时展示命令输出。resolveProgress() 信号机制让 generator 在有新数据时才 yield,避免了忙等待。