错误防护

⚠️系统级技能（高级用户）

此技能定义了OpenClaw 的控制平面安全原语。 它被刻意设计得极为精简、非阻塞，旨在防止代理在运行长期或高风险工作负载时出现冻结、死锁和不可恢复状态。

设计原则

警告：此技能在代理控制平面层级运行。 仅应由理解 OpenClaw 执行模型、且正在运行可能阻塞、挂起或长时间运行的工作负载的用户安装。

• 主代理永不阻塞：无长时间执行、无外部 I/O、无 LLM 调用。
• 事件驱动：工作线程发出事件；控制平面监听。
• 故障安全优先：恢复命令必须始终能响应。
• 最小化状态：仅跟踪任务元数据（从不跟踪负载数据）。

命令接口（第一阶段）

/status

报告当前系统健康状况和任务注册表状态。

返回：

• 活动任务（任务ID、类型、状态）
• 开始时间和最后心跳
• 标记停滞或超时任务

约束条件：

• 必须在恒定时间内运行
• 不得调用任何模型或外部API

/flush

紧急停止。

立即：

• 取消所有活动任务
• 终止活动执行/进程会话
• 清空待处理消息队列
• 重置内存中的任务注册表

约束条件：

• 必须始终响应
• 不等待工作进程
• 不调用模型

/recover

安全恢复序列。

步骤：

1. 执行刷新
2. 重置控制平面状态
3. 可选重新加载技能/状态（无需容器重启）

未来扩展（尚未实现）

• 子代理运行助手（事件驱动）
• 具有TTL和静默检测的任务看门狗
• 结构化事件协议（task.started, task.heartbeat, task.completed, ...）
• 背压和任务分类（交互式 / 批处理 / 后台）

安全与隐私

• 本技能不会存储有效载荷、提示、消息或模型输出
• 仅持久化最少的任务元数据（taskId、时间戳、状态）
• 不读取或写入任何API密钥、凭据或用户数据
• 可安全公开并共享

非目标

• 无业务逻辑
• 无后台轮询循环
• 无面向用户的功能
• 无LLM推理路径

这项技能是最后的防线。保持其小巧、快速且可靠。