docs(agent-runner): update security boundary status

docs/agent-runner-pluginization/SECURITY_HARDENING.md

@@ -1,111 +1,209 @@
-# Agent Runner Security Hardening
+# Agent Runner Security Boundary
 
-本文档记录 agent-runner 插件化进入生产发布前需要补齐的安全与稳定加固项。
+本文档记录 agent-runner 插件化后的安全边界和最小护栏。
 
 ## 状态
 
-**当前结论：暂不塞进本阶段 agent-runner plugin 协议闭环。**
+**当前结论：不采用高强度监管模型。**
 
-本阶段目标是验证 LangBot 可以通过统一的 `run(event, binding)` 协议接入 `local-agent` 与外部 harness runner（当前官方路径为 LiteLLM Agent Platform runner），并能传递事件、上下文、资源句柄、状态和结果流。
+LangBot 的目标不是托管一个强隔离、不可信 code runner 平台。AgentRunner 插件，尤其是 ACP / Claude Code / Codex / OpenCode / Kimi Code 这类外部 harness，默认视为 **operator-owned execution**：用户或部署者显式配置并承担其文件系统、进程、网络、workspace、provider 登录态和 native tool 风险。
 
-安全发布级 hardening 是后续 release gate，不应阻塞当前协议闭环，但必须作为进入生产默认启用前的验收条件。
+LangBot 需要负责的是保护 **LangBot 自己持有的资源**，包括模型、知识库、LangBot tools、history、event、artifact、state、plugin/workspace storage 等。只要这些资源访问是 run-scoped、permission-scoped、可校验、可诊断的，当前阶段即可接受。
 
-> **硬规则**：能执行代码 / 访问工作目录的外部 harness runner（Claude Code、Codex、Kimi Code 等）不得在生产环境默认启用或隐式开启。self-host stdio / 容器内部署可以作为管理员显式 opt-in，并在配置或 UI 中标明 operator-owned execution risk；只有生产默认启用、托管云 runner 或 LangBot 承诺提供受管执行环境时，才要求完成本文 full Release Gate。
+这意味着：
 
-## Multica 对比结论
-
-对照 Multica 当前 daemon / runtime 模型，可以采用类似边界：
-
-- Multica 的 agent 不运行在 Multica server 上，而是由用户机器上的 daemon 调用本机已安装的 AI coding tool；runtime 不是 server，也不是 container。
-- 标准任务由 daemon 在 workspace root 下创建 per-task environment；但 `local_directory` 场景会直接在用户指定目录原地操作，只做绝对路径、路径清理、系统根目录 / home 黑名单、symlink realpath、读写能力和同路径串行锁校验。
-- 子进程通过 `exec.CommandContext`、timeout、cwd 和 env 运行；custom args 只过滤 protocol-critical flags，custom env 只阻止覆盖 daemon 内部变量和关键路径变量。它没有尝试阻止外部 CLI 读取该 OS 用户本来能访问的所有宿主路径。
-- MCP / secret 的约束更具体：Claude 走 `--mcp-config` + strict config；Codex 把 managed MCP 写入 per-task `$CODEX_HOME/config.toml`，避免 secret 出现在 argv / 日志；agent token 优先使用 task-scoped token。
-- Skill 安全边界也明确留给用户和目标工具：第三方 skill 不由 Multica 签名、审计或沙箱化。
-- provider-native sandbox 是 opportunistic guardrail，不是统一安全承诺。例如 Codex 在部分平台可写 managed sandbox config，但平台限制下也可能退回更宽松模式；Claude daemon mode 也会使用自动授权 / bypass 类能力以保证无人值守执行。
-
-因此，LangBot 不应把“完整约束外部 harness 的宿主文件 / 进程 / CPU / 内存 / native tool 能力”作为当前协议闭环或 self-host opt-in 的前置条件。当前阶段应承认外部 harness 是 operator-owned execution，并把 LangBot 可控的最小护栏补齐。
-
-## 启用级别
-
-| 场景 | 当前策略 | LangBot 必须负责 | 不作为当前阶段目标 |
-| --- | --- | --- | --- |
-| self-host stdio 外部 harness | 管理员显式 opt-in，默认关闭。 | 风险提示、runner/binding 权限摘要、Host 资源授权、Host 生成路径约束、env / secret 过滤、MCP scoped projection、timeout / cancel / output bound、state / audit。 | 阻止该 CLI 访问同一 OS 用户本来可访问的任意宿主文件、进程或全局 CLI 配置。 |
-| 容器内部署外部 harness | operator 通过容器镜像、挂载、环境变量和网络策略承担执行边界。 | 不假设 privileged container；只投影授权资源；文档提示最小挂载和最小 env；沿用 self-host 最小护栏。 | 在容器内再实现一套完整 VM / cgroup / seccomp 策略。 |
-| managed/cloud/default external harness | 只有完成 full Release Gate 后才能默认启用。 | 受管 workspace、容器/VM/process isolation、CPU / memory / disk / network / output quotas、完整 lifecycle cleanup、first-class audit 和 admin control。 | 无。 |
+- 不要求 LangBot 在应用层实现完整 OS sandbox、VM、cgroup、seccomp、CPU / memory / network quota。
+- 不要求为 ACP runner 做复杂审批流；用户选择 ACP runner 即表示显式 opt-in。
+- 不要求在非 Docker 进程部署里做强监管；只要文档明确风险归属即可。
+- Docker / K8s 可以提供部署级隔离，但不是 LangBot agent-runner 协议发布的前置条件。
+- 不能宣传 LangBot 已经提供 managed sandbox；除非未来真的提供受管执行环境。
 
 ## 责任边界
 
 ### LangBot Host 负责
 
-- 资源授权：决定某个 `run_id` / binding 可以访问哪些模型、RAG、MCP、skill、artifact、history、state。
-- 资源投影：只把授权后的资源句柄、配置片段或上下文文件传给 runner。
-- 路径策略：限制 Host 生成的 workspace / context file / artifact 的允许路径和清理策略；对管理员显式指定的本地工作目录做规范化、黑名单和风险提示。
-- Secret 策略：过滤环境变量、配置、日志和 transcript 中的 secret。
-- 运行约束：配置超时、轮次、并发、配额、输出大小和取消路径。
-- 审计记录：记录事件、绑定、资源授权、runner 调用、外部 harness session id、关键错误和结果摘要。
+- **资源授权**：根据 runner manifest permissions、binding resource policy、run scope 生成本次 run 可访问的资源快照。
+- **运行期校验**：所有带 `run_id` 的 SDK / Host action 必须校验 active run session、caller plugin identity、resource id 和 operation。
+- **Scoped projection**：只把授权后的资源摘要、MCP server config、context、artifact ref、state snapshot 投影给 runner。
+- **LangBot artifact 路径约束**：LangBot 自己登记和读取的 file artifact 必须限制在声明 root 内，防止 path escape。
+- **基础 secret 策略**：不要主动把 LangBot 持有的 API key / token / secret 投影给 runner；日志和错误里做常见 secret 字段脱敏。
+- **基础运行约束**：提供 timeout、取消传播、输出大小限制或错误映射的基础能力。
+- **audit-lite**：记录 event、run id、runner id、binding、资源授权摘要、关键失败、state/artifact/transcript 事实。
 
 ### Runner Plugin 负责
 
-- 遵守 LangBot 下发的 Agent/runner config、授权资源和运行约束。
-- 将 LangBot 资源投影成目标 runner 可消费的形式，例如 context 文件、MCP 配置、环境变量或 CLI 参数。
-- 遵守 PROTOCOL_V1 §13 的插件实例边界；需要跨轮次保存的外部 session id / working directory 等状态应写入 host-owned state。
-- 对外部进程做最小必要封装，包括命令参数构造、超时、取消、输出解析和错误映射。
+- 遵守 Host 下发的 `ctx.resources`、`ctx.context.available_apis`、runner config 和 state policy。
+- 把 LangBot 资源投影成目标平台可消费的形式，例如 MCP config、context prompt、HTTP header、run token。
+- 不绕过 SDK / Host action 直接访问 LangBot 内部资源。
+- 对自己启动的外部进程做合理封装，包括参数构造、timeout、取消、输出解析和错误映射。
+- 清楚记录自身 README 中的 provider 风险、部署假设和限制。
+
+### 部署者 / 用户负责
+
+- ACP / external harness 的 workspace 内容、文件系统访问、进程权限、网络访问、provider-native tool 权限。
+- Docker / K8s 的 image、volume、secret、network policy、resource limit、namespace、service account 配置。
+- 本机进程部署时的 OS 用户权限、PATH、HOME、CLI 登录态、全局配置和外部 MCP 配置。
+- 是否允许 runner 对某个目录执行真实写操作。
 
 ### 外部 Harness 负责
 
-Claude Code、Codex、Kimi Code 等外部 harness 可以继续使用自身的权限模型、工具 allow / deny 规则、MCP 加载策略、session/resume 机制和沙箱能力。
+Claude Code、Codex、OpenCode、Kimi Code、Gemini CLI 等外部工具继续使用自己的权限模型、MCP 加载策略、session/resume、sandbox 或 approval 能力。LangBot 不承诺约束这些工具对其所在容器或宿主 OS 用户本来可访问资源的能力。
 
-但外部 harness 不是 LangBot 的唯一安全边界。LangBot 仍必须在 Host 可控范围内完成资源授权、路径限制、secret 过滤和审计记录；stdio / 容器内显式启用时，外部 harness 对宿主 OS 的最终访问能力由 operator 的 CLI、账户、容器和挂载策略承担。
+## 部署场景策略
 
-## 当前 MVP 可接受边界
+| 场景 | LangBot 策略 | 不由 LangBot 承担 |
+| --- | --- | --- |
+| 普通进程部署 | 文档提示 operator-owned execution；Host 只保护 LangBot 资源。 | 阻止外部 CLI 读取同一 OS 用户可访问的文件、进程、HOME、全局 CLI 配置。 |
+| Docker / K8s 部署 | 继续使用相同 Host 资源边界；容器隔离由部署环境提供。 | 应用层重复实现容器/VM/cgroup/seccomp/network quota。 |
+| ACP runner | 用户显式选择 runner 和 workspace；LangBot 注入 scoped MCP / run token。 | ACP CLI native tools、workspace 写入、provider 登录态和外部 MCP 行为。 |
+| 外部 SaaS runner，例如 Dify | LangBot 通过 run token / gateway 限制 LangBot 资产访问。 | SaaS 平台内部 agent 执行策略、模型工具消息格式、平台侧日志。 |
+| 未来 managed runner | 只有当 LangBot 明确提供受管执行环境时，才需要单独定义强隔离 SLA。 | 当前协议闭环不承诺 managed sandbox。 |
 
-当前阶段可以接受以下前提：
+## 最小护栏
 
-- 由可信管理员配置 runner binding，并显式启用外部 harness 风险模式。
-- 工作目录和 context 输出目录为显式配置或 host 生成路径。
-- 外部 runner 应尽量使用保守权限，例如 plan / no-write 模式或禁用高风险工具；具体 provider-native 高风险模式只能作为管理员显式 opt-in 的 dev / smoke path。
-- 通过 timeout、max turns、输出长度和进程取消降低失控风险。
-- 通过 host-owned state 保存 `external.session_id`、`external.working_directory` 等 resume 所需指针。
+以下是当前阶段需要维持的最小要求。它们是保护 LangBot 资源边界的要求，不是完整监管外部进程的要求。
 
-这些前提足够做本地 E2E 与协议验收，不等同于生产发布完成。
+### Resource Permission Boundary
 
-## Admin Opt-in Minimum Guardrails
+每次 run 前必须冻结授权快照：
 
-外部 harness 如果只作为 self-host stdio / 容器内部署的管理员显式 opt-in，本阶段不要求完成 full OS sandbox，但至少需要：
+- runner manifest permissions 是资源访问上限。
+- binding resource policy / runner config 决定本次实际授权。
+- runtime action 按 `run_id` + `caller_plugin_identity` + resource id + operation 校验。
+- manifest permissions 只约束 LangBot 持有资源，不约束 external harness native tools。
 
-- 默认关闭外部 harness binding；启用时显示 runner 权限、工作目录、MCP / skill 投影和危险权限提示。
-- Host 生成的 workspace / context / artifact 路径必须在 allowlist root 内；管理员显式工作目录必须做 absolute path、`realpath`、系统根目录 / home 黑名单、`..` 逃逸和 symlink 检查。
-- 子进程环境使用 allowlist 或强 denylist，禁止覆盖 LangBot 内部变量、token、workspace root、runner state root、`PATH` / `HOME` 等关键变量；日志、错误、transcript 和 artifact metadata 必须 redaction。
-- MCP 配置必须是 scoped projection；secret 不应出现在 argv 或普通日志；LangBot MCP bridge 只暴露当前 run 授权的 tool surface。
-- Skill 投影必须来自 Host 已授权资源；记录来源、版本 / hash 或摘要；投影目录在 run / workspace 生命周期内可清理。
-- CLI 参数需要过滤 protocol-critical flags；高风险 permission mode 必须是显式配置或显式 MVP 标记，不能作为用户不可见的安全承诺。
-- 子进程必须支持 timeout、cancel、进程组清理和输出上限；CPU / memory / container hard quota 仅对 managed/cloud/default external harness 强制。
-- state / workspace / artifact 至少要有 owner scope、session id 记录、cleanup path 和 audit-lite 事件。
-- 测试覆盖 path escape、env / secret 泄漏、MCP deny、timeout、cancel、resume、cleanup 和 audit 字段完整性。
+当前实现方向是正确的：`AgentRunSessionRegistry` 保存 run-scoped snapshot，`plugin/handler.py` 对模型、工具、知识库、history、artifact、state、storage 等 action 做运行期校验。
 
-## Release Gate Checklist
+### MCP / Asset Gateway Boundary
 
-下表是进入“生产默认启用 / managed external harness / LangBot 承诺提供受管执行环境”前的 full gate。状态快照必须与 [STATUS.md](./STATUS.md) 的日期同步更新；“已补”只代表 self-host stdio / 容器内管理员显式 opt-in 的最小护栏，不代表 managed/default runner 已具备完整生产隔离。
+LangBot MCP / asset gateway 只暴露当前 run 授权的工具面：
 
-| 项目 | 状态 | 当前已补 | 仍缺口 / 发布前要求 |
-| --- | --- | --- | --- |
-| Path isolation | Partial | ArtifactStore 对 file artifact 使用 `realpath` + root containment 复核；Host 侧 run/session 生命周期和 resource authorization 已建立。 | LiteLLM Agent Platform 所在机器的 workspace、挂载、CLI 可访问路径和 cleanup 由部署侧承担；Host 生成 workspace / context / artifact root 还缺统一 allowlist、mount 策略、TTL cleanup 和 orphan cleanup。 |
-| Permission boundary | Partial | Host 已有 manifest permissions 与 binding resource policy 交集、run-scoped authorization snapshot、`ctx.context.available_apis`、proxy action `caller_plugin_identity` 校验；LiteLLM gateway 回访 LangBot 资产时必须携带 `run_id` 并接受 Host 校验。 | 外部 harness 的 native 文件 / 进程 / tool 能力仍属于 operator-owned execution；manifest permissions 只约束 LangBot 持有资源，生产默认或 managed runner 需要容器/VM/OS 级隔离、tool allow/deny 和可审计审批。 |
-| Secret handling | Partial | LangBot 持有的资源访问不直接投影 secret 给 harness；LiteLLM gateway 使用 bearer token 保护入口，真实 LangBot 资产请求回到 Host action 校验。 | 仍缺 Host 全链路统一 redaction policy、transcript / artifact metadata / admin UI 脱敏规则、secret 来源与轮换策略、跨 runner 的配置脱敏审计；LiteLLM 部署侧的 provider token、CLI auth 和日志脱敏另行负责。 |
-| MCP policy | Partial | LiteLLM runner 暴露稳定 HTTP MCP gateway，只提供 history page、knowledge retrieve、authorized tool call 等最小工具面；错误或过期 `run_id` 会被 Host 拒绝。 | 缺 Host / Admin 级外部 MCP server allowlist、scoped token 生命周期、tool allow / deny 策略、危险工具审批和 MCP 调用审计；后续如 LiteLLM 原生支持 run-scoped MCP session，应改为平台级传递 run scope。 |
-| Skill access policy | Partial | Host resource builder 会按 runner capability 和 resource policy 暴露 skill-backed scoped tool；当前 code-agent runner 不再接受用户手写 `skills-json`，避免 runner binding 任意投影 skill；skill tool 路径和可见性已有部分单测。 | 缺 code-agent harness 的发布级 skill 来源验证、版本 / hash 记录、projection cleanup 和审计；如后续需要 harness-native skill 文件，也必须由 Host / sandbox 生成受限 tool surface，不能绕过 SDK runtime 访问 LangBot 资源。 |
-| Process isolation | Partial | Host runtime deadline 和 runner timeout 已有；LiteLLM runner 对 HTTP 调用设置 timeout 并把服务错误映射为受控失败。 | 外部 harness 子进程、取消、输出上限、CPU / 内存 / 文件 / 容器 hard quota、网络策略、长期 workspace GC 和平台级 cancel/audit 由 LiteLLM 部署侧或后续 managed/cloud/default external harness gate 负责。 |
-| State lifecycle | Partial | PersistentStateStore 有 runner / binding / scope 隔离、JSON size limit、state get / set / list / delete；LiteLLM runner 会写回外部 session id，避免把具体 provider 的内部路径当成 Host resume 事实。 | 缺 session / workspace / artifact TTL、过期清理、迁移策略、orphan cleanup 和 lifecycle audit；managed/default runner 需要 Host first-class workspace 生命周期。 |
-| Audit first-class | Partial | EventLog、Transcript、ArtifactStore、PersistentStateStore 已能记录主链路事实；proxy 校验失败会写 warning。 | 资源授权快照、外部命令、MCP tool 决策、secret redaction、cleanup、resume / workspace 生命周期还不是一等 audit surface。 |
-| UI / Admin control | Missing | 当前 Pipeline runner 配置能选择插件 runner。 | 缺管理员可见的 runner 权限摘要、风险提示、生产禁用 / 启用入口、resource binding 管理、MCP / skill / workspace 策略 UI。 |
-| Test matrix | Partial | 已有 run authorization、caller identity、artifact、state、history / event pull API、LiteLLM HTTP session、run_id prompt 注入、gateway MCP 回访、错误 run_id 拒绝、skill visibility 等单测；runner 仓库 `pytest` / `ruff` 应保持通过。 | 仍缺 Host UI smoke、真实 LiteLLM Agent Platform harness E2E、生产禁用入口、MCP deny / dangerous tool 审计、workspace cleanup / audit 完整性矩阵；CPU / memory / container quota 测试属于 managed/cloud/default full gate。 |
+- `langbot_list_assets`
+- `langbot_get_current_event`
+- `langbot_history_page`
+- `langbot_retrieve_knowledge`
+- `langbot_get_tool_detail`
+- `langbot_call_tool`
 
-## 非当前范围
+外部平台需要使用短期 `run_token` 或 Authorization bearer token。token 缺失、错误或过期时必须拒绝访问。
 
-以下内容不属于本阶段协议闭环：
+不要求当前阶段实现 admin 级 MCP allowlist、dangerous tool approval 或复杂审批流。是否注册外部 MCP provider 是部署者/用户行为。
 
-- 完整异步队列与 issue-centric 产品模型。
-- 复杂 workflow engine。
-- 具体 CLI provider 直连适配器全量接入。
-- EBA 分支的完整迁移由外部 EBA 分支联调；本阶段只复用其需要的 AgentRunner Host 底座。
-- 发布级安全 hardening 的完整实现。
+### Workspace / Path Boundary
+
+LangBot 只需要约束自己管理的路径：
+
+- Host 生成或登记的 file artifact 必须校验 `realpath` 和 root containment。
+- Artifact metadata 不应暴露 Host-only storage key / host path。
+- Context 文件、artifact 文件如由 LangBot 创建，应放在可清理的位置。
+
+用户配置给 ACP runner 的 workspace 不属于 LangBot 的强监管范围。Docker/K8s 下依赖 volume 挂载边界；普通进程部署下依赖 OS 用户权限和用户自担风险。
+
+### Secret Handling
+
+这里的 secret 指 API key、provider token、run token、MCP token、platform secret、数据库密码等。
+
+当前阶段只要求基础策略：
+
+- LangBot 不主动把自己持有的 secret 投影给 runner，除非这是 runner config 明确需要的外部服务凭据。
+- run token 是短期、run-scoped 的，不应长期保存。
+- 日志、错误、transcript、artifact metadata 尽量避免打印常见 secret 字段。
+- 配置 UI / API 返回时继续沿用现有 secret masking 规则。
+
+不要求当前阶段实现完整 DLP、全链路敏感数据追踪、secret lineage 或自动轮换体系。
+
+### Process / Runtime Bounds
+
+LangBot 需要提供基本可控性：
+
+- Host run deadline / runner timeout。
+- runner 侧请求 timeout。
+- generator close / cancel 传播。
+- 输出和 artifact inline size 上限。
+- 错误映射为受控 runner failure。
+
+不要求 LangBot 为外部 harness 实现 CPU、内存、磁盘、网络、进程树强隔离。需要这些能力时由 Docker/K8s、systemd、容器平台或用户机器策略提供。
+
+### UI / Admin Surface
+
+前端可以展示 runner 权限摘要，但它是信息披露，不是审批系统。
+
+权限摘要指 runner manifest 声明的 LangBot 资源权限，例如：
+
+- `tools.detail`
+- `tools.call`
+- `knowledge_bases.retrieve`
+- `history.page`
+- `storage.plugin`
+
+当前阶段不要求强制弹窗、管理员审批、dangerous tool approval 或生产禁用开关。可以在 runner 配置区展示简短提示：此 runner 能访问哪些 LangBot 资源，外部 harness 执行风险由用户/部署者承担。
+
+### Audit Lite
+
+需要记录足够排查问题的事实：
+
+- run id、runner id、binding、event。
+- 授权资源摘要。
+- state update、artifact created、transcript message。
+- MCP / pull API 拒绝时的 warning。
+- steering queued / injected / dropped。
+
+不要求当前阶段建立独立安全审计产品、审批记录系统或 SIEM 级事件模型。
+
+## 降级后的检查表
+
+| 项目 | 当前要求 | 状态判断 |
+| --- | --- | --- |
+| Path isolation | 只约束 LangBot 管理的 artifact/context 路径；runner workspace 归用户/部署环境。 | Minimal required |
+| Permission boundary | 必须保护 LangBot 资源；不约束外部 CLI native 能力。 | Required |
+| Secret handling | 基础不投影、基础 masking、run token 短期化。 | Basic required |
+| MCP policy | run-scoped token + scoped tool surface；无复杂审批。 | Required |
+| Skill access policy | 通过 Host 授权资源暴露；harness-native skill 文件不作为 LangBot 安全边界。 | Basic required |
+| Process isolation | 由 Docker/K8s/用户机器负责。 | Out of scope |
+| State lifecycle | scope 隔离、JSON size limit、基础 cleanup primitive。 | Basic required |
+| Audit | 记录运行事实和拒绝原因。 | Audit-lite |
+| UI / Admin control | 权限摘要可展示；不要求审批流。 | Optional |
+| Test matrix | 覆盖 run auth、MCP token、permission deny、timeout、artifact path、state size。 | Focused tests |
+
+## 当前实现快照
+
+截至 2026-06-15，已有实现覆盖：
+
+- SDK typed AgentRunner manifest、capabilities、permissions。
+- Host resource builder 按 manifest permissions 和 binding policy 生成 `ctx.resources`。
+- Active run session snapshot 和 `caller_plugin_identity` 校验。
+- History / event / artifact / state / tool / knowledge runtime action 的 run-scoped 校验。
+- Artifact file path `realpath` + root containment。
+- Persistent state scope 隔离和 JSON size limit。
+- SDK-owned MCP bridge 和 long-lived asset gateway。
+- Dify / ACP runner 对 LangBot asset gateway 的接入。
+- Runner timeout、Dify HTTP timeout、ACP startup / initialize / request timeout。
+
+仍可继续优化但不阻塞当前发布的事项：
+
+- 前端展示 runner LangBot 资源权限摘要。
+- 常见 secret 字段 redaction 收敛成统一 helper。
+- Artifact/context TTL cleanup 调度。
+- 更完整的 MCP 调用 audit。
+- 更好的文档提示：ACP runner 是 operator-owned execution。
+
+## 非目标
+
+以下不属于当前 agent-runner pluginization 的安全目标：
+
+- 防止 ACP / external harness 修改其 workspace。
+- 防止外部 CLI 读取同一容器或 OS 用户本来可读的文件。
+- 管控 external harness 的 provider-native tools、approval、MCP、browser、shell。
+- 在 LangBot 应用层实现 VM / container / cgroup / seccomp / network policy。
+- 为 Docker/K8s 部署替代平台自身的 secret、volume、network、resource limit 管理。
+- 实现企业级审批系统、SIEM、DLP 或安全运营面板。
+
+## 发布口径
+
+可以对外说明：
+
+> AgentRunner 插件通过 run-scoped authorization 和 scoped MCP gateway 保护 LangBot 持有资源。外部 code harness 的执行环境由用户或部署平台负责隔离；LangBot 当前不提供 managed sandbox。
+
+不能对外说明：
+
+> LangBot 已经安全沙箱化 Claude Code / Codex / OpenCode 等外部 runner。

docs/agent-runner-pluginization/STATUS.md

@@ -16,7 +16,7 @@
 | Old built-in runners | Done | 旧 `src/langbot/pkg/provider/runners/*` 与 `RequestRunner` 路径已从本分支删除。 |
 | Official runner manifests | Done | `local-agent`、LiteLLM Agent Platform、外部服务 runner 已重新声明真实生效的 LangBot resource permissions。 |
 | Runtime Control Plane v2 | Future | 第一阶段设计为 Host-owned Run Ledger；runtime registry / heartbeat / daemon claim 是后续可选阶段。 |
-| Full release security gate | Future | self-host / container opt-in 可继续；managed/default external harness 需完成 SECURITY_HARDENING full gate。 |
+| Security boundary | Done | 当前口径降级为轻量边界：LangBot 保护自身持有资源；external harness 的 OS / process / network / workspace 风险由用户或部署环境承担；managed sandbox 不是当前承诺。 |
 | Steering control path | Done | claim 异常不再逃逸 consumer loop；queue 有上限；未 pull 的 claimed 输入在 run 结束时写 `steering.dropped` 审计终态。 |
 | SDK v1 contract closure | Done | SDK 提供 `AgentAPIError` / `AgentAPIException`、typed `SteeringPullResult`、未知 result type 宽容解析、result `sequence` 注入与取消传播。 |
 
@@ -27,7 +27,7 @@
 - State 与 storage 的长期类型边界仍可继续收窄；当前合同只要求 JSON-safe state 与受控 storage API。
 - Artifact 读取路径已检查 `expires_at`，EventLog / Transcript / Artifact 已提供显式 cleanup primitive；长期 retention 默认值、TTL 调度接入和大 payload 去重仍是运维收尾项，应在 Runtime Control Plane Phase 1 前补齐。
 - External harness 的 native shell / filesystem / CLI / MCP 权限不受 manifest permissions 约束；manifest permissions 只约束 LangBot 持有的资源访问。
-- Managed/cloud/default external harness 的 OS/process/network quota、workspace GC、完整 audit/admin control 仍是发布门槛，不是 Protocol v1 已完成能力。
+- LangBot 当前不承诺 managed sandbox；external harness 的 OS/process/network quota、workspace GC、provider-native tool 权限由用户或部署环境承担。
 
 ## Runner 验收状态
 
@@ -46,4 +46,4 @@
 - `local-agent` 可以通过 Pipeline Debug Chat 走插件化 `AgentRunOrchestrator` 主链路。
 - 外部 harness runner 可以通过同一条 `run(event, binding)` 路径执行；当前官方实现已收敛到 LiteLLM Agent Platform runner，具体 Claude Code / Codex CLI provider 不再由本仓库直接维护。
 
-这些记录只证明本地协议闭环可用，不代表发布级 security hardening 已完成。
+这些记录只证明本地协议闭环可用，不代表 LangBot 提供 managed sandbox 或 external harness OS 级隔离。