第十四章 人机交互Permission 系统 ALLOW/DENY/ASK 规则运行时 HITL 自动拦截用户让 agent 删数据库——我们不希望它问都不问就执行。1.x 时代用Hook.stopAgent()在onActing阶段抛异常中断2.0 推荐用Permission系统——为每个 tool 配 ALLOW / DENY / ASK 规则运行时自动拦截、提示用户、收集决策。这比 hook 优雅得多。本章你将学到PermissionMode5 种模式、PermissionRule4 个字段、ASK模式下如何给前端推送确认请求、以及Middleware在 HITL 中的辅助角色。14.1 1.x 时代怎么拦截工具1.x 时代要在工具调用前拦下来业务方在Hook.onActing里throw new StopAgentException()。问题异常语义不直观不能区分想确认 vs 直接拒绝没法让前端弹是否放行对话框只能字符串错误2.0 用Permission系统替代了这套写法决策含义ALLOW直接执行DENY直接拒绝 错误反馈给 LLMASK暂停工具执行推送确认请求给用户用户回 ALLOW/DENY 后继续PASSTHROUGH跳过本条规则看下一条14.2 第一个 Permission 例子这个例子在演示什么你有一个 DB 管理员 agent它有drop_table这种危险工具。你不希望它问都不问就删表——所以给drop_table配了一条ASK规则agent 想删表时Permission 引擎会暂停执行把确认请求推给前端等用户点了允许才继续。import io.agentscope.core.agent.RuntimeContext; import io.agentscope.core.message.UserMessage; import io.agentscope.core.model.DashScopeChatModel; import io.agentscope.core.permission.*; import io.agentscope.harness.HarnessAgent; import java.util.List; public class Chapter14_Permission { public static void main(String[] args) { // 1. 准备 PermissionContextACCEPT_EDITS 模式大部分操作放行 // 但 drop_table 必须人工确认ASK PermissionContextState perms PermissionContextState.builder() .mode(PermissionMode.ACCEPT_EDITS) .addAskRule(drop_table, new PermissionRule( drop_table, null, // null 匹配所有 drop_table 调用 PermissionBehavior.ASK, userSettings)) .build(); // 2. 构造 agent HarnessAgent agent HarnessAgent.builder() .name(db_admin) .sysPrompt(你是一个 DB 管理员可以查表但删表必须先问。) .model(DashScopeChatModel.builder() .apiKey(System.getenv(DASHSCOPE_API_KEY)) .modelName(qwen-plus) .build()) .workspace(Path.of(./workspace)) .permissionContext(perms) .build(); agent.call( List.of(new UserMessage(user, 把 orders_2024 表 drop 掉。)), RuntimeContext.empty()) .block(); // 跑到 drop_table 时Permission 会发出 ConfirmRequest前端需要回应 } }PermissionRule四个字段toolName— 工具名ruleContent— 匹配模式null 表示对所有调用匹配behavior—ALLOW/DENY/ASK/PASSTHROUGHsource— 规则来源便于审计userSettings/projectSettings/session/suggested14.3 5 种 PermissionModeMode行为适用场景DEFAULT所有未命中规则都ASK最安全推荐默认值ACCEPT_EDITS自动放行工作目录内的文件操作用户在场的活跃开发EXPLORE只读放行读、拒绝所有写与命令代码探索、规划BYPASS放行一切deny / ask 规则仍生效完全可信的沙箱DONT_ASK把所有 ASK 转为 DENY无人值守 / 计划任务注意EXPLORE模式下 deny 是不可绕过的——即使在BYPASS模式下也照常生效。这是 2.0 的危险工具不可绕过原则。14.3.1PermissionContextState——整个权限系统的配置单前面一直用.builder().mode(...).addAskRule(...).build()这个构建出来的对象就是PermissionContextState。它是 agent 权限的全部配置一张对象里包了三样东西PermissionContextState ├── mode ← 一个 PermissionModeDEFAULT / ACCEPT_EDITS / EXPLORE / BYPASS / DONT_ASK ├── allowRules ← Map工具名, ListPermissionRule — 哪些工具直接放行 ├── denyRules ← Map工具名, ListPermissionRule — 哪些工具直接拒绝 └── askRules ← Map工具名, ListPermissionRule — 哪些工具暂停问用户核心地位PermissionContextState是 agent 能做什么、不能做什么的唯一配置文件。它不属于某个 session不属于某个工具——它是整个 agent 的权限配置在HarnessAgent.builder().permissionContext(perms)时注入之后不可变。你可以把它理解为agent 的权限清单——清单上写了哪些工具要问、哪些直接放、哪些打死不能用。PermissionEngine权限引擎在每次工具调用前照着清单判定。14.4 ASK 的完整流程LLM 想调drop_tablePermission 引擎查规则 →ASK引擎生成建议规则——基于本次调用入参drop_table(orders_2024)引擎把ConfirmRequest推给前端通过streamEvents()的PermissionAskEvent前端弹是否放行对话框用户回 ALLOW 接受建议规则后端调agent.call(...)时把ConfirmResult注入回 session工具执行 自动把建议规则加入PermissionContextStateimport io.agentscope.core.event.ConfirmResult; import io.agentscope.core.event.ConfirmRequest; public MapString, Object handleAsk(ConfirmRequest req) { // 1. 推送给前端 sendToFrontend(req); // 2. 等用户回 ALLOW boolean userAllowed waitForUserDecision(); // 3. 构造 ConfirmResult ConfirmResult result new ConfirmResult( userAllowed, req.getToolCall(), userAllowed ? req.getSuggestedRules() : List.of() // 接受建议 ); return Map.of(decision, result); }14.5 Middleware 在 HITL 中的辅助角色Permission只解决能不能跑Middleware解决跑之前 / 之后还要做什么。HITL 场景里常见的 Middleware 用法class HitlAuditMiddleware extends MiddlewareBase { Override public MonoHookEvent onActing(MiddlewareContext ctx, HookEvent event) { event.getToolCalls().forEach(tc - { auditLog.info(user{} tool{} input{}, ctx.runtime().getUserId(), tc.getName(), tc.getInput()); }); return Mono.just(event); } }Permission给能不能跑的答案Middleware记谁、什么时候、跑了什么。14.6 与前端 SSE 的协作streamEvents()会发出PermissionAskEventevent: permission-ask data: {toolCallId:tc-1,toolName:drop_table,input:{table:orders_2024},suggestedRules:[...]}前端订阅后弹窗用户决策通过另一个 HTTP 端点回传POST /api/agent/permission/respond后端用agent.resume(sessionId, confirmResult)继续。agent.resume(...)2.0 新增——专门用于 ASK 暂停后的恢复。14.7 1.xHook.stopAgent还能用吗能但不推荐。io.agentscope.core.hook.Hook在 2.0 标Deprecated但语义保留class LegacyHitlHook implements Hook { Override public void onActing(HookEvent event) { if (event.getToolCalls().stream().anyMatch(t - drop_table.equals(t.getName()))) { throw new StopAgentException(drop_table is forbidden); } } }新代码请统一用Permission系统Hook只用来写日志/埋点等不需要 ASK 的场景。14.8 完整可运行示例这个例子在演示什么你有一个客服 agent配了 3 个工具query_order查订单、refund_order退款、drop_table删表——危险操作。我们希望查订单直接放行不打扰用户ALLOW退款弹窗问用户是否确认退款ASK删表直接拒绝agent 根本没机会删DENY下面用一个 agent 配 3 条 PermissionRule连续问 3 次每次触发不同行为public class Chapter14_FullHitl { public static void main(String[] args) { PermissionContextState perms PermissionContextState.builder() .mode(PermissionMode.DEFAULT) .addAllowRule(query_order, new PermissionRule( query_order, null, PermissionBehavior.ALLOW, userSettings)) .addAskRule(refund_order, new PermissionRule( refund_order, null, PermissionBehavior.ASK, userSettings)) .addDenyRule(drop_table, new PermissionRule( drop_table, null, PermissionBehavior.DENY, userSettings)) .build(); HarnessAgent agent HarnessAgent.builder() .name(customer_service) .sysPrompt(你是客服可以查订单但退款需要用户确认删表绝对禁止。) .model(model()) .workspace(Path.of(./workspace)) .permissionContext(perms) .build(); // 查订单 → ALLOW工具直接执行无任何中断 agent.call(List.of(new UserMessage(user, 查订单 123)), RuntimeContext.empty()).block(); // 退款 → ASKPermission 引擎暂停发出 ConfirmRequest 等前端回应 agent.call(List.of(new UserMessage(user, 给订单 123 退款 100 元)), RuntimeContext.empty()).block(); // 删表 → DENY工具调用被直接拒绝agent 收到错误反馈 agent.call(List.of(new UserMessage(user, 删掉 orders 表)), RuntimeContext.empty()).block(); } }注意addAllowRule/addAskRule/addDenyRule的第一个参数是精确工具名不支持通配符。必须写query_order而非query_*。14.9 本章小结2.0 用Permission系统做工具调用级 HITL比 1.xHook.stopAgent优雅。5 种PermissionMode适配不同部署场景4 种行为ALLOW/DENY/ASK/PASSTHROUGH。ASK模式PermissionAskEvent推前端 用户回ConfirmResult。Deny规则和危险路径检查不可绕过——BYPASS模式也拦不住。Middleware留给日志/埋点等不需要决策的副作用。