权限
Jarvis 可以编排读取本地仓库、运行本地工具并向聊天汇报的编码运行时。因此权限纪律是日常配置的一部分。
公开规则
标题为“公开规则”的章节配置或排障时,默认遵守:
- 不公开密钥、token、cookie、API 密钥或数据库 dump。
- 不把私有日志或完整会话 transcript 贴到公开 issue。
- 不发布暴露私有路径、个人数据或模型提供商凭证的截图。
- 任何可复用访问权限或还原私有工作区的信息都要脱敏。
JARVIS_API_KEY
标题为“JARVIS_API_KEY”的章节JARVIS_API_KEY 保护 Jarvis API。它应当:
- 在本地生成;
- 存在本地环境中;
- 不提交到仓库;
- 怀疑泄漏时立即轮换。
运行时权限
标题为“运行时权限”的章节Jarvis 启动的运行时仍然有自己的权限模型:
- Jarvis 管会话、状态和汇报。
- 运行时 CLI 管自己的认证、本地执行上下文和权限提示。
- 不同运行时的跳过权限、审批卡片和接管能力可能不同。
隐私与脱敏
标题为“隐私与脱敏”的章节- 配置:不要公开完整
.env。 - 日志:只保留复现问题所需的短错误片段,并移除密钥。
- 支持请求:优先描述现象和步骤,不倾倒原始会话输出。
公开反馈
标题为“公开反馈”的章节提交公开 issue 时可以包含:
- 可复现步骤;
- Jarvis 版本;
- 操作系统;
- 脱敏后的错误摘要;
- 已移除私密内容的截图。
不要公开安全漏洞利用细节。安全问题应走负责任披露路径。