跳转到内容

权限

Jarvis 可以编排读取本地仓库、运行本地工具并向聊天汇报的编码运行时。因此权限纪律是日常配置的一部分。

配置或排障时,默认遵守:

  • 不公开密钥、token、cookie、API 密钥或数据库 dump。
  • 不把私有日志或完整会话 transcript 贴到公开 issue。
  • 不发布暴露私有路径、个人数据或模型提供商凭证的截图。
  • 任何可复用访问权限或还原私有工作区的信息都要脱敏。

JARVIS_API_KEY 保护 Jarvis API。它应当:

  • 在本地生成;
  • 存在本地环境中;
  • 不提交到仓库;
  • 怀疑泄漏时立即轮换。

Jarvis 启动的运行时仍然有自己的权限模型:

  • Jarvis 管会话、状态和汇报。
  • 运行时 CLI 管自己的认证、本地执行上下文和权限提示。
  • 不同运行时的跳过权限、审批卡片和接管能力可能不同。
  1. 配置:不要公开完整 .env
  2. 日志:只保留复现问题所需的短错误片段,并移除密钥。
  3. 支持请求:优先描述现象和步骤,不倾倒原始会话输出。

提交公开 issue 时可以包含:

  • 可复现步骤;
  • Jarvis 版本;
  • 操作系统;
  • 脱敏后的错误摘要;
  • 已移除私密内容的截图。

不要公开安全漏洞利用细节。安全问题应走负责任披露路径。