介绍
# error-guard
⚠️ **系统级技能(高级用户)**
该技能定义了 OpenClaw 的 **控制平面安全原语**。 它被有意设计为极简、非阻塞,旨在防止在运行长期或高风险工作负载时出现代理冻结、死锁和不可恢复的状态。
## 设计原则
> **警告:** 此技能在代理控制平面级别运行。 > 仅应由理解 OpenClaw 执行模型且运行可能阻塞、挂起或长时间运行的工作负载的用户安装。
- **主代理永不阻塞**:无长时间执行、无外部 I/O、无 LLM 调用。 - **事件驱动**:工作进程发出事件;控制平面进行监听。 - **故障安全优先**:恢复命令必须始终响应。 - **极简状态**:仅跟踪任务元数据(从不包括负载)。
## 命令界面(阶段 1)
### /status
报告当前系统健康状态和任务注册表状态。
返回: - 活跃任务(taskId、type、state) - 开始时间和最后心跳 - 针对停滞或逾期任务的标志
约束: - 必须在常数时间内运行 - 不得调用任何模型或外部 API
### /flush
紧急停止。
立即: - 取消所有活跃任务 - 终止活跃的执行/进程会话 - 清空待处理消息队列 - 重置内存中的任务注册表
约束: - 必须始终响应 - 不等待工作进程 - 无模型调用
### /recover
安全恢复序列。
步骤: 1. 执行 `/flush` 2. 重置控制平面状态 3. 可选地重新加载技能/状态(无需容器重启)
## 未来扩展(尚未实现)
- 子代理运行器辅助工具(事件驱动) - 带有 TTL 和静默检测的任务看门狗 - 结构化事件协议(task.started, task.heartbeat, task.completed, ...) - 背压和任务类别(交互式 / 批处理 / 后台)
## 安全与隐私
- 此技能**不**存储负载、提示词、消息或模型输出 - 仅保留极少的任务元数据(taskId、时间戳、状态) - 不读取或写入任何 API 密钥、凭据或用户数据 - 可安全公开发布和共享
## 非目标
- 无业务逻辑 - 无后台轮询循环 - 无面向用户的功能 - 无 LLM 推理路径
此技能是**最后一道防线**。保持其小巧、快速和可靠。