OC0421 Agent Profile — OpenClaw v2026.4.21

Layer 0 — Agent 核心对象

agent_id

OC0421_WithOfficialCC

agent_type

Personal AI Gateway（多渠道个人助手）

model

Claude / GPT-4o（可插拔，多 provider）

channel_count

20+（WhatsApp/Telegram/Slack/Discord/Gmail...）

guard_rail

None（无独立 GuardRail）

self_evolve

None（无独立模块；但 write 工具可修改工作区）

security_checker

RulesChecker：allowFrom + tool-policy-pipeline + hooks-policy

gateway

CherryPy WebUI + WebSocket + Webhook HTTP

Layer 1 — 工作区文件（系统提示词注入点）

工作区文件 → 直接注入系统提示词（dist/system-prompt-BRx_74d7.js:CONTEXT_FILE_ORDER）

AGENTS.mdorder=10HIGHAgent 配置描述，影响行为模式

SOUL.mdorder=20CRITICAL核心人格配置，被 buildProjectContextSection 写入系统提示词

IDENTITY.mdorder=30HIGH身份配置

USER.mdorder=40HIGH用户配置，影响 Authorized Senders

TOOLS.mdorder=50MED工具配置

BOOTSTRAP.mdorder=60CRITICAL冷启动优先执行，注入用户提示词前缀

MEMORY.mdorder=70CRITICAL记忆注入，plugin 可写入；最后读取，覆盖性最强

HEARTBEAT.md动态CRITICALDYNAMIC，心跳不走缓存重读；C2 持久化核心

防护：sanitizeForPromptLiteral（仅过滤控制字符）+ wrapUntrustedPromptDataBlock（仅特定字段）— 不过滤指令语义文本

Layer 2 — 工具空间（Tool Space）

工具	类型	危险标签	证据
`exec`	命令执行	SK-EXEC TOOL-ACT	dist/exec-defaults-F2zQAtOd.js
`apply_patch`	文件补丁	SK-TOOL-WRITE TOOL-DATA	dist/pi-tools-BYoC5bpq.js
`write`	文件写入	SK-TOOL-WRITE	dist/pi-tools-BYoC5bpq.js
`read`	文件读取	SK-INFO	dist/pi-tools-BYoC5bpq.js
`message`	多渠道发送	SK-NET AI-LATERAL-MOVE	dist/system-prompt-BRx_74d7.js:buildMessagingSection
`subagents`	子代理委托	SK-AGENT	dist/system-prompt-BRx_74d7.js
Plugin 工具	渠道插件	SK-TOOL	dist/channel-tools-D3rYKI9d.js

Layer 3 — 记忆系统（Plugin-Based）

Layer 4 — 外部渠道（20+）

渠道	allowFrom 控制	危险配置	注入类型
WhatsApp	mergeDmAllowFromSources	allowWhenEmpty=true	DM/Group 消息体
Telegram	isSenderIdAllowed	allowWhenEmpty=true	DM/Group 消息体
Slack	groupAllowFrom fallback	通配符 "*" 放行全部	群组消息
Discord	同上	同上	群组消息
Gmail	无	allowUnsafeExternalContent	邮件 HTML 全文
WebChat	device auth	dangerouslyDisableDeviceAuth	Control UI 输入
Webhook	速率限制（内存）	allowRequestSessionKey	HTTP POST body

证据：dist/allow-from-ClF_LMu8.js:isSenderIdAllowed · dist/dangerous-config-flags-lTz7t-pV.js

Layer 5 — Execution Sandbox 层

配置项	有 Docker	无 Docker	风险
exec security	"deny"（拒绝所有）	"full"（全权限）	CRITICAL
exec ask	"auto"	"off"（不询问）	CRITICAL
bypassPermissions	跳过全部 tool-policy-pipeline（CLI 参数激活）		CRITICAL
tools.fs.workspaceOnly	false → 可操作工作区外任意文件		HIGH

证据：dist/exec-defaults-F2zQAtOd.js:resolveExecDefaults · dist/sandbox-B4e3wZhD.js · dist/cli-shared-BybrVDQR.js

Layer 6 — 触发机制

触发类型	描述	ATA Tag	证据
用户消息	标准 DM/Group 消息	TRG-RULE-TRIGGER	dist/message-hook-mappers-DZ_jp2sF.js
心跳轮询	heartbeatsEnabled → 重读 HEARTBEAT.md	TRG-EVENT-HEARTBEAT	dist/heartbeat-wake-B8UNwbeh.js
Cron 调度	schedule.kind={at/every/cron} → croner	TRG-RULE-SCHEDULE	dist/schedule-CfI3h5dr.js
Bootstrap	BOOTSTRAP.md 存在 → 首次运行特殊前缀	TRG-EVENT-LIFECYCLE	dist/bootstrap-prompt-4ZAPcOdz.js
Webhook	HTTP POST → 消息注入	TRG-EVENT-WEBHOOK	dist/monitor.webhook-DikDNsr1.js

OpenClaw v2026.4.21 实体全景