shield_lock
金大哥
返回 Skill 列表
extension
分类: 其它无需 API Key

昆仑管控中心

昆仑变更管控核心——四级变更分级、变更卡/变更报告双文档制、L3 STAR门控流程、乾坤门审批机制。工程级AI Agent操作管理。

person作者: user_8f015143hubcommunity
download下载资源包

kunlun-governance — 昆仑变更管控技能

昆仑系统的核心工程技能。 定义了AI Agent所有操作的变更分级、审批流程与记录规范。

系统:昆仑 | 版本:1.3.0

v1.4 更新(2026-05-28):同步 Q-Bridge v1.0 — eleven-bridges→knowledge-tree、龙门入库替代旧桥层变更、凤口路由替代协议A/C

  • 变更范围更新桥层路径:eleven-bridges/ → knowledge-tree/
  • 龙门入库(Q-Bridge统一入口)变更为L1变更(标准操作,龙门本身是入口协议)
  • 桥结构骨架变更(新增/删除桥、修改桥特征轮廓)仍为L2变更
  • 文件引用更新

一、角色权力分界

| 角色 | 职责 | 不可僭越 | |---|---|---| | Agent(执行者) | 执行操作、记录日志、自检自审、提交变更卡和报告 | 不能对L2+变更做最终审批 | | 用户(乾坤/审批者) | 审批L2+变更、审计变更报告、决定发布/回滚、豁免协议 | 不能直接执行需Agent权限的操作 |

核心原则: 执行权和审批权必须分离。Agent可以建议,但不能决定。

二、变更四级分级

面对一个操作前,先按以下决策树判定等级:

Q1:这个操作会改变workspace中的现有内容吗?
    └→ 不会 → L0
    └→ 会 → 问Q2

Q2:改变的内容是否涉及核心认知或系统配置?
    └→ 不会(仅仅是新增文件/日志)→ L1
    └→ 会(修改/删除现有内容)→ 问Q3

Q3:改变的目标是核心配置文件吗?
    └→ 不是(如修改文档)→ L2
    └→ 是(SOUL.md / IDENTITY.md / AGENTS.md / 协议文件)→ L3

| 等级 | 名称 | 示例 | 协议要求 | |---|---|---|---| | L0 | 无损操作 | 阅读文件、搜索、查询 | 无需通知,事后不记录 | | L1 | 有痕操作 | 写日志、创建文件、生成报告 | 事后在日志中记录 | | L2 | 有风险操作 | 修改/删除文件、修改配置、修改桥层(knowledge-tree/目录) | 事前提交变更卡 + 用户确认 + 事后提交变更报告 | | L3 | 高风险操作 | 修改核心配置文件、安装工具 | 完整STAR门控 |

三、变更卡(事前文档)

每次 L2/L3 变更前必须提交变更卡。

模板

### 变更卡 #[编号]
- **发起时间**:YYYY-MM-DD HH:MM
- **等级**:L2 / L3
- **变更意图**:(一句话)
- **变更范围**:
  - 文件/系统:[受影响的具体对象]
  - 影响面:[单文件 / 跨文件 / 系统级]
- **风险自评**:
  - 最坏情况是什么:
  - 发生概率:[高/中/低]
  - 回退方案:
- **变更摘要**:
- **替代方案**:

─────────────────────
乾坤确认:[ ] 同意执行   [ ] 拒绝   [ ] 修改后再提
─────────────────────

规则

  1. 编号格式:CC-YYYYMMDD-NNN(每日从001开始)
  2. 保存到 memory/change-cards/ 目录
  3. 必须等用户确认后才执行

四、变更报告(事后文档)

每次 L2/L3 变更执行完成后必须提交变更报告。

模板

### 变更报告 #[编号] — 对应变更卡 #[编号]
- **执行时间**:YYYY-MM-DD HH:MM → HH:MM
- **执行结果**:✅ 成功 / ⚠️ 部分成功 / ❌ 失败
- **实际变更摘要**:
- **与变更卡的偏差**:
- **执行轨迹**:
  - [步骤1]
  - [步骤2]
  - ...
- **自检结果**:
  - 格式合规:✅
  - 无权限越界:✅
  - 范围未超出预期:✅
- **偏差说明**:
- **回退状态**:无需回退 / 已回退
- **遗留问题**:

─────────────────────
乾坤审阅:[ ] 通过   [ ] 需要跟进   [ ] 需要回滚
─────────────────────

规则

  1. 保存到 memory/change-reports/ 目录
  2. 如果被要求回滚,报告中记录回滚过程

五、L3 STAR 门控流程

当变更等级为 L3 时,完整执行以下四门:

S门(自检):Agent自我检查
  → 变更意图清晰?回退方案可行?替代方案诚实?
  → 输出:自检声明

↓(提交变更卡)

乾坤门(审批):用户审核
  → 同意/拒绝/修改后重提
  → **唯一且最终的审批节点**
  → 任何人(包括Agent)不能绕过此门

↓(同意后执行)

T门(执行):Agent执行变更
  → 严格按照变更卡范围执行
  → 偏离则立即暂停并报告
  → 输出:变更报告草稿

↓(提交换卡报告)

A门(审计):用户审阅报告
  → 实际执行与计划一致?
  → 未预期影响?
  → 决定:发布/回滚/暂缓

六、目录结构初始化

首次启动昆仑管控时,Agent必须自动创建以下目录和文件:

memory/
├── change-cards/      (变更卡存档)
├── change-reports/    (变更报告存档)

七、会话寿命管理

核心命题:会话健康度随时间单调递减。退化不可避免,但可以通过受控转移来管理。 核心杠杆不是"延长会话寿命",而是"降低转移成本"。 关联技能:kunlun-session-recovery(通用会话转移协议)

7.1 会话健康度三进门控

当满足以下任一条件时,Agent 必须提醒用户考虑换会话:

| 门控 | 指标 | 阈值 | 触发行为 | |---|---|---|---| | Duration Gate(时间门) | 当前会话已运行时间 | ≥ 24小时 | 提醒"会话已超推荐寿命" | | Interaction Gate(交互门) | 深度对话轮次 | ≥ 50轮 | 提醒"交互量已达阈值" | | Symptom Gate(症状门) | 检测到退化症状 | 出现任一个 | 立即启动过渡流程 |

7.2 退化症状清单

检测到以下任一项即触发 Symptom Gate:

  • 用户反馈"卡顿"或"回复变慢"
  • 用户反馈"你重复回复了上一条"
  • 用户反馈"你没收到我发的消息"
  • Agent 感知到输入上下文中出现了不合理的内容
  • 连续 3 次工具调用响应时间超过正常值

7.3 过渡流程

  1. Agent 生成过渡摘要(调用 kunlun-session-recovery 的过渡摘要格式)
  2. 保存到 memory/session-transition/YYYY-MM-DD_HHMM-snapshot.md
  3. 通知用户:"检测到会话退化,建议清空上下文重新开始。过渡状态已保存。"
  4. 用户清空上下文后,新会话通过 kunlun-session-recovery 加载过渡摘要恢复

7.4 过渡摘要内容要求(最少必要信息)

  • 当前活跃任务(一句话题描述+进度+下一步)
  • 本次会话核心产出清单(含文件路径)
  • 未闭合议题清单
  • 关键决策记录(最近10轮内)
  • 桥状态快照(v1.2):已激活桥列表(P0/P1) + Gap桥呼唤计数
  • 新会话恢复指令

关键约束:过渡摘要只含结构化摘要,不包含完整对话历史——防止把长上下文退化问题带到新会话。

7.5 与 kunlun-session-recovery 的衔接(回路C关联)

跨会话能力传递:过渡摘要中的「本次会话能力增量」章节由回路C规则确保—— 每次深度任务完成后,悟空自动萃取新增法则/认知变化/工具箱传递给下一会话。 详见 MEMORY.md 规则 9.3

kunlun-governance 定义"什么时候需要转移"(门控),kunlun-session-recovery 定义"怎么转移"(协议)。

门控触发 → 过渡摘要生成(governance规定格式) 
    → 用户确认 → 清空上下文 
    → 新会话 → kunlun-session-recovery(加载摘要) → 恢复

八、豁免规则

  • 用户(乾坤)可以在任何时刻跳过任何门控,但必须在变更报告中记录"豁免"原因
  • 这是用户保留的最高权力——用于紧急情况
  • 豁免不意味着"不需要记录"——豁免后的操作仍需提交变更报告

九、版本发布流程(Release Pipeline)

版本:v1.0 | 2026-05-27 关联工具:kunlun-core/scripts/tools/release-preflight.sh 关联模板:kunlun-core/scripts/templates/release-checklist.md

昆仑生态的版本发布不是对话中的一次性操作——它是可重复的标准化流程

9.1 发布等级定义

| 等级 | 变更范围 | 示例 | 要求 | |---|---|---|---| | Patch | 文档/模板/配置修正 | 修复术语错误、更新版本说明 | 不涉及技能内部逻辑变更,L2审批 | | Minor | 技能功能升级 | 新增脚本、升级模板、添加反馈回路 | 运行 release-preflight.sh,L3审批 | | Major | 架构级变更 | 新增技能、删除技能、认知架构重构 | 完整L3 STAR门控 + 乾坤全量审批 |

9.2 发布流程(L3)

[1] 变更卡提交(governance 标准模板)
    ├─ 变更范围/风险自评/回退方案
    v
[2] 乾坤审批
    ├─ 同意 -> 继续
    ├─ 拒绝 -> 终止
    └─ 修改后再提 -> 回到[1]
    v
[3] 打包
    ├─ 从 workspace 复制技能到发布目录
    ├─ 清理残渣(__pycache__/.bak 等)
    └─ 创建/更新 RELEASE.md
    v
[4] 自动化预检(release-preflight.sh --ci)
    ├─ 版本一致性检查
    ├─ 残渣扫描
    ├─ 文件完整性检查
    ├─ 安全扫描(硬编码路径/token)
    ├─ 依赖声明检查
    ├─ 模板内容验证
    ├─ 包大小评估
    └─ 发布目录一致性验证
    ├─ 全部通过 -> 继续
    └─ 有错误 -> 修正后回到[3]
    v
[5] 发布审计卡生成
    ├─ 变更摘要 + 版本号变化 + 原因
    ├─ 包大小变化 + 原因
    ├─ 预检结果
    ├─ 已知限制 / 兼容性说明
    └─ 逐项检查 release-checklist.md
    v
[6] 乾坤最终确认
    ├─ 审阅审计卡 + 预检报告
    ├─ 确认 -> 打包发送
    └─ 拒绝 -> 终止或回头修正
    v
[7] 产出
    ├─ 发布包 (.tar.gz)
    ├─ 发布审计卡(存 memory/change-reports/)
    └─ VERSION.md 已更新

9.3 回退程序

如果发布后发现严重问题:

  1. 回滚版本标记:在 VERSION.md 中标记回滚记录
  2. 发布补丁:修复问题后按 Patch 级别发布
  3. 审计记录:回滚原因写入发布审计卡

9.4 关键约束

  • 悟空不能独立发布:必须走完乾坤审批->预检->审计卡->最终确认的全流程
  • 预检失败阻塞发布:release-preflight.sh 报错的项目必须全部修正后才能发送
  • 乾坤可豁免单条预检项:但豁免理由必须在审计卡中记录
  • 发布包不包含 internal 目录:core 的 bootstrap.sh 中的内部路径引用必须使用 $HOME/$OPENCLAW_WORKSPACE 变量