Merge pull request #11 from YingchaoX/feat/simplify-modes-build-plan

Feat/simplify modes build plan

Author: YingchaoX

README.md

@@ -33,7 +33,7 @@
 
 - **权限与安全**
   - `internal/security` + `internal/permission` 负责工作区边界、危险命令识别与策略决策。
-  - 策略值 `allow/ask/deny`，支持按工具与 bash pattern 配置，`yolo + bash` 特殊全放行路径。
+  - 仅保留 `build`/`plan` 两套运行预设，`/mode` 与 `/permissions` 联动切换。
 
 - **存储与会话**
   - 使用 SQLite 持久化消息、会话、todo 及权限日志，默认路径 `~/.coder`（可通过配置覆盖）。
@@ -155,7 +155,7 @@ go build -o coder ./cmd/agent
 
 ```text
 context: 0 tokens · model: qwen2.5-coder-32b-instruct
-[default] /path/to/your/workspace>
+[build] /path/to/your/workspace>
 ```
 
 即表示 REPL 已启动成功。
@@ -181,16 +181,16 @@ context: 0 tokens · model: qwen2.5-coder-32b-instruct
 - 特点：
   - 不调用模型，视为“用户自己在 shell 中执行”。
   - 结果以 `[COMMAND]` 区块返回，包含命令回显、exit code、持续时间、stdout/stderr 等。
-  - 仍受工作区边界与 `bash` 工具内部超时/输出截断约束。
+  - 仍受 Agent/Policy/审批链、工作区边界与 `bash` 工具内部超时/输出截断约束。
 
 ### `/` 内建命令
 
 `/` 命令由 `internal/orchestrator` 的 slash 分支解析，当前实现包括（详见 `docs/technical/02-Orchestrator执行循环.md`）：
 
 - `/help`：展示基本使用说明与命令列表。
 - `/model <name>`：切换当前会话模型，并尝试写入 `./.coder/config.json`。
-- `/permissions [preset]`：展示或切换权限预设（如 `strict`、`balanced`、`auto-edit`、`yolo`）。
-- `/mode <name>`：切换模式，也可使用 `/plan`、`/default`、`/auto-edit`、`/yolo` 快捷命令。
+- `/permissions [preset]`：展示或切换权限预设（`build`、`plan`），并联动当前模式。
+- `/mode <build|plan>`：切换模式，也可使用 `/build`、`/plan` 快捷命令。
 - `/tools`：展示当前注册与可用的工具列表。
 - `/skills`：展示当前可用的 Skills 列表。
 - `/todos`：查看当前会话 todo 列表（只读）。
@@ -206,12 +206,10 @@ context: 0 tokens · model: qwen2.5-coder-32b-instruct
 
 ### 模式（REPL /mode）
 
-当前支持四种模式（`internal/orchestrator` 中的 `mode` 字段）：
+当前支持两种模式（`internal/orchestrator` 中的 `mode` 字段）：
 
-- `plan`：仅规划与拆解，默认禁写入（`write/patch`）与高风险命令，不启用自动验证。
-- `default`：均衡模式，写入与高风险操作按策略 `allow/ask/deny` 执行，自动验证仅在用户明确要求时触发。
-- `auto-edit`：偏向交付改动，允许主动读写与自动验证，支持失败后注入修复提示并重试。
-- `yolo`：高自治模式，对 `bash` 走全放行路径，但仍有工作区与基础安全约束。
+- `build`：交付模式，支持代码修改与验证；禁用 `todowrite`（不能设置 todos）。
+- `plan`：规划模式，可联网与规划 todo；禁用写改删相关工具能力；`bash` 对白名单命令直接放行，其它命令走审批。
 
 模式会直接体现在提示符第二行的 `[mode]` 部分。
 

docs/design-v2.md

@@ -101,7 +101,9 @@ flowchart TD
 - `storage.SessionMeta`、`storage.TodoItem`：会话与 todo 状态。
 
 ## 7. 当前实现约束与已知差异
-- `/mode` 目前主要是会话展示状态，不直接改变策略引擎决策。
+- `/mode` 仅保留 `build|plan`，并与同名 Agent + Permission preset 联动切换。
+- `build` 禁用 `todowrite`；todo 规划与写入仅在 `plan` 模式允许。
+- `plan` 为硬只读规划模式：禁用 `edit/write/patch/task`，`bash` 仅允许只读白名单命令。
 - `/undo` 为整工作区 git 回滚（`git restore . && git clean -fd`），不是“按回合精确撤销”。
 - 自动验证命令选择为“配置优先 + 项目类型启发式”，当前未启用固定白名单硬约束。
 

docs/requirements/01-产品形态与界面.md

@@ -10,6 +10,7 @@
 ### 2.1 TTY 输入
 - Enter：发送当前输入。
 - 多行粘贴（Bracketed Paste）：显示 `[copy N lines]`，再按 Enter 发送整段。
+- Tab（输入框为空时）：在 `build` 与 `plan` 模式之间切换。
 - Ctrl+D：忽略，不作为发送键。
 - Ctrl+C：中断输入循环并退出程序。
 - Esc（输入编辑态）：清空当前输入框，不提交。
@@ -35,7 +36,7 @@
   - `/help`
   - `/model <name>`
   - `/permissions [preset]`
-  - `/mode <name>`、`/plan`、`/default`、`/auto-edit`、`/yolo`
+  - `/mode <build|plan>`、`/build`、`/plan`
   - `/tools`、`/skills`、`/todos`
   - `/new`、`/resume [session-id]`、`/sessions`
   - `/compact`、`/diff`、`/undo`
@@ -44,8 +45,10 @@
 - `/help` 输出中的命令列表需按“每行一个命令”展示，避免全部命令挤在同一行。
 
 ## 5. 模式（用户可见）
-- 支持值：`plan`、`default`、`auto-edit`、`yolo`。
-- 当前实现中，模式主要用于提示符显示与会话状态表达；工具执行策略仍主要由 Agent 工具开关与 Permission Policy 决定。
+- 支持值：`build`、`plan`。
+- `/mode` 与 Agent 联动：切换模式会同时切换同名 Agent 与同名权限预设。
+- `build`：交付模式，可读写代码；禁止 `todowrite`（不能设置 todos）。
+- `plan`：规划模式，可联网与规划 todos；禁止写改删相关能力（如 `edit/write/patch`）。
 
 ## 6. 颜色约定（终端 ANSI）
 - context 行：dim gray

docs/requirements/02-交互逻辑与状态流.md

@@ -25,16 +25,19 @@
 
 ## 4. `!` 命令模式
 - 跳过模型调用。
-- 直接执行 `bash` 工具。
-- 不走 Policy/风险审批链，但仍受：
+- 通过 `bash` 工具执行命令。
+- 走与普通工具调用一致的 Agent/Policy/审批链，仍受：
   - 当前 Agent 是否允许 `bash`
+  - `bash` pattern 策略（如 `plan` 模式下只读白名单）
   - `bash` 工具自身超时/输出限制
   - 工作区 cwd 约束
 - 结果按 `[COMMAND]` 块展示，并写入会话消息。
 
 ## 5. `/` 内建命令行为
 - `/model <name>`：切换当前 provider model，并尝试持久化到 `./.coder/config.json`。
-- `/permissions [preset]`：查看或套用 `strict|balanced|auto-edit|yolo`。
+- `/permissions [preset]`：查看或套用 `build|plan`（与 `/mode` 联动）。
+- `/mode <build|plan>`：切换模式，并同时切换同名 Agent 与权限预设。
+- `/build`、`/plan`：`/mode build|plan` 的快捷命令。
 - `/new`：创建新会话并清空当前内存消息。
 - `/resume [session-id]`：
   - 带参数：从存储加载该会话消息。

docs/requirements/04-安全与权限规则.md

@@ -31,19 +31,22 @@
 - `always` 仅对策略 ask 生效，会写入项目级 allowlist（`./.coder/config.json`）。
 
 ## 5. 命令模式 `!` 的例外
-`!` 命令不经过 Policy 与风险审批链，但仍受：
+`!` 命令与普通 `bash` 工具调用一致，经过 Policy 与风险审批链，并受：
 - Agent 工具开关（`bash` 是否启用）
+- `bash` pattern 策略
 - `bash` 工具超时/输出限制
 - 工作区执行目录约束
 
 ## 6. `/permissions` 预设
-- `strict`
-- `balanced`
-- `auto-edit`
-- `yolo`
+- `build`
+- `plan`
 
-说明：这是运行时策略切换，不改变 `/mode` 本身行为语义。
+说明：`/permissions` 与 `/mode` 联动，切换其中任一命令都会同步到同名运行态。
 
 ## 7. 当前已知边界
-- `mode=yolo` 本身不会绕过 Policy；真正放行依赖 `/permissions yolo` 或配置策略。
+- `plan` 模式下：
+  - 通过 Agent 工具开关禁用 `edit/write/patch/task` 与变更型 git 工具。
+  - `bash` 采用 “allow + ask”：
+    - 常见只读诊断命令白名单（如 `ls/cat/grep/git status|diff|log/uname/pwd/id`）直接 `allow`。
+    - 非白名单命令默认 `ask`，进入审批链后再执行或拒绝。
 - `allowlist` 按命令名匹配，不按完整参数串匹配。

docs/requirements/05-Agent与任务编排.md

@@ -1,15 +1,15 @@
 # 05. Agent 与任务编排
 
 ## 1. 内置 Agent
-- `build`（primary）：默认主代理，工具全开。
-- `plan`（primary）：规划代理，禁用 `write/edit/patch`。
+- `build`（primary）：默认主代理，负责交付改动；禁用 `todowrite`（不能设置 todos）。
+- `plan`（primary）：规划代理，可联网与规划 todo；禁用写改删相关工具（`write/edit/patch`）与 `task`。
 - `general`（subagent）：通用子代理。
 - `explore`（subagent）：只读探索，禁用 `edit/write/patch/bash/task/todowrite`。
 
 ## 2. Agent 生效方式
 - Agent 决定“模型可见工具集合”和“执行前工具开关检查”。
 - 即使模型返回禁用工具调用，也会在执行前被拦截为 blocked tool 结果。
-- `/mode` 与 Agent 解耦：`/mode` 不会自动切换 Agent。
+- `/mode <build|plan>` 与 Agent 联动：切换模式会同步切换同名 Agent 与同名权限预设。
 
 ## 3. 子任务（task 工具）
 - 输入：`agent + objective`。
@@ -30,6 +30,10 @@
 - 输入被 `isComplexTask` 判定为复杂
 - 当前会话无“未完成 todo”
 
+约束：
+- `build` 因禁用 `todowrite`，不会自动初始化 todos。
+- todo 创建/更新仅允许在 `plan` 模式完成。
+
 默认生成策略：
 - 中文输入：`阅读代码并确认目标/验收标准 -> 实施修改 -> 验证总结`
 - 英文输入：`Clarify scope -> Implement changes -> Validate and summarize`

docs/technical/00-总体架构.md

@@ -56,7 +56,8 @@
 
 ## 7. 核心不变量
 - 文件工具始终受工作区边界约束。
-- 四模式均可用：`plan`、`default`、`auto-edit`、`yolo`。
-- `yolo + bash` 始终走全放行路径。
+- 仅保留两种模式：`build`、`plan`。
+- `/mode` 与 Agent/Permission 预设联动切换。
+- `build` 禁用 `todowrite`；`plan` 禁用 `edit/write/patch/task` 且 `bash` 仅只读白名单。
 - 自动验证只执行白名单命令。
 - `/undo` 仅在检测到 git 可用且当前目录为 git 仓库时启用。

docs/technical/02-Orchestrator执行循环.md

@@ -30,36 +30,32 @@
 5. 执行工具。
 6. 结果写入 `tool` 消息并更新运行状态。
 
-例外：`yolo + bash`
-- 跳过策略拦截与风险审批，直接执行。
-
 ## 5. 模式行为矩阵
-- `plan`
-  - 目标：方案与拆解。
-  - 默认禁写入链路（`write/patch`）与副作用命令。
-  - 不触发自动验证。
-- `default`
-  - 目标：均衡执行。
-  - 写入与高风险操作按策略审批。
-  - 自动验证仅在用户明确要求时触发。
-- `auto-edit`
+- `build`
   - 目标：交付改动。
-  - 允许主动读写、自动验证、失败修复重试。
-- `yolo`
-  - 目标：高自治执行。
-  - `bash` 全放行（包含高风险命令）。
+  - 允许读写与自动验证。
+  - 禁用 `todowrite`（不能设置 todos）。
+- `plan`
+  - 目标：规划与分析。
+  - 工具层阻断写改删：禁用 `edit/write/patch/task` 与变更型 git 工具。
+  - 允许联网（`fetch`）与 todo 规划（`todoread/todowrite`）。
+  - `bash` 使用白名单直通 + 非白名单审批：
+    - 白名单（如 `ls/cat/grep/git status|diff|log/uname/pwd/id`）直接执行。
+    - 其他命令默认 `ask`，走审批后执行。
 
 ## 6. `!` 命令分支
 - 直接调用 `bash` 工具，不发模型请求。
-- 视为用户直接在终端执行 shell：**不经过策略层与风险审批链**，仅受工作区路径等基础安全约束（详见《04-安全与权限规则》中的“命令模式 `!`”小节）。
+- 经过与普通 `bash` 一致的策略与审批链：
+  - Policy 决策（`allow/ask/deny`）
+  - 工具层风险审批（如危险命令与重定向覆盖检查）
 - 返回结构化执行结果（命令、exit code、stdout/stderr）。
 
 ## 7. `/` 命令分支
 首发全量支持（与需求 02 子命令契约一致）：
 - `/help`
 - `/model <name>`
 - `/permissions [preset]`
-- `/mode <name>`（或 `/plan`、`/default`、`/auto-edit`、`/yolo` 等价形式）
+- `/mode <build|plan>`（或 `/build`、`/plan` 等价形式）
 - `/tools`
 - `/skills`
 - `/todos`
@@ -72,8 +68,8 @@
 子命令契约摘要：
 - `/help`：展示命令、Enter/Ctrl+D 输入规则、流式中断等说明。
 - `/model <name>`：立即切换当前会话模型，并尝试持久化到 `./.coder/config.json`。
-- `/permissions [preset]`：无参数时展示当前权限矩阵；有参数时切换权限预设（`strict`、`balanced`、`auto-edit`、`yolo`）。
-- `/mode <name>`：切换当前模式并更新提示符（或使用 `/plan`、`/default`、`/auto-edit`、`/yolo`）。
+- `/permissions [preset]`：无参数时展示当前权限矩阵；有参数时切换权限预设（`build`、`plan`），并联动当前模式。
+- `/mode <build|plan>`：切换当前模式并联动切换同名 Agent 与权限预设（或使用 `/build`、`/plan`）。
 - `/tools`：展示当前可用工具列表/摘要。
 - `/skills`：展示当前可用技能列表/摘要。
 - `/todos`：仅查看当前会话 todo 列表（只读）。
@@ -97,7 +93,7 @@
 - `workflow.auto_verify_after_edit=true`。
 - `bash` 工具可用。
 - 尝试次数未超过 `max_verify_attempts`。
-- 当前模式为 `auto-edit` 或 `yolo`，或 `default` 下用户明确要求。
+- 当前模式为 `build`，且用户明确要求或流程判定需要自动验证。
 
 执行规则：
 - 仅允许白名单命令：

docs/technical/04-安全与权限实现.md

@@ -39,9 +39,12 @@
 - 破坏系统可用性命令（如格式化磁盘、直接关机/重启）。
 - 越权写受保护路径且无白名单授权。
 
-## 6. `yolo + bash` 特例
-- 直接执行。
-- 不触发 `ask`、`deny`、风险审批、硬阻断拦截。
+## 6. 模式与权限联动
+- 仅保留 `build` 与 `plan` 两个运行态预设。
+- `/mode` 与 `/permissions` 使用同名预设联动切换，避免“模式与策略脱节”。
+- `plan` 通过 Agent + Policy 双层限制实现“工具只读 + bash 审批”：
+  - Agent 侧禁用 `edit/write/patch/task` 与变更型 git 工具。
+  - Policy 侧 `bash` 基线为 `ask`，白名单命令 `allow`。
 
 ## 7. 审批交互契约
 当启用交互审批时，必须提供三选项（仅对**策略层 `ask`** 生效）：
@@ -59,15 +62,14 @@
 - `sudo` 不纳入自动放行。
 
 适用范围：
-- 仅用于**模型触发的工具调用**（包括自动触发的 `skill`），由策略层 `ask` 驱动的审批交互产生。
-- **命令模式 `!`** 不走策略/风险审批链，等价用户在终端直接执行命令，不受 allowlist 影响。
+- 用于策略层 `ask` 的 bash 调用（包括模型触发与命令模式 `!`），由审批交互产生。
+- 危险命令风险审批仍为 y/n，不受 allowlist 影响。
 
 ## 9. 决策优先级
-1. `yolo + bash` 直接放行。
-2. `deny`（策略或硬阻断）。
-3. 用户拒绝。
-4. 自动触发 skill 免审批例外（前提非 `deny`）。
-5. allowlist 命中。
-6. 用户同意一次。
-7. `ask + auto_approve_ask=true`。
-8. 普通 `allow`。
+1. `deny`（策略或硬阻断）。
+2. 用户拒绝。
+3. 自动触发 skill 免审批例外（前提非 `deny`）。
+4. allowlist 命中。
+5. 用户同意一次。
+6. `ask + auto_approve_ask=true`。
+7. 普通 `allow`。

docs/technical/09-REPL交互与渲染实现.md

@@ -7,18 +7,19 @@
 
 示例：
 - 第一行：`context: 1200 tokens · model: gpt-4o`
-- 第二行：`[default] /Users/dev/myapp> `（或后接用户已输入内容）
+- 第二行：`[build] /Users/dev/myapp> `（或后接用户已输入内容）
 
 ## 2. 输入规则
 - **发送**：Enter 即发送当前输入。单行时直接 Enter 发送；多行仅支持粘贴：粘贴后终端显示 `[copy N lines]`，再按 Enter 发送该多行内容。TTY 下为 raw 模式；非 TTY（管道）下按行或 EOF 读取。
+- **Tab 模式切换**：仅当输入框为空时，Tab 在 `build` 与 `plan` 之间切换；当输入框非空时，Tab 保持输入编辑行为。
 - **输入历史（↑/↓）**：与典型 Linux 终端行为接近。在输入态下，↑ 可调出上一条用户输入，连续按 ↑ 逐条回溯直至最早记录并停留；↓ 则在历史中向前移动，越过最新记录后返回到“空输入行”（不保留中途编辑内容）。历史仅包含当前 REPL 进程内已成功提交的输入行。
 - **输入分支**：
   - `!` 前缀：命令模式，直走 `bash`。
   - `/` 前缀：内建命令。
   - 普通文本：进入模型-工具循环。
 
 ## 3. 模式切换
-- 通过内建命令切换：`/mode <name>` 或 `/plan`、`/default`、`/auto-edit`、`/yolo`。
+- 通过内建命令切换：`/mode <build|plan>` 或 `/build`、`/plan`。
 - 切换后提示符立即体现当前模式（第二行 `[mode]` 更新）。
 
 ## 4. 流式输出
@@ -65,7 +66,7 @@
 - **Tools、Skills**：通过 `/tools`、`/skills` 按需查看，非固定侧栏。
 
 ## 8. 审批交互
-- 触发场景：仅当**模型触发工具调用**且策略层或工具层判定为 `ask` 时（例如模型调用 `bash` 执行命令），命令模式 `!` 不走此交互链。
+- 触发场景：当工具调用（包含命令模式 `!`）在策略层或工具层判定为 `ask` 时触发审批交互。
 - 策略层 `ask`（如 `bash policy requires approval`）：在 stdout 打印待执行命令与说明，从 REPL 读审批输入（y/n/always）后继续；`always` 表示将该命令记录到项目级 allowlist，后续相同命令在策略层自动放行。
 - 工具层危险命令风险审批（如 `matches dangerous command policy`）：在 stdout 打印命令与说明，仅接受 y/n（不提供 `always`）。
 - 审批等待期间按 `Esc`：触发全局取消（等价 Cancel 整条自动化流程），不是 `N`。
@@ -124,7 +125,7 @@ sequenceDiagram
   - `RunInput` 内部通过 `parseBangCommand` 判断是否为命令模式；命中后调用 `runBangCommand`，否则走 `/` 内建命令或 `RunTurn`（模型-工具循环）。
   - `runBangCommand` 首先追加一条 `user` 消息，内容为原始输入（例如 `"! ls"`），确保命令本身在后续模型上下文中可见。
 - **命令执行与风险模型**：
-  - 命令模式通过 `registry.Execute("bash", args)` 直接调用 `bash` 工具；**显式跳过策略层 Policy 与工具层风险审批链**，语义等价“用户自己在 shell 中执行该命令”。
+  - 命令模式通过 `bash` 工具执行命令，并复用 Agent/Policy/审批链（与普通 tool call 一致）。
   - 仍受工具层安全配置约束：`command_timeout_ms` 与 `output_limit_bytes`；`bash` 在 JSON 结果中返回 `exit_code`、`stdout`、`stderr`、`truncated`、`duration_ms` 等字段。
   - 是否允许调用 `bash` 仅由 `activeAgent.ToolEnabled["bash"]` 控制；禁止时返回 `command mode denied: bash disabled by active agent <name>` 的 `assistant` 文本。
 - **渲染与 `[COMMAND]` 区块**：