会话管理
智能体可以检查、通信和生成会话。这些工具支持跨会话工作流、后台任务委托和跨渠道消息传递——全部在降级写入执行下。
工具
sessions_list
列出当前会话可见的所有活跃会话。
不需要参数。结果按 taint 级别过滤——PUBLIC 会话不能看到 CONFIDENTIAL 会话元数据。
sessions_history
按 ID 获取会话的消息历史。
| 参数 | 类型 | 必需 | 描述 |
|---|---|---|---|
session_id | string | 是 | 要检索历史的会话 ID |
如果目标会话的 taint 高于调用者的 taint,访问被拒绝。
sessions_send
从当前会话向另一个会话发送内容。受降级写入执行约束。
| 参数 | 类型 | 必需 | 描述 |
|---|---|---|---|
session_id | string | 是 | 目标会话 ID |
content | string | 是 | 要发送的消息内容 |
sessions_spawn
为自主任务生成新的后台会话。
| 参数 | 类型 | 必需 | 描述 |
|---|---|---|---|
task | string | 是 | 后台会话应执行的任务描述 |
生成的会话以独立的 PUBLIC taint 和自己的隔离工作区开始。它自主运行并在完成时返回结果。
message
向渠道和接收者发送消息。通过策略 hook 受降级写入执行约束。
| 参数 | 类型 | 必需 | 描述 |
|---|---|---|---|
channel | string | 是 | 目标渠道(例如 telegram、slack) |
recipient | string | 是 | 渠道内的接收者标识符 |
text | string | 是 | 要发送的消息文本 |
simulate_tool_call
模拟工具调用以预览策略引擎的决策而不执行工具。返回 hook 评估结果(ALLOW、BLOCK 或 REDACT)和被评估的规则。
| 参数 | 类型 | 必需 | 描述 |
|---|---|---|---|
tool_name | string | 是 | 要模拟调用的工具 |
args | object | 否 | 在模拟中包含的参数 |
使用 simulate_tool_call 在执行前检查工具调用是否会被允许。这对于理解策略行为而无副作用很有用。 :::
安全
- 所有会话操作受 taint 门控:你不能看到、读取或发送到高于你 taint 级别的会话
sessions_send执行降级写入防护:数据不能流向更低分类- 生成的会话以
PUBLICtaint 开始,具有独立的 taint 跟踪 message工具在投递前通过PRE_OUTPUT策略 hook- 会话 ID 从运行时上下文注入,而非从 LLM 参数——智能体不能冒充另一个会话
安全 降级写入防护在所有跨会话通信上执行。被标记为 CONFIDENTIAL 的会话不能向 PUBLIC 会话或渠道发送数据。这是策略层执行的硬边界。 :::