@coclaw/openclaw-coclaw 0.22.4 → 0.24.0

package/index.js

@@ -18,6 +18,7 @@ import { abortAgentRun } from './src/agent-abort.js';
 import { decideCancelResponse } from './src/agent-cancel-heuristic.js';
 import { remoteLog } from './src/remote-log.js';
 import { registerProviderAuthHandlers } from './src/provider-auth/index.js';
+import { reconcilePortalModels } from './src/provider-auth/reconcile.js';
 import { registerModelDefaultHandlers } from './src/model-default/index.js';
 import { getClawConfig } from './src/claw-config.js';
 
@@ -203,7 +204,16 @@ const plugin = {
 			.catch((err) => {
 				logger.warn?.(`[coclaw] chat history manager load/reconcile failed: ${String(err?.message ?? err)}`);
 			});
-		__pluginInitDone = Promise.all([topicLoadP, chatHistoryLoadP]);
+		// 启动对账 minimax-portal 模型清单：已绑定且与内置表不一致才刷新（一致零写入，
+		// 防"写配置触发重启"时的反复重启）。升级补了新模型靠这条让老用户重启后自动同步。
+		// config-mutation 字面量 specifier 必须出现在本入口源码里（loader 只扫入口识别 jiti alias）。
+		const portalSyncP = import('openclaw/plugin-sdk/config-mutation')
+			.then(({ mutateConfigFile }) => reconcilePortalModels({ getConfig: getClawConfig, mutateConfigFile }))
+			.then((r) => { if (r.changed) logger.info?.('[coclaw] minimax-portal model list synced from plugin catalog'); })
+			.catch((err) => {
+				logger.warn?.(`[coclaw] minimax-portal model reconcile failed: ${String(err?.message ?? err)}`);
+			});
+		__pluginInitDone = Promise.all([topicLoadP, chatHistoryLoadP, portalSyncP]);
 
 		// 追踪 chat 因 reset 产生的 session 流水。双源回调（hook + sessions.changed）共用 helper。
 		// recordSessionTransition 内部已 __reloadFromDisk + mutex，外层无需再 cache.has + load。
@@ -790,13 +800,18 @@ const plugin = {
 			}
 		});
 
-		// provider 认证管理 RPC（API key 写入 / 列表 / 撤销）。SDK 走懒加载 dynamic import，
-		// 不增加本插件 cold-load 开销，也让测试环境无需 openclaw 包就能加载 index.js。
-		// loadSdk 字面量必须留在本入口源码里：OpenClaw plugin loader 只扫入口文件识别
+		// provider 认证管理 RPC（API key 写入 / 列表 / 撤销 + OAuth 登录/取消）。SDK 走懒加载
+		// dynamic import，不增加本插件 cold-load 开销，也让测试环境无需 openclaw 包就能加载 index.js。
+		// load* 字面量必须留在本入口源码里：OpenClaw plugin loader 只扫入口文件识别
 		// `openclaw/plugin-sdk/*` 字符串字面量、命中后才把整张依赖图过 jiti 改写到自家 dist；
-		// 字面量留在子模块里 loader 看不到 → 整张图走原生 Node 解析必败（plugin 部署目录不带 openclaw 包）
+		// 字面量留在子模块里 loader 看不到 → 整张图走原生 Node 解析必败（plugin 部署目录不带 openclaw 包）。
+		// config-mutation 供 OAuth 写 provider 节点 baseUrl（hot-reload，零打断）
 		registerProviderAuthHandlers(api, {
 			loadSdk: () => import('openclaw/plugin-sdk/provider-auth'),
+			loadConfigMutation: () => import('openclaw/plugin-sdk/config-mutation'),
+			// provider-catalog-runtime 供通用 device-code 扫码登录（B1）拿 resolvePluginProviders，
+			// 驱动 provider 自带的 device_code 登录方法（codex/copilot 及以后任意 device_code provider）
+			loadProviderCatalogRuntime: () => import('openclaw/plugin-sdk/provider-catalog-runtime'),
 		});
 
 		// 模型默认配置 RPC（coclaw.model.set / list）。三个 SDK 子入口的字面量

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@coclaw/openclaw-coclaw",
-  "version": "0.22.4",
+  "version": "0.24.0",
   "type": "module",
   "license": "Apache-2.0",
   "description": "OpenClaw plugin for remote chat over WebRTC. Run `openclaw coclaw enroll` after install.",

package/src/model-default/handlers.js

@@ -13,7 +13,7 @@
  * - catalog 校验用 `view: 'all'`：picker 可见性过滤会误判某些合法 provider 不存在（subagent 调研结论）
  */
 
-import { listAllPrimaries } from './resolve.js';
+import { listAllPrimariesWithCredentials } from './resolve.js';
 import { writePrimary } from './persist.js';
 
 const ALLOWED_KEYS = new Set(['agentId', 'primary']);
@@ -76,7 +76,10 @@ async function validateProviderCredAndCatalog({ provider, model, primary, cfg, s
  * @param {object} opts.sdk
  * @param {Function} opts.sdk.mutateConfigFile - openclaw/plugin-sdk/config-mutation
  * @param {Function} opts.sdk.buildModelsProviderData - openclaw/plugin-sdk/models-provider-runtime
- * @param {Function} opts.sdk.isProviderAuthProfileConfigured - openclaw/plugin-sdk/provider-auth
+ * @param {Function} opts.sdk.isProviderAuthProfileConfigured - openclaw/plugin-sdk/provider-auth（set 用）
+ * @param {Function} opts.sdk.isProviderApiKeyConfigured - openclaw/plugin-sdk/provider-auth（list 凭据信号用）
+ * @param {Function} opts.sdk.hasConfiguredSecretInput - openclaw/plugin-sdk/provider-auth（list 内联 key 判定）
+ * @param {Function} opts.sdk.ensureAuthProfileStore - openclaw/plugin-sdk/provider-auth（list 账本非空判定）
  * @param {Function} opts.loadConfig - 返回当前 cfg snapshot；缺失时返回 null
  * @param {Function} opts.resolveAgentDir - 返回 main agent /agent 子目录全路径
  * @returns {{ set: Function, list: Function }}
@@ -168,7 +171,16 @@ export function buildModelDefaultHandlers({ sdk, loadConfig, resolveAgentDir })
 				respondIoFailed(respond, new Error('runtime config not available'));
 				return;
 			}
-			respond(true, listAllPrimaries(cfg));
+			// 凭据信号（providerUsable / hasAnyUsableCredential）借三源判定：
+			// env+账本 走 isProviderApiKeyConfigured（别名归一化其内部完成），
+			// 内联 key 走 hasConfiguredSecretInput，账本非空走 ensureAuthProfileStore。
+			const deps = {
+				agentDir: resolveAgentDir(),
+				isProviderApiKeyConfigured: sdk.isProviderApiKeyConfigured,
+				hasConfiguredSecretInput: sdk.hasConfiguredSecretInput,
+				ensureAuthProfileStore: sdk.ensureAuthProfileStore,
+			};
+			respond(true, listAllPrimariesWithCredentials(cfg, deps));
 		}
 		catch (err) {
 			respondIoFailed(respond, err);

package/src/model-default/index.js

@@ -80,6 +80,10 @@ export function registerModelDefaultHandlers(api, opts = {}) {
 					mutateConfigFile: configMutation.mutateConfigFile,
 					buildModelsProviderData: modelsRuntime.buildModelsProviderData,
 					isProviderAuthProfileConfigured: providerAuth.isProviderAuthProfileConfigured,
+					// list 凭据信号用（provider-auth barrel 已加载，无需新增子入口字面量）
+					isProviderApiKeyConfigured: providerAuth.isProviderApiKeyConfigured,
+					hasConfiguredSecretInput: providerAuth.hasConfiguredSecretInput,
+					ensureAuthProfileStore: providerAuth.ensureAuthProfileStore,
 				};
 				return buildModelDefaultHandlers({ sdk, loadConfig, resolveAgentDir });
 			})();

package/src/model-default/resolve.js

@@ -86,3 +86,93 @@ export function listAllPrimaries(cfg) {
 	}
 	return out;
 }
+
+/**
+ * 取 primary 的 provider 段（'<provider>/<model>' 中第一个 '/' 之前）。
+ * 不含 '/' 或 '/' 在开头（provider 段为空）时返回 null。
+ * 不做别名归一化——交给下游 isProviderApiKeyConfigured 内部完成。
+ * @param {string|null} primary
+ * @returns {string|null}
+ */
+export function providerSegmentOf(primary) {
+	if (typeof primary !== 'string') return null;
+	const slashIdx = primary.indexOf('/');
+	if (slashIdx <= 0) return null;
+	return primary.slice(0, slashIdx);
+}
+
+/**
+ * 某 provider 是否配了内联 key（cfg.models.providers[provider].apiKey）。
+ * 仅是"配置信号"（hasConfiguredSecretInput 不验证 env 引用能否真解析，
+ * 见心智模型典型陷阱 #20），方向偏向少误报。
+ */
+function hasInlineKey(cfg, provider, hasConfiguredSecretInput) {
+	const entry = cfg?.models?.providers?.[provider];
+	return entry ? hasConfiguredSecretInput(entry.apiKey) : false;
+}
+
+/**
+ * 该 primary 那家 provider 有没有可用凭据。
+ * 判定 = isProviderApiKeyConfigured（覆盖环境变量 + 自管账本，别名归一化其内部完成）
+ *        或 该 provider 配了内联 key。
+ * primary 解析不出 provider 段（含 null）时恒 false（UI 此时走 noPrimary，不看它）。
+ * @param {string|null} primary
+ * @param {object} cfg
+ * @param {object} deps - { agentDir, isProviderApiKeyConfigured, hasConfiguredSecretInput }
+ * @returns {boolean}
+ */
+export function computeProviderUsable(primary, cfg, deps) {
+	const provider = providerSegmentOf(primary);
+	if (!provider) return false;
+	if (deps.isProviderApiKeyConfigured({ provider, agentDir: deps.agentDir })) return true;
+	return hasInlineKey(cfg, provider, deps.hasConfiguredSecretInput);
+}
+
+/**
+ * 这台 claw 有没有任何可用凭据：自管账本非空 或 任一 provider 节点有内联 key。
+ * 驱动 UI 的 noKey 引导。
+ * @param {object} cfg
+ * @param {object} deps - { agentDir, ensureAuthProfileStore, hasConfiguredSecretInput }
+ * @returns {boolean}
+ */
+export function computeHasAnyUsableCredential(cfg, deps) {
+	const store = deps.ensureAuthProfileStore(deps.agentDir, { allowKeychainPrompt: false });
+	if (store && store.profiles && Object.keys(store.profiles).length > 0) return true;
+	const providers = cfg?.models?.providers;
+	if (providers && typeof providers === 'object') {
+		for (const entry of Object.values(providers)) {
+			if (entry && deps.hasConfiguredSecretInput(entry.apiKey)) return true;
+		}
+	}
+	return false;
+}
+
+/**
+ * 装配带凭据信号的 list 出参（docs/model-config-api.md § 3.4「凭据信号」）。
+ * 在 listAllPrimaries 基础上给每个 scope 加 providerUsable，并加顶层 hasAnyUsableCredential。
+ * @param {object} cfg
+ * @param {object} deps - { agentDir, isProviderApiKeyConfigured, hasConfiguredSecretInput, ensureAuthProfileStore }
+ * @returns {{
+ *   default: { primary: string|null, providerUsable: boolean },
+ *   agents: Record<string, { primary: string|null, providerUsable: boolean }>,
+ *   hasAnyUsableCredential: boolean,
+ * }}
+ */
+export function listAllPrimariesWithCredentials(cfg, deps) {
+	const base = listAllPrimaries(cfg);
+	const out = {
+		default: {
+			primary: base.default.primary,
+			providerUsable: computeProviderUsable(base.default.primary, cfg, deps),
+		},
+		agents: {},
+		hasAnyUsableCredential: computeHasAnyUsableCredential(cfg, deps),
+	};
+	for (const [id, v] of Object.entries(base.agents)) {
+		out.agents[id] = {
+			primary: v.primary,
+			providerUsable: computeProviderUsable(v.primary, cfg, deps),
+		};
+	}
+	return out;
+}

package/src/provider-auth/device-code-login.js

@@ -0,0 +1,123 @@
+/**
+ * device-code-login.js —— 通用「设备码扫码登录」驱动的可复用零件（B1：驱动上游 run）
+ *
+ * 不复刻任何一家的登录流程，而是经 plugin-sdk 的 resolvePluginProviders 拿到 provider 自己的
+ * device_code 登录方法，用一个「捕获型 prompter」的 ctx 去驱动它的 run(ctx)，跟随上游同步。
+ * 适用于**任何**暴露了 kind==='device_code' auth 方法的 provider（codex / copilot / 以后新增的），
+ * 不针对某一家硬编码。minimax-portal 例外（走自家 B2 复刻流，见 handlers.js 路由 + minimax-oauth.js）。
+ *
+ * 本模块只放**纯函数 + ctx 工厂**（无 I/O、无 respond / 落盘），编排与两阶段响应在 handlers.js。
+ *
+ * 关键事实（核实自 openclaw-repo，详见 docs/model-config-api.md § 6.16）：
+ * - device_code 方法的 run(ctx) 是「纯输出 + 后台轮询、零用户实时输入」：先 prompter.note 亮出
+ *   「URL + 码」，再内部轮询，拿到 token 才 resolve。故套得进 CoClaw 现有两阶段 RPC，无需多轮 prompt 管道。
+ * - codex / copilot 的验证 note 用同一套模板（`URL: <url>` 行 + `Code: <code>` 行），一条正则通吃。
+ *   抠不到也不报错——把 note 全文作为 rawText 交前端兜底（用户明确要求）。
+ * - codex 失败时会再发一条含 docs URL 的「帮助 note」；copilot 首条 note 是无 URL 的前导语。
+ *   故「是否验证 note」判定 = 含 URL 且非帮助/FAQ 文案，不能只看「第一条 note」。
+ * - copilot 已登录会先 confirm「是否重登」→ 捕获型 prompter 答 true（强制走一遍登录拿码）。
+ * - 输出型 prompter：text / select / multiselect / oauth.createVpsAwareHandlers 一旦被调即抛错
+ *   （= 该方法需要交互/回环、本通道不支持），错误经 run reject 暴露。
+ */
+
+// note 里的 URL：取到空白 / 右括号为止
+const URL_RE = /https?:\/\/[^\s)]+/;
+// 帮助 / FAQ 类 note 也含 URL，但不是验证信息，必须排除
+const HELP_NOTE_RE = /faq|help|trouble|docs\.openclaw/i;
+// 设备码样式短码兜底（如 ABCD-1234），仅在没有 `Code:` 行时用
+const DEVICE_CODE_RE = /\b[A-Z0-9]{4,}-[A-Z0-9]{4,}\b/;
+
+/**
+ * 判断一条 note 文本是否「验证信息 note」（亮 URL+码 的那条）。
+ * @param {string} text
+ * @returns {boolean}
+ */
+export function isVerificationNote(text) {
+	const t = String(text ?? '');
+	if (!URL_RE.test(t)) return false;
+	if (HELP_NOTE_RE.test(t)) return false;
+	return true;
+}
+
+/**
+ * 从验证 note 文本里尽力抠出结构化字段；抠不到的返回 null（绝不抛错）。
+ *
+ * URL：优先 `URL:` 行，回退首个 http(s) 链接。
+ * Code：优先 `Code:` 行，回退设备码样式短码。
+ *
+ * @param {string} text
+ * @returns {{ verificationUri: string|null, userCode: string|null }}
+ */
+export function extractVerification(text) {
+	const t = String(text ?? '');
+	let verificationUri = null;
+	const urlLine = t.match(/^[ \t]*URL:[ \t]*(\S+)/im);
+	if (urlLine) verificationUri = urlLine[1];
+	else {
+		const m = t.match(URL_RE);
+		if (m) verificationUri = m[0];
+	}
+	let userCode = null;
+	const codeLine = t.match(/^[ \t]*Code:[ \t]*(\S+)/im);
+	if (codeLine) userCode = codeLine[1];
+	else {
+		const m = t.match(DEVICE_CODE_RE);
+		if (m) userCode = m[0];
+	}
+	return { verificationUri, userCode };
+}
+
+/**
+ * 在 resolvePluginProviders 结果里找指定 provider 的 device_code 登录方法。
+ * @param {Array<{id:string, auth?:Array<{kind:string, run?:Function}>}>} providers
+ * @param {string} providerId
+ * @returns {{ id:string, run:Function }|null}
+ */
+export function findDeviceCodeMethod(providers, providerId) {
+	const provider = (providers ?? []).find((p) => p?.id === providerId);
+	if (!provider) return null;
+	const method = (provider.auth ?? []).find(
+		(m) => m?.kind === 'device_code' && typeof m.run === 'function',
+	);
+	return method ?? null;
+}
+
+/**
+ * 造一个「捕获型」ProviderAuthContext 去驱动 run。
+ *
+ * note 转发给 onNote（验证信息从这里来）；progress 空操作；confirm 答 true（copilot 重登放行）；
+ * 真交互（text / select / multiselect / 回环 handler）一旦被调即抛，标记为「需交互、不支持」。
+ * isRemote=true（codex 据此跳过本地 openUrl）；openUrl 空操作（copilot 会无条件调，安全吞掉）。
+ *
+ * @param {object} args
+ * @param {object} args.config - OpenClaw 运行时配置快照
+ * @param {string} [args.agentDir] - 凭据目录（copilot 据此探测已有登录）
+ * @param {(text:string, title?:string)=>void} args.onNote - 每条 note 的回调
+ * @returns {object} ProviderAuthContext 形状
+ */
+export function makeDeviceCodeCtx({ config, agentDir, onNote }) {
+	return {
+		config: config ?? {},
+		env: process.env,
+		agentDir,
+		prompter: {
+			intro: async () => {},
+			outro: async () => {},
+			plain: async () => {},
+			note: async (message, title) => { onNote(String(message ?? ''), title); },
+			progress: () => ({ update() {}, stop() {} }),
+			confirm: async () => true,
+			text: async () => { throw new Error('device-code login requires no text input'); },
+			select: async () => { throw new Error('device-code login requires no selection'); },
+			multiselect: async () => { throw new Error('device-code login requires no multiselect'); },
+		},
+		runtime: { log: () => {}, error: () => {}, exit: () => {} },
+		isRemote: true,
+		openUrl: async () => {},
+		oauth: {
+			createVpsAwareHandlers: () => {
+				throw new Error('device-code login does not support loopback handlers');
+			},
+		},
+	};
+}