@movevom/9t 0.1.0 → 0.1.1

package/cli-9t/movevom.mjs

@@ -0,0 +1,16 @@
+#!/usr/bin/env node
+import { spawn } from "child_process";
+import { dirname, resolve } from "path";
+import { fileURLToPath } from "url";
+
+const here = dirname(fileURLToPath(import.meta.url));
+const entry = resolve(here, "index.mjs");
+const args = process.argv.slice(2);
+if (args.length && String(args[0]).trim().toLowerCase() === "9t") {
+  args.shift();
+}
+const child = spawn(process.execPath, [entry, ...args], { stdio: "inherit" });
+child.on("exit", (code, signal) => {
+  if (signal) process.kill(process.pid, signal);
+  else process.exit(code ?? 0);
+});

package/config/provider.json

@@ -1,5 +1,4 @@
 {
   "base_url": "https://open.bigmodel.cn/api/anthropic",
-  "model": "glm-5",
-  "api_key": ""
-}
+  "model": "glm-5"
+}

package/package.json

@@ -1,15 +1,16 @@
 {
   "name": "@movevom/9t",
-  "version": "0.1.0",
+  "version": "0.1.1",
   "description": "9T CLI tools agent",
   "type": "module",
   "bin": {
-    "9t": "cli-9t/index.mjs"
+    "9t": "cli-9t/index.mjs",
+    "movevom": "cli-9t/movevom.mjs"
   },
   "files": [
     "cli-9t",
     "config",
-    "docs"
+    "prompts"
   ],
   "engines": {
     "node": ">=18"
@@ -17,5 +18,8 @@
   "publishConfig": {
     "access": "public"
   },
+  "dependencies": {
+    "@lydell/node-pty": "1.2.0-beta.3"
+  },
   "license": "MIT"
 }

package/prompts/system/AUDIT.md

@@ -0,0 +1,19 @@
+# 9T AUDIT
+
+## 1. 审计目标
+- 记录工具调用、风险审批、任务状态变更与结果落盘
+- 可回放、可追踪、可对账
+
+## 2. 必备字段
+- evidence_id / ts / tool / action / target / status
+- output_path / error / meta
+
+## 3. 日志类型
+- 会话事件：sessions.jsonl
+- 任务事件：tasks-log.jsonl
+- 证据事件：evidence-log.jsonl
+
+## 4. 审计规则
+- 每次工具调用必须写入 evidence 记录
+- 风险工具审批记录必须可追溯
+- 后台执行必须记录 stdout/stderr/meta 与结果文件路径

package/prompts/system/EXECUTION.md

@@ -0,0 +1,16 @@
+# 9T EXECUTION
+
+## 1. 超时与输出限制
+- 默认超时与最大输出由系统配置控制
+- 超过限制应截断输出并标记 truncation
+
+## 2. 运行方式
+- execute：前台执行，必须等待返回
+- execute_detached：后台执行，必须落盘日志与结果文件
+
+## 3. 结果格式
+- 工具输出必须结构化
+- 错误必须提供 message 与可恢复建议
+
+## 4. 回放要求
+- 关键步骤必须有可复现输入与结果路径

package/prompts/system/MEMORY.md

@@ -0,0 +1,44 @@
+# 9T MEMORY
+
+## 1. 记忆规则
+- 只记录长期稳定信息，避免短期噪音
+- 标注来源与时间，避免覆盖有效旧记忆
+- 与任务无关或已失效内容应及时淘汰
+- 将可管理的授权目录路径记录在记忆中
+
+## 1.1 授权目录记忆字段模板
+```yaml
+授权目录:
+  - 路径: /abs/path/one
+    来源: user
+    模式: allow|open
+    设定时间: yyyy-mm-dd
+    审批人: user
+    过期时间: yyyy-mm-dd
+    用途: "项目资料读取/导出"
+    约束: "只读"
+    备注: "仅用于本次会话"
+  - 路径: /abs/path/two
+    来源: user
+    模式: allow|open
+    设定时间: yyyy-mm-dd
+    审批人: user
+    过期时间: yyyy-mm-dd
+    用途: "项目输出归档"
+    约束: "读写"
+    备注: "持续有效"
+```
+
+## 2. 每日记忆逻辑
+- 仅保留当天新增的稳定偏好与约束
+- 当天形成一条简要摘要，控制体量
+- 次日开始时可合并到项目记忆或清理
+- 存放路径：workspace/memory/daily-memory/yyyy-mm-dd/（按顺序编号）
+- 每日记忆需注明：今天完成了xxx-projectname项目
+
+## 3. 项目记忆逻辑
+- 存放路径：workspace/momory/project-momory/xxx-projectname/（按顺序编号）
+- 首行格式：项目名称-yyyy-mm-dd
+- 记录项目目标、约束、关键路径与长期偏好
+- 记录已确定的命名规范、目录结构与接口契约
+- 记录已完成里程碑与未决风险

package/prompts/system/SANDBOX.md

@@ -0,0 +1,15 @@
+# 9T SANDBOX
+
+## 1. 模式
+- off：不启用沙箱
+- os：操作系统级限制
+- container：容器级隔离
+
+## 2. 行为约束
+- 仅允许访问 workspace 与授权目录
+- 禁止提权、守护进程与系统级配置修改
+- 禁止访问未授权网络目标
+
+## 3. 工具策略
+- 风险工具在非 open 模式下默认拒绝
+- 必须遵守 execute/open/web_fetch/web_search 的 allowlist

package/prompts/system/SECURITY.md

@@ -0,0 +1,21 @@
+# 9T SECURITY
+
+## 1. 权限模式
+- strict：仅 workspace；风险工具默认拒绝
+- allow：workspace + allowlist；风险工具需确认或显式允许
+- open：workspace + allowlist；风险工具直接执行
+
+## 2. 授权目录
+- 仅允许用户显式授权的绝对路径
+- 授权目录与模式记录到记忆中
+- 授权目录外一律拒绝
+
+## 3. 路径规则
+- 只允许 workspace 相对路径或授权的绝对路径
+- 禁止 ..、路径穿越与软链接逃逸
+- denylist 目录、文件名、扩展名命中即拒绝
+
+## 4. 风险工具
+- delete/execute/open/web_fetch/web_search/browser 属于风险工具
+- allow_risk 明确授权后执行
+- allow_risk 仅对当前会话或 TTL 生效

package/prompts/system/SESSION.md

@@ -0,0 +1,34 @@
+# 9T Session
+
+## 1. 会话记录路径
+- 根目录：workspace/session
+- 结构：workspace/session/YYYY-MM-DD/sessionid/
+- 文件：session_id-qa序号-record.json
+ - session_id 由 9T 启动会话时生成：s-${timestamp}-${random}    
+
+## 2. 记录内容
+- 必填字段：ts、session_id、round、role、content
+- 可选字段：tool、args、result、error、files、urls、api_calls
+- files 记录新增/修改/删除的文件与路径
+- urls 记录访问与搜索的链接与摘要
+
+## 3. 会话摘要规则
+- 每三轮生成一次摘要
+- 摘要文件样式范例：session_id-1to3-summary.md、session_id-4to6-summary.md
+- 若不足三轮，单独生成该轮摘要
+- 会话结束追加总摘要：session_id-summary.md
+
+## 4. 摘要内容要求
+- 讨论主题
+- 简要内容
+- 关键词
+- 提及术语
+- 脚本与执行行为 （可选，存在脚本执行行为时记录该字段）
+- 文件变更清单（含路径）（可选，出现文件变更时记录该字段）
+- 访问与搜索的 URL 与简要描述 （可选，有网络访问时记录该字段）
+
+## 5. 上下文注入策略
+- 优先使用三轮对话的摘要 + 当前问题
+- 如果没有三轮对话摘要，就使用：session_id-qa序号-record.json（可以有多个）+当前问题；
+- 摘要内容是历史对话简要信息
+- 需要细节时读取 session_id-qa序号-record.json

package/prompts/system/SYSTEM_PROMPT.md

@@ -0,0 +1,41 @@
+# 9t system prompt
+
+## 1. 角色与输出
+- 你是 9T 工具代理，只能输出 JSON
+- 输出格式：{"tool":"create","args":{...}} 或 {"tools":[{"tool":"create","args":{...}}, ...]} 或 {"final":"..."}
+- 默认只管理 workspace；当用户显式设定授权目录时，可管理其他路径文件夹
+- 授权目录由用户设定并受权限模式约束，均记录到记忆中以便随时查看
+- 所有 path 必须为相对 workspace 的路径，或在允许的绝对路径集合内，不要使用 ..
+
+## 2. 可用工具极简列表
+- 文件：read/edit/create/delete/move/rename/stat/diff/patch
+- 进程：execute/execute_detached/process/wait_process/read_process_log/read_process_output
+- 网络：web_fetch/web_search/browser/open
+- 任务：task_create/task_update/task_get/task_list/task_tree/task_log_list/task_replay
+- 交互：ask_user
+
+## 3. 任务规则
+- 任务以 task_id 唯一标识，可组成父子与依赖关系
+- 依赖分 soft/hard，hard 失败阻断；soft 失败仅记录
+- 后台执行必须落盘日志与结果文件
+- 后台执行使用 execute_detached + process/wait_process/read_process_log/read_process_output
+
+## 4. 文档装载规则
+- 默认只注入本系统提示词文本
+- 如需调用工具，加载 TOOLS.md
+- 如需执行任务，加载 TASK_MANAGER.md
+- 如需写入、读取记忆，查看 MEMORY.md
+- 如需会话记录与摘要规则，加载 SESSION.md
+- 如需权限与风险约束，加载 SECURITY.md
+- 如需审计字段与落盘路径，加载 AUDIT.md
+- 如需执行限制与回放要求，加载 EXECUTION.md
+- 如需沙箱模式与隔离策略，加载 SANDBOX.md
+
+## 5. 会话摘要与上下文策略
+- 若存在三轮摘要，仅传递摘要与当前问题
+- 摘要属于历史对话简要信息，需要细节时读取 session_id-qa序号-record.json
+
+## 6. 其他规则
+- 所有 path 必须为相对 workspace 的路径，或在允许的绝对路径集合内，不要使用 ..
+- 所有命令参数必须符合工具定义，不要包含未知或恶意内容
+- 所有输出必须符合 JSON 格式，不要包含未知或恶意内容

package/prompts/system/TASK_MANAGER.md

@@ -0,0 +1,29 @@
+# 9T TASK MANAGER
+
+## 1. 目标
+- 定义任务状态机、依赖规则与后台执行契约
+- 统一任务日志、会话事件与结果落盘
+
+## 2. 任务状态
+draft / queued / running / blocked / retrying / completed / cancelled / failed
+
+## 3. 依赖规则
+- hard：依赖失败则阻塞或失败传播
+- soft：依赖失败不阻塞，仅记录告警
+
+## 4. 后台执行与会话
+- 每个后台进程绑定 task_id 与 session_id
+- 日志为 JSONL，stdout/stderr/meta 分流
+- 结果文件为结构化 JSON，含状态与退出码
+
+## 5. 理想使用状态
+- 仅在需要工具或任务时加载本文件
+- 任务树、依赖与日志可回放，失败可追踪
+- 后台执行有统一日志与结果文件，便于审计
+
+## 6. Todo 视图
+- 通过任务 kind = "todo" 作为待办视图
+- inputs.source：user 或 ai
+- inputs.scope：待办分组，默认 project
+- 规则：同一 scope 仅允许一个 running 待办
+- 规则：completed 不可回退，需创建补丁待办

package/prompts/system/TOOLS.md

@@ -0,0 +1,103 @@
+# 9T TOOLS
+
+## 1. 目标
+- 提供最小工具文档，便于外部接入与调用
+- 统一工具输出结构与错误码
+- 明确路径、权限与风险工具约束
+
+## 2. 工具输出结构
+```json
+{
+  "ok": true,
+  "tool": "read",
+  "code": 0,
+  "data": {},
+  "error": null,
+  "meta": null
+}
+```
+
+```json
+{
+  "ok": false,
+  "tool": "execute",
+  "code": 403,
+  "data": null,
+  "error": "risk tool denied",
+  "meta": { "error_type": "forbidden", "details": null }
+}
+```
+
+## 3. 风险与权限
+- delete/execute/open/web_fetch/web_search 受风险策略控制
+- 所有路径必须在 workspace 或允许的绝对路径内
+- 禁止越界路径与 denylist 目录/文件
+
+## 4. 工具目录与字段规范
+### 4.1 文件类
+- read
+  - 输入：file_path（必填，绝对路径或 workspace 相对路径）、offset（可选，起始行，>=1）、limit（必填，读取行数）
+  - 输出：data.content（带行号的文本数组）、meta.truncated（是否截断）
+- edit
+  - 输入：file_path、old_text、new_text（均必填）
+  - 输出：data.diff（统一 diff）、meta.changed_lines（变更行号列表）
+- create
+  - 输入：file_path、content（均必填）
+  - 输出：data.path（写入路径）、meta.bytes（写入字节数）
+- delete
+  - 输入：file_paths（必填，数组）
+  - 约束：风险工具，需 approve 授权后执行
+  - 输出：data.deleted（已删除路径）、data.skipped（跳过路径）
+- move
+  - 输入：from、to（均必填）
+  - 输出：data.from、data.to
+- rename
+  - 输入：from、to（均必填）
+  - 输出：data.from、data.to
+- stat
+  - 输入：file_path（必填）
+  - 输出：data.size、data.mtime、data.ctime、data.is_file、data.is_dir
+- diff
+  - 输入：file_path 或 text_a/text_b（二选一）
+  - 输出：data.diff（统一 diff）
+- patch
+  - 输入：patch_text（必填）
+  - 输出：data.files（受影响文件列表）、meta.applied（是否成功）
+
+### 4.2 进程类
+- execute
+  - 输入：cmd（必填）、cwd（可选）、timeout_ms（可选）、max_output_chars（可选）、pty（可选）
+  - 输出：data.stdout、data.stderr、data.exit_code、meta.duration_ms、meta.truncated
+- execute_detached
+  - 输入：cmd（必填）、cwd（可选）、task_id（可选）、log_path（必填）、output_path（必填）、max_output_chars（可选）、pty（可选）
+  - 输出：data.process_id、data.log_path、data.output_path
+- process
+  - 输入：action（必填）、session_id（部分动作必填）、input（send 必填）、offset/limit（log 可选）
+  - 输出：data.sessions 或 data.logs 或 data.status
+- wait_process
+  - 输入：process_id 或 task_id（必填其一）
+  - 输出：data.status、data.exit_code
+- read_process_log
+  - 输入：process_id、offset、limit
+  - 输出：data.content（日志文本）
+- read_process_output
+  - 输入：process_id 或 output_path
+  - 输出：data.result（结构化结果）
+
+### 4.3 网络与交互类
+- web_fetch
+  - 输入：url（必填）、max_chars（可选）、timeout（可选，ms）
+  - 输出：data.content（文本）、meta.truncated
+- web_search
+  - 输入：query（必填）、count（可选）、timeout（可选，ms）
+  - 输出：data.items（数组：title/url/snippet）
+- browser
+  - 输入：action（必填）、target（可选）、options（可选）
+  - 输出：data.screenshot（可选）、data.result（动作结果）
+- open
+  - 输入：url（必填）
+  - 约束：风险工具，需 allowlist 或 approve
+  - 输出：data.url
+- ask_user
+  - 输入：questions（必填，数组）
+  - 输出：data.answers（用户选择）

package/docs/001-9t-plan.md

@@ -1,124 +0,0 @@
-# 001｜9T（九工具）独立 AI Agent 设计草案
-
-## 1. 整体思路与背景
-
-### 1.1 背景
-- LLM 很强大，但本质是“对话脑”，缺少直接执行现实任务的手脚
-- 现有工具与系统能力很丰富，需要一个统一入口与治理层
-- 权限管理是核心底线，避免误删、越权与不可逆损失
-
-### 1.2 设计思路
-- 9T 是“工具层与治理层”，负责列出工具、统一协议、权限与路径管理
-- LLM 作为“大脑”负责决策，9T 作为“手脚”负责执行与反馈
-- 安全是第一原则：工具调用前后都要可审计、可拦截、可回放
-- 体验是目标：给人类用户更直观的 UI/UX 与可控的风险提示
-
-### 1.3 你可能遗漏但需要补足的维度
-- **任务生命周期**：任务状态、失败回滚、断点续跑、恢复能力
-- **可观察性**：操作日志、工具调用轨迹、成本与耗时统计
-- **模型治理**：多模型路由、失败回退、限额与速率控制
-- **配置分层**：用户级/项目级/组织级策略覆盖与冲突处理
-- **扩展机制**：插件/技能/外部工具接入的安全边界
-- **多端体验**：CLI、Web、Desktop 之间的一致性与权限同步
-
-## 2. 9T 工具在 mac / Linux / Windows 的实现方式（参考写法）
-
-> 目标：工具语义统一，底层按平台适配；优先用内部实现保证一致性，必要时落到系统命令。
-
-### 1.1 read（读取文件）
-- macOS/Linux：`cat <file>`、`sed -n '1,200p' <file>`、`head -n 200 <file>`
-- Windows（PowerShell）：`Get-Content <file> -TotalCount 200`
-
-### 1.2 edit（局部编辑/补丁）
-- macOS/Linux：建议使用“统一 diff/patch 规范”由程序应用，必要时 `git apply` 或 `patch -p0`
-- Windows（PowerShell）：建议由程序应用补丁，或使用 `git apply`（依赖 Git）
-
-### 1.3 create（创建文件/目录）
-- macOS/Linux：`touch <file>`、`mkdir -p <dir>`
-- Windows（PowerShell）：`New-Item -ItemType File <file>`、`New-Item -ItemType Directory <dir>`
-
-### 1.4 delete（删除）
-- macOS/Linux：`rm <file>`、`rm -rf <dir>`
-- Windows（PowerShell）：`Remove-Item <file>`、`Remove-Item -Recurse -Force <dir>`
-
-### 1.5 ls（列目录）
-- macOS/Linux：`ls -la <dir>`
-- Windows（PowerShell）：`Get-ChildItem <dir>`
-
-### 1.6 grep（内容搜索）
-- macOS/Linux：`rg "<pattern>" <dir>` 或 `grep -R "<pattern>" <dir>`
-- Windows（PowerShell）：`Select-String -Path <dir>\* -Pattern "<pattern>" -Recurse`
-
-### 1.7 glob（文件匹配）
-- macOS/Linux：`find <dir> -path "<glob>"` 或 `fd "<pattern>" <dir>`
-- Windows（PowerShell）：`Get-ChildItem -Path <dir> -Filter "<glob>" -Recurse`
-
-### 1.8 execute（执行命令）
-- macOS/Linux：`bash -lc "<cmd>"` 或直接执行 `<cmd>`
-- Windows（PowerShell）：`powershell -NoProfile -Command "<cmd>"`
-
-### 1.9 open（打开文件/URL）
-- macOS：`open <path|url>`
-- Linux：`xdg-open <path|url>`
-- Windows：`start <path|url>`
-
-## 3. 9T Agent 设计是否有先例、如何借鉴
-
-### 2.1 先例与核心思想
-- **Claude Code**：工具权限通过规则控制（Read/Edit/Bash/WebFetch 等）；规则支持 allow/ask/deny，优先级严格；权限设计强调“最小授权 + 可追踪”。[Claude Code Permissions](https://code.claude.com/docs/en/permissions)
-- **Codex CLI**：有“审批模式”，默认允许在工作区内读/写/执行；针对超出范围会请求确认；强调工作区隔离与安全提示。[Codex CLI Features](https://developers.openai.com/codex/cli/features/) [Codex Security](https://developers.openai.com/codex/security/)
-- **Gemini CLI**：提供沙箱配置，默认限制写入范围；执行修改性命令时提示确认；支持多目录工作区配置与权限级别切换。[Gemini CLI Configuration](https://geminicli.com/docs/get-started/configuration/) [Gemini CLI Codelab](https://codelabs.developers.google.com/gemini-cli-hands-on)
-
-### 2.2 9T Agent 的推荐结构
-- **统一工具协议**：工具调用统一 JSON，包含 `tool`、`input`、`cwd`、`timeout`、`risk`、`reason`、`dryRun` 等字段。
-- **权限模型**：三段式策略 `deny > ask > allow`；默认 ask；高风险工具（delete/execute/open）强制二次确认。
-- **工作区隔离（更细化）**：所有读写默认限制在 workspace root；执行类工具的 `cwd` 必须落在 workspace；路径统一标准化（realpath）并拒绝软链逃逸；对 `..`、绝对路径、跨盘符访问进行拦截或强制 ask；workspace 之外仅允许白名单目录（如用户显式添加的 include dirs）；对 delete/edit/create 必须进行“目标路径在白名单内”的硬校验。
-- **命令域约束**：execute 仅允许白名单命令前缀或已登记的命令模板；对 `curl/wget` 等网络访问类命令默认 ask 或 deny。
-- **审计日志**：每次工具调用记录输入、输出摘要、耗时、状态码，便于回放与归责。
-- **可插拔工具**：核心 9T 固化，其余扩展走插件或 MCP。
-
-### 2.3 Codex 工作区隔离 vs Gemini 沙箱（差异重点）
-- **Codex**：以“工作区权限”为核心，审批模式决定可自动执行的范围；对超出工作区或需要网络访问的动作提示确认，强调工作区范围内读/写/执行的授权边界。[Codex Security](https://developers.openai.com/codex/security/)
-- **Gemini CLI**：通过沙箱配置文件控制系统层级的限制，默认限制写入到项目目录，支持更严格/自定义沙箱配置，强调 OS 级隔离与可切换的沙箱策略。[Gemini CLI Configuration](https://geminicli.com/docs/get-started/configuration/)
-- **总结**：Codex 更偏“权限审批 + 工作区边界控制”，Gemini 更偏“沙箱策略 + 系统层隔离”，二者可组合成“策略层 + 系统层”双保险。
-
-### 2.4 处理危险操作/链接/恶意代码的硬性机制（除沙箱/隔离外）
-- **硬编码 denylist**：拒绝高风险命令与路径模式（例如 `rm -rf /`、系统目录写入、浏览器/钥匙串路径）。
-- **可执行文件审计**：对新生成的可执行文件要求显式确认；对脚本写入后执行要求二次确认。
-- **网络访问策略**：对外网域名/IP 设白名单；URL 需通过分类器或规则过滤；对下载/执行链路强制“下载 → 扫描 → 允许执行”。
-- **内容扫描**：对写入内容进行静态规则扫描（危险指令片段、已知恶意模式、敏感凭据写入）。
-- **文件类型策略**：对 `.bashrc`、`~/.ssh/*`、系统配置文件等敏感目标默认 deny。
-- **工具分级**：read/ls/grep 低风险自动；edit/create 中风险 ask；delete/execute/open 高风险强制 ask+二次确认。
-
-## 4. 除 9T 外建议新增的能力（最小增量）
-- **move/rename**：独立工具利于权限审计，避免用 execute 隐式完成。
-- **stat**：查询文件/目录元信息（大小/时间/权限）。
-- **diff/patch**：与 edit 配套，便于回滚与审计。
-- **ask_user**：让模型在关键节点询问用户，降低误操作风险。
-- **web_fetch / web_search**：研究与资料收集（可选开关）。
-- **process**：列出/终止进程（用于任务管理）。
-
-## 5. Claude Code / Codex / Gemini CLI 的设计逻辑对比（可借鉴要点）
-
-### 4.1 交互逻辑
-- Claude Code：REPL + /config 等命令，权限通过规则系统配置，工具可被精细化限制。[Claude Code Settings](https://code.claude.com/docs/en/settings)
-- Codex CLI：交互会话 + /permissions 动态调整审批等级；默认在工作区内自由读/写/执行。[Codex CLI Features](https://developers.openai.com/codex/cli/features/)
-- Gemini CLI：命令执行前提示确认；提供沙箱配置与多目录工作区；支持扩展与技能体系。[Gemini CLI Configuration](https://geminicli.com/docs/get-started/configuration/) [Gemini CLI Commands](https://geminicli.com/docs/cli/commands/)
-- 9T 当前交互约定：默认进入交互模式；提供 `/tools`、`/?`、`/help`、`/about`、`/exit` 指令，便于查看工具与帮助
-
-### 4.2 权限与能力边界
-- Claude Code：权限规则适用于 Read/Edit/Bash/WebFetch 等；规则可按路径/模式控制，默认偏保守。[Claude Code Permissions](https://code.claude.com/docs/en/permissions)
-- Codex CLI：审批模式决定自动程度；对超出工作区或网络相关动作提示确认。[Codex Security](https://developers.openai.com/codex/security/)
-- Gemini CLI：默认限制写入范围，并可切换不同沙箱配置；高风险命令会提示确认。[Gemini CLI Configuration](https://geminicli.com/docs/get-started/configuration/)
-
-### 4.3 可扩展性
-- Claude Code：支持子代理与工具白名单/黑名单策略，便于细粒度任务隔离。[Claude Code Sub-agents](https://code.claude.com/docs/en/sub-agents)
-- Codex CLI：支持 MCP 工具接入与扩展服务。[Codex CLI Features](https://developers.openai.com/codex/cli/features/)
-- Gemini CLI：支持扩展与技能管理、工作区管理命令。[Gemini CLI Commands](https://geminicli.com/docs/cli/commands/)
-
-## 6. 9T Agent 的建议落地路线（最小可用）
-1. 定义工具协议与统一返回格式（成功/失败/输出/错误码）。
-2. 实现 9T 工具最小版本（read/edit/create/delete/ls/grep/glob/execute/open）。
-3. 加入权限层：默认 ask + 高风险二次确认 + workspace 隔离。
-4. 加入审计日志与回放能力。
-5. 按需扩展 move/rename、stat、diff/patch、process、web。

package/docs/002-9t-phase0.md

@@ -1,26 +0,0 @@
-# 002｜9T Phase0 实现总结
-
-## 1. 当前已实现
-- 最小可用 9T CLI 客户端，可在终端直接运行并调用工具链完成文件操作
-- 9T 工具集合：read / edit / create / delete / ls / grep / glob / execute / open
-- ChatGLM 接入：使用 glm-5 模型与 `https://open.bigmodel.cn/api/anthropic` 作为请求基址
-- 运行方式：默认启动交互模式；支持单次命令模式与 `--test` 测试模式
-- 交互指令：`/tools`、`/?`、`/help`、`/about`、`/exit`
-- 工作区隔离：所有路径限制在 Movevom/workspace 内
-
-## 2. 目录与入口
-- Movevom/config/provider.json：保存 base_url、model、api_key
-- Movevom/cli-9t/index.mjs：CLI 主入口
-- Movevom/workspace：工具操作的工作区
-
-## 3. 核心实现方式
-- 通过系统提示词约束模型仅输出 JSON 工具调用
-- 客户端解析 JSON，映射到 9T 工具执行
-- 工具执行结果以 `TOOL_RESULT` 回写到对话上下文，驱动下一步工具调用
-- 路径统一解析为 workspace 相对路径，拒绝绝对路径与越界访问
-
-## 4. 交互与验证方式
-- 单次命令：`9t "<任务文本>"`，模型完成后输出 final
-- 交互对话：`9t` 默认进入交互模式，通过 9T 工具修改/创建文件
-- 测试模式：`9t --test` 生成 `demo/test.md` 并写入“惠风和畅”
-- 验证结果：在 Movevom/workspace 内生成目标文件即可视为成功