审阅与权限

ToShop 如何把每个触系统的动作都拦在授权门后 —— 以及如何管理这些规则。

ToShop 的权限模型，是"建议型 Agent"和"动手型 Agent"之间的分界线。每个触及文件、网络、其他应用的动作都过一道审批。

两层授权

会话授权 仅本次允许一个动作。退出 ToShop 即消失。

适合：一次性"就这一回"的批准，不希望永久自动放行。

持久规则 授权一类动作的模式 —— 例如"任何 ~/Documents/ 下的读取"或"任何对 GitHub MCP 服务器的调用"。本地存储，在 设置 → 权限 里可见并可撤销。

适合：你信任 Agent 反复执行不需要重新弹窗的动作。

批准弹窗会让你选范围：仅此次 / 本次会话 / 永久。

什么会被拦

所有特权动作都过授权

显式打开作用域内的只读操作不会问。其他都会。

网络白名单

防范精心构造的远程 Prompt

对来自机器外（Telegram、Discord、Autopilot Webhook）的触发，ToShop 强制执行网络白名单 —— 这些流程下默认不能抓私网 IP。

挡住"远程 Prompt 让 Agent 去抓 http://192.168.1.1/..."这类攻击。

例外在 设置 → 网络 里按主机配置。

审计日志

每次本地工具调用都记录时间戳、工具名、参数（敏感字段脱敏）、状态、耗时。在 设置 → 本地工具 里查看，需要时可导出。

撤销规则

设置 → 权限 列出所有持久授权。你可以：

撤销单条

仅移除一条。下次匹配的动作重新弹窗。

撤销某技能的全部规则

适合退役某个技能或审计它的历史。

一键清空

所有授权回归默认。所有特权动作都会重新弹窗。

审阅与权限

ToShop 如何把每个触系统的动作都拦在授权门后 —— 以及如何管理这些规则。

ToShop 的权限模型，是"建议型 Agent"和"动手型 Agent"之间的分界线。每个触及文件、网络、其他应用的动作都过一道审批。

两层授权

会话授权 仅本次允许一个动作。退出 ToShop 即消失。

适合：一次性"就这一回"的批准，不希望永久自动放行。

适合：你信任 Agent 反复执行不需要重新弹窗的动作。

批准弹窗会让你选范围：仅此次 / 本次会话 / 永久。

什么会被拦

所有特权动作都过授权

显式打开作用域内的只读操作不会问。其他都会。

网络白名单

防范精心构造的远程 Prompt

对来自机器外（Telegram、Discord、Autopilot Webhook）的触发，ToShop 强制执行网络白名单 —— 这些流程下默认不能抓私网 IP。

挡住"远程 Prompt 让 Agent 去抓 http://192.168.1.1/..."这类攻击。

例外在 设置 → 网络 里按主机配置。

审计日志

每次本地工具调用都记录时间戳、工具名、参数（敏感字段脱敏）、状态、耗时。在 设置 → 本地工具 里查看，需要时可导出。

撤销规则

设置 → 权限 列出所有持久授权。你可以：

撤销单条

仅移除一条。下次匹配的动作重新弹窗。

撤销某技能的全部规则

适合退役某个技能或审计它的历史。

一键清空

所有授权回归默认。所有特权动作都会重新弹窗。

两层授权

什么会被拦

网络白名单

审计日志

撤销规则

撤销单条

撤销某技能的全部规则

一键清空

目录

审阅与权限

两层授权

什么会被拦

网络白名单

审计日志

撤销规则

撤销单条

撤销某技能的全部规则

一键清空

目录

审阅与权限

Agent 工作区外的文件写入与删除

Shell 命令与驱动其他应用

抓取私网 IP（内网、localhost、RFC1918）

MCP 服务器提供的工具

在渠道发送消息

改变第三方服务状态的 API 调用

撤销单条

撤销某技能的全部规则

一键清空

目录

审阅与权限

Agent 工作区外的文件写入与删除

Shell 命令与驱动其他应用

抓取私网 IP（内网、localhost、RFC1918）

MCP 服务器提供的工具

在渠道发送消息

改变第三方服务状态的 API 调用

撤销单条

撤销某技能的全部规则

一键清空

目录