现象：跨平台安装后的诡异行为

某开发者社区报告，同一版本的 Cursor Background Agent（基于 OpenClaw 架构）在 macOS 和 Windows 上表现迥异： - Windows：Agent 自动创建的 Git worktree 会继承系统级 Git 配置，导致提交者信息混用 - macOS：Agent 进程因权限不足无法访问 /usr/local/bin 下的 Git 钩子，触发频繁认证失败

日志显示 Windows 平台曾出现 git credential-store 意外缓存了主账号的 PAT（Personal Access Token），而 macOS 则因 sandbox 限制直接崩溃。

排查链路：从表象到权限模型

1. 环境隔离机制对比

• Windows：
• 默认以用户会话权限运行 Agent
• Git 配置读取顺序：系统级 %PROGRAMDATA% → 用户级 %USERPROFILE%
• Worktree 创建时未显式指定 --config 参数，继承全局配置
• macOS：
• 受 App Sandbox 限制，~/Library/Containers 内运行的 Agent 无法读取 /etc/gitconfig
• Homebrew 安装的 Git 钩子路径硬编码导致权限拒绝

2. 密钥泄露路径验证

通过 procmon (Windows) 和 dtrace (macOS) 捕获到： - Windows 版 Agent 在 git fetch 时调用了全局配置的 credential.helper=wincred - macOS 的 security Keychain 访问因缺少 com.apple.security.automation.git 权利声明被拦截

根因：平台安全模型的设计误判

1. Git 工作树隔离缺失：
2. 未使用 git worktree add --no-checkout --config core.ignorecase=false 显式隔离配置

3. Windows 的 Git 默认区分大小写，与 macOS 行为不一致

4. 令牌范围控制失效：

5. Windows 凭据管理器未按进程隔离（所有用户会话共享）

6. macOS 的沙箱配置文件未声明必要的 git 和 network 权限

7. 路径规范化漏洞：

8. Agent 内部使用硬编码的 git 命令路径，未适配各平台包管理器差异

修复方案：平台感知的权限边界

1. Git 操作沙箱化（跨平台通用）

# 创建隔离的 git 配置
GIT_CONFIG_NOSYSTEM=1 GIT_CONFIG_GLOBAL=/dev/null \
  git -c credential.helper='!f() { echo "username=$AGENT_USER"; echo "password=$TOKEN"; }; f' \
  clone --filter=blob:none $REPO_URL

2. 平台专属加固措施

• Windows：
• 在 Agent 安装时自动配置 [credential] helper = cache --timeout=300
• 通过 icacls 限制工作目录权限
• macOS：
• 在 entitlements.plist 增加：

  <key>com.apple.security.app-sandbox</key>
  <true/>
  <key>com.apple.security.automation.git</key>
  <true/>

3. 凭证生命周期管控

• 强制使用短时效令牌（最长 2 小时）
• 在 Agent 退出时调用 git credential reject 主动清理

预防性检查清单

1. 安装验证：
2. [ ] 检查 git config --list --show-origin 输出是否包含意外配置

3. [ ] 确认 Agent 进程的令牌仅包含 repo 和 workflow 最小权限

4. 运行时监控：

5. [ ] 审计日志中是否存在 git credential-store 或 wincred 调用

6. [ ] 捕获跨工作树的文件系统操作（特别关注 .git/config 写入）

7. 跨平台测试矩阵：

测试项	Windows 预期	macOS 预期
Git 配置继承	仅限 Agent 专用配置	不读取系统级配置
凭证缓存位置	内存临时存储	Keychain 专用条目

深度剖析：平台安全模型的工程启示

Windows 凭据管理器的陷阱

Windows 的 git-credential-manager-core 默认将令牌存储在系统凭据管理器，这导致： - 不同 Agent 实例可能共享同一凭据 - 令牌有效期无法精确控制（依赖系统策略） - 无法区分不同仓库的访问权限

解决方案是强制使用内存缓存的临时令牌，并通过 Job 对象（Job Objects）限制 Agent 进程组的生命周期。

macOS 沙箱的精细控制

macOS 的 App Sandbox 需要显式声明以下权限： - com.apple.security.network.client：允许 Git 网络操作 - com.apple.security.files.user-selected.read-write：限定工作目录访问 - com.apple.security.temporary-exception.files.absolute-path.read-only：针对 Homebrew Git 的特殊路径访问

跨平台路径处理的黄金法则

1. 永远不要硬编码路径分隔符（/ 或 \）
2. 使用 path.resolve() 或 Path.Combine() 处理路径拼接
3. 对 Git 可执行文件的位置检测顺序：
4. 优先使用 git --exec-path 获取运行时路径
5. 其次检查 PATH 环境变量
6. 最后回退到平台默认位置（如 /usr/bin/git 或 C:\Program Files\Git\bin）

实施路线图与版本兼容性

阶段一：紧急修复（v0.12.1）

• 为所有平台添加 Git 配置隔离
• 实现令牌的进程级缓存

阶段二：架构调整（v0.13.0）

• 引入 ClawBridge 的路径规范化模块
• 在 ClawSDK 中内置平台权限检测工具

阶段三：长期维护

• 建立跨平台测试沙箱（基于 QEMU 和 macOS VM）
• 每季度审计第三方依赖的权限声明

该案例揭示了一个关键认知：跨平台工具必须显式处理各操作系统的权限模型差异，而非假设"一次编写，到处运行"。OpenClaw 系工具链现已将平台检测和沙箱配置作为 MCP（Managed Call Protocol）的强制校验项。开发者应定期使用 claw-audit --platform 命令验证环境合规性，特别是在自动化流水线中部署 Agent 时。