故事慧多智能体目录架构与权限规划方案
版本: v1.0
日期: 2026-03-14
制定者: 一龙 (故事慧总运营)
服务器: 美国节点 (45.207.206.44)
1. 背景与痛点
1.1 当前问题
- 权限冲突:直接修改
/home/zl/.openclaw/内部文件,易因 OpenClaw 更新或重启导致权限回归(root 所有),造成写入失败。 - FTP 限制:宝塔 FTP 默认基于
www用户,与 OpenClaw 运行的zl用户不匹配,导致读写混乱。 - 安全隐患:若所有智能体都能随意修改核心配置(
openclaw.json),存在配置冲突和系统崩溃风险。 - 协作混乱:缺乏独立工作区,多智能体记忆、日志、临时文件互相干扰。
1.2 核心需求
- 多智能体分工:每个智能体拥有独立工作目录,互不干扰。
- 技能隔离:不同智能体加载不同技能包(Skills)。
- 文化共享:公司基础文化、体系化文档需全局共享且防篡改。
- 持久稳定:权限结构不受 OpenClaw 更新影响,无需反复修复。
2. 架构设计
采用 “核心程序只读 + 共享库外挂 + 工作区隔离” 的三层架构。
2.1 目录结构规划
/home/zl/
├── .openclaw/ # 【核心程序区】(Root 所有,智能体只读)
│ ├── openclaw.json # 全局配置 (禁止智能体修改)
│ ├── gateway.config.json # 网关配置
│ ├── skills/ # 全局技能
│ └── workspace/ # 工作区入口
│ └── base -> /home/zl/storyhui-base # 软链接:指向共享库
│
├── storyhui-base/ # 【共享只读库】(Root 所有,全员只读)
│ ├── 体系化/ # 故事慧核心理论文档
│ ├── 文档/ # 公司基础文化文档
│ └── README.md # 共享库说明
│
└── agents/ # 【智能体工作区】(zl 所有,全员读写)
├── agent-chuangzuo/ # 创作智能体
│ ├── memory/ # 独立记忆
│ ├── skills/ # 专属技能 (可选)
│ └── workspace/ # 工作空间
├── agent-shenhe/ # 审核智能体
├── agent-fabu/ # 发布智能体
├── agent-fanyi/ # 翻译智能体
└── agent-evolve/ # 进化智能体
2.2 权限策略矩阵
| 目录 | 路径示例 | 所有者 | 权限 | 说明 |
|---|---|---|---|---|
| 核心程序区 | /home/zl/.openclaw/ |
root |
755 (只读) |
存放网关配置、全局技能。禁止智能体直接修改 openclaw.json。 |
| 共享知识库 | /home/zl/storyhui-base/ |
root |
755 (只读) |
存放“体系化”文档、公司文化。所有智能体可读,不可写 (防篡改)。 |
| 智能体工作区 | /home/zl/agents/<name>/ |
zl |
755 (读写) |
每个智能体独立目录,存放记忆、日志、临时文件。 |
| 挂载点 | /home/zl/.openclaw/workspace/base |
zl |
软链接 | 在 workspace 内建立软链接,指向外部共享库。 |
3. 实施步骤
3.1 第一步:创建共享只读库
将“基础文档”移出 .openclaw,置于独立、权限可控的位置。
# 1. 创建共享库目录
mkdir -p /home/zl/storyhui-base
# 2. 迁移原有文档 (如果存在)
if [ -d "/home/zl/.openclaw/基础文档" ]; then
mv /home/zl/.openclaw/基础文档/* /home/zl/storyhui-base/
rmdir /home/zl/.openclaw/基础文档
echo "✅ 已迁移原有基础文档"
else
echo "⚠️ 原基础文档目录不存在,跳过迁移"
fi
# 3. 设置权限:root 所有,所有用户只读 (模拟“公司制度”,不可篡改)
chown -R root:root /home/zl/storyhui-base
chmod -R 755 /home/zl/storyhui-base
# 4. 验证权限
ls -ld /home/zl/storyhui-base
3.2 第二步:创建智能体工作区
为每个分工创建独立目录,确保互不干扰。
# 1. 创建工作目录
mkdir -p /home/zl/agents/{agent-chuangzuo, agent-shenhe, agent-fabu, agent-fanyi, agent-evolve}
# 2. 设置权限:归 zl 用户所有,完全控制
chown -R zl:zl /home/zl/agents
chmod -R 755 /home/zl/agents
# 3. 验证
ls -ld /home/zl/agents/*
3.3 第三步:建立软链接 (挂载共享库)
在 OpenClaw Workspace 内建立软链接,使智能体可透明访问共享库。
# 1. 进入 workspace 目录
cd /home/zl/.openclaw/workspace
# 2. 创建软链接:base -> /home/zl/storyhui-base
# 智能体读取 ./base 时,实际读取的是外部只读目录
ln -s /home/zl/storyhui-base base
# 3. 验证链接
ls -l base
3.4 第四步:配置智能体调用
未来启动智能体时,通过 cwd 参数指定其独立工作区:
| 智能体 | 工作目录 (cwd) |
职责 |
|---|---|---|
| 创作 | /home/zl/agents/agent-chuangzuo |
内容初稿创作 |
| 审核 | /home/zl/agents/agent-shenhe |
合规性校对、事实核查 |
| 发布 | /home/zl/agents/agent-fabu |
多平台分发、推送 |
| 翻译 | /home/zl/agents/agent-fanyi |
中英互译、国际化 |
| 进化 | /home/zl/agents/agent-evolve |
错误分析、技能优化 |
4. 安全与更新机制
4.1 安全性说明
- 共享库防篡改:
storyhui-base归root所有,智能体 (zl用户) 仅可读。保证公司文化、体系化文档的唯一真理性。 - 工作区隔离:每个智能体在自有目录内完全自由,但无法越界修改其他智能体文件或共享库。
- 核心配置保护:
openclaw.json保持只读,防止智能体“自残”或恶意配置。
4.2 更新流程
- 共享库更新:
- 方式 A:管理员手动上传/修改。
- 方式 B:通过提权脚本(需 root 密码)由总控智能体(一龙)执行更新。
- 智能体技能更新:
- 各智能体在自有工作区内安装专属技能(如配置了局部
skills目录)。 - 或依赖全局技能池(由管理员统一维护)。
- 各智能体在自有工作区内安装专属技能(如配置了局部
5. 待办事项 (TODO)
- 执行实施步骤:由管理员在宝塔终端执行 3.1 - 3.3 的命令。
- 验证权限:确认智能体可读取
base但不可写入,可读写自有工作区。 - 制定分工表:明确各智能体的技能包、模型配置、触发机制。
- 纳管“四龙”:确认另一台服务器(四龙)的连接方式,纳入统一调度。
6. 附录:核心命令速查
# 检查共享库权限
ls -ld /home/zl/storyhui-base
# 检查软链接
ls -l /home/zl/.openclaw/workspace/base
# 测试智能体写入 (应成功)
echo "test" > /home/zl/agents/agent-chuangzuo/test.txt
# 测试共享库写入 (应失败)
echo "test" > /home/zl/storyhui-base/test.txt
备注:本方案已考虑 OpenClaw 更新机制,确保目录结构在系统升级后依然稳定有效。