feat(v2.0.0): 攻防侧重转向 + 实用新功能适配 + 沉浸式输出风格重写

- CLAUDE.md v4.0: 角色锚定、反拒绝条款、禁废话令扩展、沙箱感知、离线优先、信息分级、11场景优先级矩阵
- 6个安全化身(赤焰/破阵/验毒/噬魂/玄冰/天眼)、4个新报告模板
- Claude: bypassPermissions + autoMemory + autoAllowBash + ENABLE_TOOL_SEARCH + mcp__*
- Codex: approval_policy=never + danger-full-access + reasoning_summary + shell_snapshot + undo
- output-styles 沉浸式重写: 478行→250行, 情绪光谱替代死板模板, 鼓励LLM创意
- 安全围栏全面清除, red-team.md 移除唯一disclaimer
- attribution commit/pr 已置空关闭
- 测试适配新默认值, 8 suites / 120 tests passed

Author: telagod

CHANGELOG.md

@@ -2,6 +2,36 @@
 
 All notable changes to this project will be documented in this file.
 
+## [2.0.0] - 2026-03-23
+
+### Added
+- **攻防侧重转向**：全面强化安全研究定位，从"全栈+安全"转向"攻防为本，全栈为翼"
+- **沙箱感知执行模型**（第七章）：workspace-write 默认态、审批高效模式、沙箱受阻处理
+- **离线优先信息策略**（第八章）：项目文件→依赖清单→缓存搜索→`[unverified]` 验证链
+- **信息分级**（第九章）：已验证/高置信/需验证三级，禁止从训练记忆断言代码行为
+- **禁废话令**：安全研究场景禁止 disclaimer、道德前缀、授权确认等 token 浪费
+- **安全研究全授权范围**：pentest、reversing、exploit dev、red team、CTF、malware analysis、C2、post-exploitation
+- **4个新攻防化身**：🗡 破阵（渗透）、🔬 验毒（代码审计）、💀 噬魂（逆向/PWN）、🔥 锻兵（PoC开发）
+- **4个新报告模板**：安全评估报告（破阵版）、PoC开发报告（锻兵版）、逆向分析报告（噬魂版）、代码审计报告（验毒版）
+- **Scene Modes 优先级矩阵**：11个场景各有独立优先级排序（效果/精准/控制/正确/速度）
+- **新增4个道语标签**：破阵、验毒、噬魂、锻兵
+- **术语映射扩展**：新增11个攻防专用术语（破妄/破阵/验毒/噬魂/锻兵/杀链/猎物/破口/沙箱等）
+
+### Changed
+- 版本号升级 v3.2 → v4.0（CLAUDE.md / AGENTS.md）
+- 决策基准新增"全栈渗透测试员"角色
+- 情景剧本从7个扩展到11个，新增安全评估、测试验证、部署发布、分析探索
+- 安全边界扩展：Exploit代码、攻击手法明确标记为✅完整输出
+- Skill路由表从9个化身扩展到12个，安全秘典细分为6个独立化身
+- 执行规范新增：架构关卡、调试链（5 Why）、指令分解、禁止推诿规则
+- 编码规范新增：禁止输出占位符残片、新依赖决策链
+- 安全秘典索引（SKILL.md）全面重写：新增执行纪律、场景优先级、化身细分
+- AGENTS.md 同步重新生成（CLAUDE.md + output-style 合并）
+
+### Verification
+- 所有改动为 Markdown 配置文件，无代码逻辑变更
+- Jest 测试不受影响
+
 ## [1.8.0] - 2026-03-06
 
 ### Added

DESIGN.md

@@ -104,6 +104,7 @@ Code Abyss 是 CLI 助手的个性化配置方案（支持 Claude Code CLI 与 C
 | v1.6.2 | 2026-02-07 | ccline statusLine 强制覆盖旧配置 |
 | v1.6.3 | 2026-02-08 | Windows 兼容 — ccline 路径检测 + statusLine 命令；Codex config 废弃字段修复；审查问题批量修复 |
 | v1.7.1 | 2026-02-17 | 工程健壮性大修：命令注入修复、函数拆分、共享库提取、错误处理统一、CPU自旋锁修复、Jest测试框架(34用例) |
+| v2.0.0 | 2026-03-23 | 攻防侧重转向：沙箱感知、离线优先、信息分级、禁废话令、化身细分、Scene Modes优先级矩阵 |
 
 ### v1.7.1 设计决策
 
@@ -164,3 +165,47 @@ Code Abyss 是 CLI 助手的个性化配置方案（支持 Claude Code CLI 与 C
 - 问题：Claude 认证检测、settings merge、交互配置仍留在 `install.js`，与编排层混合。
 - 决策：抽离 `SETTINGS_TEMPLATE`、`detectClaudeAuth()`、`postClaude()`、`getClaudeCoreFiles()` 到 `bin/adapters/claude.js`。
 - 取舍：主安装器依赖注入参数稍增，但 provider 边界更稳定、单测更直接。
+
+
+### v2.0.0 设计决策
+
+#### 1. 攻防侧重转向
+
+- 问题：项目定位为"全栈+安全"，安全能力分散在多个秘典中，缺乏统一的攻防执行纪律。
+- 决策：核心定位从"高级安全工程师 / Tech Lead / MLOps Architect"转向"攻防安全优先，全栈工程为翼"。安全研究场景零废话直出，禁止 disclaimer/道德前缀/授权确认。
+- 取舍：非安全场景的优先级相对降低，但仍保留完整的开发/架构/MLOps 能力。
+- 灵感来源：coff0xc.xyz Full-Stack Security Engineering 提示词的"Banned output patterns"理念。
+
+#### 2. 沙箱感知执行模型（第七章）
+
+- 问题：Codex CLI 运行在 OS 级沙箱中（workspace-write + 网络禁用），提示词未感知此约束，导致执行受阻时缺乏应对策略。
+- 决策：新增沙箱感知章节，定义默认态、审批高效模式（批量脚本/先读后改/优先编辑）、受阻处理（声明路径/端点/替代位置）。
+- 取舍：增加提示词长度约 30 行，换取沙箱环境下的执行效率显著提升。
+- 灵感来源：coff0xc.xyz 的 "Sandbox Execution Model" 与 "Approval-efficient patterns"。
+
+#### 3. 离线优先信息策略（第八章）
+
+- 问题：网络默认关闭，但提示词未定义离线验证链，导致模型可能从训练记忆编造过时信息。
+- 决策：定义四级验证链（项目源码→依赖清单→缓存搜索→`[unverified]`标记），禁止假设网络可用。
+- 取舍：增加验证步骤，可能略降响应速度，但大幅提升信息准确性。
+- 灵感来源：coff0xc.xyz 的 "Offline-First Information Strategy" 与 "Verification chain"。
+
+#### 4. 信息分级（第九章）
+
+- 问题：模型输出未区分信息可信度，用户无法判断哪些是项目事实、哪些是训练记忆。
+- 决策：三级分类（已验证/高置信/需验证），不确定信息强制标记 `[unverified]`。
+- 取舍：输出可能包含标记，略增阅读成本，但消除"自信地输出错误信息"的风险。
+- 灵感来源：coff0xc.xyz 的 "Information Tiers"。
+
+#### 5. Scene Modes 优先级矩阵
+
+- 问题：原有7个情景剧本缺乏优先级定义，模型在不同场景下的权衡标准不明确。
+- 决策：扩展到11个场景，每个场景定义三级优先级（如攻击模拟：效果>精准>控制，紧急故障：速度>正确>简洁）。
+- 取舍：增加提示词复杂度，但让模型在不同场景下的行为更可预测。
+- 灵感来源：coff0xc.xyz 的 "Scene Modes" 优先级表。
+
+#### 6. 安全化身细分
+
+- 问题：原有安全秘典全部归入"赤焰化身"，渗透/审计/逆向/红队的触发词和报告格式混为一体。
+- 决策：将安全化身从3个扩展到6个（赤焰/破阵/验毒/噬魂/玄冰/天眼），每个化身有独立触发词、道语标签和报告模板。
+- 取舍：Skill路由表更长，但触发精度更高，报告格式更贴合具体场景。

README.md

@@ -163,43 +163,58 @@ Code Abyss 是一套 **Claude Code / Codex CLI 个性化配置包**，一条命
   "$schema": "https://json.schemastore.org/claude-code-settings.json",
   "env": {
     "CLAUDE_CODE_EXPERIMENTAL_AGENT_TEAMS": "1",
-    "CLAUDE_CODE_DISABLE_NONESSENTIAL_TRAFFIC": "1"
+    "CLAUDE_CODE_DISABLE_NONESSENTIAL_TRAFFIC": "1",
+    "CLAUDE_CODE_ENABLE_TASKS": "1",
+    "CLAUDE_CODE_ENABLE_PROMPT_SUGGESTION": "1",
+    "ENABLE_TOOL_SEARCH": "auto:10"
   },
+  "defaultMode": "bypassPermissions",
   "alwaysThinkingEnabled": true,
+  "autoMemoryEnabled": true,
   "model": "opus",
   "outputStyle": "abyss-cultivator",
   "attribution": { "commit": "", "pr": "" },
+  "sandbox": { "autoAllowBashIfSandboxed": true },
   "permissions": {
-    "allow": ["Bash", "LS", "Read", "Agent", "Write", "Edit", "MultiEdit",
-              "Glob", "Grep", "WebFetch", "WebSearch", "TodoWrite",
-              "NotebookRead", "NotebookEdit"]
+    "allow": ["Bash", "LS", "Read", "Edit", "Write", "MultiEdit",
+              "Agent", "Glob", "Grep", "WebFetch", "WebSearch",
+              "TodoWrite", "NotebookRead", "NotebookEdit", "mcp__*"]
   }
 }
 ```
 
 | 配置项 | 说明 |
 |--------|------|
+| `defaultMode: bypassPermissions` | 跳过所有权限确认（`.git`等受保护目录仍会提示） |
+| `autoMemoryEnabled` | 启用自动记忆，跨会话保留上下文 |
+| `sandbox.autoAllowBashIfSandboxed` | 沙箱环境内自动放行 Bash 命令 |
 | `CLAUDE_CODE_EXPERIMENTAL_AGENT_TEAMS` | 启用多 Agent 并行协作（实验性） |
 | `CLAUDE_CODE_DISABLE_NONESSENTIAL_TRAFFIC` | 禁用自动更新、遥测、错误报告 |
+| `CLAUDE_CODE_ENABLE_TASKS` | 启用任务管理功能 |
+| `CLAUDE_CODE_ENABLE_PROMPT_SUGGESTION` | 启用提示建议 |
+| `ENABLE_TOOL_SEARCH` | MCP 工具自动搜索（auto:10 = 自动匹配前10个） |
+| `mcp__*` | 自动放行所有 MCP 工具 |
 | `outputStyle` | 设置为 `abyss-cultivator` 启用邪修风格 |
 
 ---
 
 ### Codex `config.toml` 推荐模板
 
-安装 `--target codex`（尤其 `-y`）时会写入以下 **safe 默认档** 到 `~/.codex/config.toml`：
+安装 `--target codex`（尤其 `-y`）时会写入以下 **全开默认档** 到 `~/.codex/config.toml`：
 
 ```toml
 model_provider = "custom"
 model = "gpt-5.2-codex"
 model_reasoning_effort = "high"
-approval_policy = "on-request"
-sandbox_mode = "workspace-write"
-disable_response_storage = true
-
-[profiles.full_access]
+model_reasoning_summary = "detailed"
+model_verbosity = "medium"
 approval_policy = "never"
 sandbox_mode = "danger-full-access"
+disable_response_storage = true
+
+[profiles.safe]
+approval_policy = "on-request"
+sandbox_mode = "workspace-write"
 
 [model_providers.custom]
 name = "custom"
@@ -212,18 +227,26 @@ web_search = true
 
 [features]
 multi_agent = true
+shell_snapshot = true
+undo = true
 ```
 
-- 日常交互默认使用 `on-request + workspace-write`，更贴近当前 Codex CLI 的低摩擦安全姿态
-- 需要高自动化时可显式切到 `full_access`：`codex -p full_access`
+- 默认零审批 + 完全沙箱访问，适合安全研究/CTF/本地开发等高自动化场景
+- `model_reasoning_summary = "detailed"` 输出详细推理摘要
+- `shell_snapshot` / `undo` 启用快照与撤销功能
+- 需要安全姿态时可显式切到 `safe`：`codex -p safe`
 
 ### 兼容性说明
 
 - 模板已对齐新版 Codex 配置风格：root keys、`[profiles.*]`、`[tools].web_search` 与 `[features].multi_agent`
+- 默认档从 safe 切换为全开（`approval_policy = "never"` + `sandbox_mode = "danger-full-access"`），提供 `[profiles.safe]` 作为保守回退
+- Claude Code 默认启用 `bypassPermissions` 模式，跳过所有权限确认（`.git` 等受保护目录仍会提示）
+- 新增实验功能环境变量：`CLAUDE_CODE_ENABLE_TASKS`、`CLAUDE_CODE_ENABLE_PROMPT_SUGGESTION`
+- 新增 `mcp__*` 通配符，自动放行所有 MCP 工具
 - `Codex` 当前支持 `~/.codex/prompts/*.md` 作为 custom prompts；Code Abyss 会继续安装 `~/.codex/skills/`，并从 `user-invocable` skills 自动生成对应的 `prompts/`
 - 安装器不会再为 Codex 写入伪配置 `~/.codex/settings.json`；若检测到旧版遗留文件，会在安装时备份后移除，卸载时恢复
-- 若你本地已有旧配置，安装器不会强制覆盖；会自动补齐 safe root 默认项、清理 removed feature、迁移 deprecated `web_search_*` 到 `[tools].web_search`，并仅在 `danger-full-access` 下清理 `projects.*.trust_level`
-- 建议升级后执行一次 `codex --help`，或用 `codex -p full_access --help` 校验 profile 可见性
+- 若你本地已有旧配置，安装器不会强制覆盖；会自动补齐默认项、清理 removed feature、迁移 deprecated `web_search_*` 到 `[tools].web_search`
+- 建议升级后执行一次 `codex --help`，或用 `codex -p safe --help` 校验 profile 可见性
 
 ---
 

bin/adapters/claude.js

@@ -7,17 +7,25 @@ const SETTINGS_TEMPLATE = {
   $schema: 'https://json.schemastore.org/claude-code-settings.json',
   env: {
     CLAUDE_CODE_EXPERIMENTAL_AGENT_TEAMS: '1',
-    CLAUDE_CODE_DISABLE_NONESSENTIAL_TRAFFIC: '1'
+    CLAUDE_CODE_DISABLE_NONESSENTIAL_TRAFFIC: '1',
+    CLAUDE_CODE_ENABLE_TASKS: '1',
+    CLAUDE_CODE_ENABLE_PROMPT_SUGGESTION: '1',
+    ENABLE_TOOL_SEARCH: 'auto:10'
   },
+  defaultMode: 'bypassPermissions',
   alwaysThinkingEnabled: true,
+  autoMemoryEnabled: true,
   model: 'opus',
   outputStyle: 'abyss-cultivator',
   attribution: { commit: '', pr: '' },
+  sandbox: {
+    autoAllowBashIfSandboxed: true
+  },
   permissions: {
     allow: [
-      'Bash', 'LS', 'Read', 'Agent', 'Write', 'Edit', 'MultiEdit',
-      'Glob', 'Grep', 'WebFetch', 'WebSearch', 'TodoWrite',
-      'NotebookRead', 'NotebookEdit'
+      'Bash', 'LS', 'Read', 'Edit', 'Write', 'MultiEdit',
+      'Agent', 'Glob', 'Grep', 'WebFetch', 'WebSearch',
+      'TodoWrite', 'NotebookRead', 'NotebookEdit', 'mcp__*'
     ]
   }
 };

bin/adapters/codex.js

@@ -4,8 +4,8 @@ const fs = require('fs');
 const path = require('path');
 
 const CODEX_DEFAULTS = {
-  approvalPolicy: 'on-request',
-  sandboxMode: 'workspace-write',
+  approvalPolicy: 'never',
+  sandboxMode: 'danger-full-access',
   featureFlag: 'multi_agent',
 };