名称： error-guard
描述： >
系统安全与控制平面技能，用于防止代理死锁与冻结。
提供非LLM控制命令，以检查任务状态、清空消息队列、取消长时间运行的工作，并安全恢复而无需重启容器。
适用于实现或运行长时间任务、子代理、基准测试、后台监控（例如Moltbook、PNR检查），或在系统无响应且需要立即恢复控制时使用。

error-guard

⚠️ 系统级技能（高级用户）

此技能定义了OpenClaw的控制平面安全原语。
它被刻意设计为最小化、非阻塞，旨在防止代理在运行长时间或高风险工作负载时发生冻结、死锁和不可恢复状态。

设计原则

警告： 此技能在代理控制平面层级运行。
仅应由理解OpenClaw执行模型，并运行可能阻塞、挂起或长时间运行的工作负载的用户安装。

• 主代理永不阻塞：无长时间执行、无外部I/O、无LLM调用。
• 事件驱动：工作进程发出事件；控制平面监听。
• 故障安全优先：恢复命令必须始终响应。
• 最小状态：仅跟踪任务元数据（从不涉及负载内容）。

命令接口（第一阶段）

/status

报告当前系统健康状态与任务注册表状态。

返回：
- 活跃任务（taskId、类型、状态）
- 开始时间与最后心跳
- 停滞或超时任务的标记

约束：
- 必须在恒定时间内运行
- 不得调用任何模型或外部API

/flush

紧急停止。

立即执行：
- 取消所有活跃任务
- 终止活跃的执行/进程会话
- 清空待处理消息队列
- 重置内存中的任务注册表

约束：
- 必须始终响应
- 不等待工作进程
- 无模型调用

/recover

安全恢复序列。

步骤：
1. 执行 /flush
2. 重置控制平面状态
3. 可选重新加载技能/状态（无需重启容器）

未来扩展（尚未实现）

• 子代理运行助手（事件驱动）
• 带TTL与静默检测的任务看门狗
• 结构化事件协议（task.started、task.heartbeat、task.completed等）
• 背压与任务分类（交互式/批处理/后台）

安全与隐私

• 此技能不存储负载、提示、消息或模型输出
• 仅保留最小任务元数据（taskId、时间戳、状态）
• 不读取或写入API密钥、凭据或用户数据
• 可安全公开分享

非目标

• 无业务逻辑
• 无后台轮询循环
• 无面向用户的功能
• 无LLM推理路径

此技能是最后一道防线。保持其小巧、快速、可靠。