基本安全原则

1. 生产环境默认关闭 Shell：liteflow.agent.shell.mode=DISABLED。如需开启，使用 WHITELIST 模式并收窄白名单。

2. Workspace 使用专门目录：不要和业务源码、日志、密钥目录混放。

3. 不要把用户输入直接作为 conversationId 或 agentKey：建议使用业务 ID 拼接、哈希或映射。

4. API Key 使用环境变量：使用环境变量、配置中心或密钥管理系统，不要写入代码仓库。

5. 合理设置资源限制：根据业务体量设置 max-file-bytes、max-output-bytes、timeout 和 max-sessions。

6. Redis/MySQL 连接由业务控制：LiteFlow 不创建连接，权限和网络访问由业务应用控制。

7. 多 Agent 共享 workspace 时约定命名：建议约定各自的文件名前缀或子目录，避免并行写冲突。

8. Skills 目录要受控：使用只读、受版本管理的目录。不要让普通用户直接写入 SKILL.md 或其中声明的 Java 工具类。

9. 开启 Skills 等于开启代码执行：开启 skills 后，框架会在 conversation workspace 内启用 AgentScope 的代码执行能力。这条路径独立于 liteflow.agent.shell.*，即使 Shell 设为 DISABLED 也不受白名单约束。开启前应评估该路径，并严格管控 skills.path 与其引用的 Java 工具类来源（详见 Skills 技能系统）。