1. 项目目的与定位

Composio 是一个面向 AI Agent 框架的工具集成平台，其官方仓库同时托管 Python 与 TypeScript 双语言 SDK。根据 README.md 顶部说明，本仓库提供"official Software Development Kits (SDKs) for Composio, providing seamless integration capabilities for Python and Typescript Agentic Frameworks and Libraries"。开发者通过统一的 Composio 客户端即可让 Agent 调用外部服务（GitHub、HackerNews、Airtable 等），并通过 Provider 层适配 OpenAI Agents、LangChain、Vercel AI、LangGraph 等主流框架。Python 侧的对等能力由 composio-langgraph 等包提供，见 python/providers/langgraph/README.md 中的 GitHub Star Agent 示例。

2. 仓库结构与多语言布局

仓库根目录的 package.json 通过 Turbo、ESLint、Prettier、Ruff 等工具同时编排 TypeScript 与 Python 两套子工程，形成 monorepo + 多语言布局。结构示意如下：

graph TB
  Root[Composio Monorepo]
  Root --> TS[ts/<br/>TypeScript 工程]
  Root --> Py[python/<br/>Python 工程]
  TS --> Core[ts/packages/core<br/>核心 SDK]
  TS --> Prov[ts/packages/providers/*<br/>框架适配器]
  TS --> Ex[ts/examples/*<br/>示例应用]
  TS --> Util[ts/packages/json-schema-to-zod<br/>Schema 工具]
  Py --> PyCore[python/composio<br/>Python 核心]
  Py --> PyProv[python/providers/*<br/>Python 适配器]

TypeScript 端使用 pnpm workspace 与 workspace protocol（例如 @composio/core: "workspace:*"），Python 端则由 python/providers/openai/README.md 等独立包提供。

3. 核心包与 Provider 生态

3.1 核心 SDK

@composio/core 是 TypeScript SDK 的核心包，自身依赖 >=0.10.0 <1.0.0 的主版本范围约束 (ts/packages/core/package.json)。开发者通过 new Composio({ provider }) 注入第三方框架适配器，并通过 composio.tools.get(userId, { toolkits: ['HACKERNEWS'] }) 获取工具集合，示例见 README.md。

3.2 Provider 矩阵

4. 关键能力：Schema 转换与执行修饰

@composio/json-schema-to-zod 提供 JSON Schema → Zod 的运行时转换。parse-object-shape.ts 在遇到空 properties 时返回 {}，遍历属性键并根据 required 数组决定是否应用默认值（parse-object-shape.ts）。该能力为 ts/examples/tool-router 中按需路由工具的特性奠定基础。

此外，Composio.tools.get 支持 beforeExecute / afterExecute 修饰钩子，用于在执行前后改写入参与出参（ts/packages/core/README.md）。LangChain 适配器则额外提供 LCEL、流式响应与链式集成能力（ts/packages/providers/langchain/README.md）。

5. 文档生成与开发者工作流

@composio/core 内置 TypeDoc 驱动的 MDX 文档脚本。pnpm generate:docs 会将 src/models/*.ts 中的 JSDoc 抽取为 JSON AST，再转换为 MDX 并输出到 docs/content/reference/sdk-reference/typescript/，由 .github/workflows/generate-sdk-docs.yml 在源码变更时自动发起 PR（ts/packages/core/scripts/README.md）。

6. 已知问题与社区关注

社区近期关注集中在 Dashboard 与鉴权层：Issue #3482 报告 MCP 持续 500、CLI whoami 返回 null email、execute 401、login 403；Issue #3484 报告 Dashboard CSP 拦截 reCAPTCHA 导致无法创建 API key；Issue #3483 报告 Airtable 连接失败（auth config ac_wMWQCtZy-8Pr）。CLI 侧已修复 authlib 1.7.2 安全升级、fish completion 安装路径与 1 小时权限 allow 过期（@composio/[email protected]），并在 0.2.32-beta.265 中将 MCP、files、realtime 路由纳入 API key 权限范围（@composio/[email protected]）。Agent 侧还有 Issue #3590 讨论工具调用的紧凑审计产物需求。

See Also

• @composio/core 核心 SDK 使用指南
• Provider 适配器总览（OpenAI Agents / LangChain / Vercel / LangGraph）
• Tool Router 与 Schema 转换机制
• CLI 鉴权与 Dashboard 故障排查

Lib 模块是 Composio 官方 TypeScript SDK @composio/core 内部的一组核心工具与常量定义集合，主要承载工具路由（Tool Router）相关的参数、枚举和共享类型，供上层 provider（如 OpenAI Agents、LangChain、Vercel AI）以及 CLI 复用。该模块通过 ts/packages/core/src/lib/ 目录统一管理跨 provider 共享的纯函数与常量，避免在多个 provider 包中重复实现。

资料来源：ts/packages/core/src/lib/toolRouterConstants.ts

模块定位与作用

Lib 模块在 SDK 中的角色可以概括为"共享底层工具层"：

• 集中托管常量：将工具路由相关的固定值集中到 toolRouterConstants.ts，避免散落在各个 provider 中导致不一致。
• 集中托管参数类型：将工具路由的入参、配置 schema 集中到 toolRouterParams.ts，便于跨 provider 复用类型推断与运行时校验。
• 支撑上层 provider：@composio/openai-agents、@composio/langchain、@composio/vercel 等 provider 包都声明了 "@composio/core": ">=0.10.0 <1.0.0" 的对等依赖，依赖 Lib 模块暴露的能力完成工具注册与执行。
• CLI 间接依赖：CLI（@composio/cli）在工具发现、执行与连接账号等命令链路中也会借助 core 中的 lib 工具完成底层协议交互。

资料来源：ts/packages/core/package.json、ts/packages/providers/openai-agents/package.json

关键文件组成

toolRouterConstants.ts

该文件主要存放工具路由在运行过程中使用的固定字符串、枚举值与默认值，包括但不限于：路由模式（router mode）、默认工具集（toolkit）标识、限制值（如最大返回条目数）等。这些常量通常被 provider 在 getTools、executeTool 等关键路径中读取。

资料来源：ts/packages/core/src/lib/toolRouterConstants.ts

toolRouterParams.ts

该文件定义了工具路由的入参结构与配置选项，包括按 toolkits、apps、actions、tags、useBeforeExecute、useAfterExecute 等维度筛选或修改工具时的参数 schema。这些类型与 @composio/core 的 composio.tools.get(userId, { ... }) 调用语义保持一致。

资料来源：ts/packages/core/src/lib/toolRouterParams.ts

// 典型的工具获取方式（参考自 README 快速开始）
import { Composio } from '@composio/core';

const composio = new Composio();
const tools = await composio.tools.get('[email protected]', {
  toolkits: ['HACKERNEWS'],
});

资料来源：README.md

与 provider 的协作关系

下表展示了 Lib 模块与主要 provider 包之间的依赖与角色关系：

资料来源：ts/packages/providers/openai-agents/package.json、ts/packages/providers/langchain/package.json、ts/packages/providers/vercel/package.json

数据流概览

flowchart LR
    A[用户/Agent 调用] --> B[composio.tools.get]
    B --> C[Lib: toolRouterParams]
    C --> D[Lib: toolRouterConstants]
    D --> E[Provider 适配层]
    E --> F[OpenAI Agents / LangChain / Vercel]
    F --> G[LLM 生成工具调用]
    G --> H[composio.provider.executeTool]
    H --> I[Composio 平台 API]

常见问题与排错

• 工具为空或筛选无结果：通常是因为 toolkits/apps 标识拼写错误或账号未连接。社区中曾出现 Airtable 无法连接的报告（auth config id: ac_wMWQCtZy-8Pr），需要在 dashboard 端确认连接状态后再调用 tools.get。
• CLI 报 401/403：来自 composio login 状态异常，建议先执行 composio logout 后重新登录，并检查 COMPOSIO_API_KEY 环境变量。
• Provider 版本不匹配：provider 要求 core 版本为 >=0.10.0 <1.0.0，升级或降级 core 时需要同步检查 provider 的 peer 依赖范围。
• Schema 增强失败：Python 端 enhance_schema_descriptions 已有针对空 schema 的保护（#3398），TypeScript 端如出现类似问题可参考核心常量与参数定义逐项校验。

资料来源：ts/packages/cli/README.md

最佳实践

• 集中导入常量与类型：在自定义 provider 或工具脚本中，应优先从 @composio/core 的 lib 目录导入，避免硬编码字符串。
• 按 toolkit 维度筛选：在 LLM 上下文窗口有限时，优先使用 toolkits 精确筛选而非一次性拉取全部工具。
• 配合执行修饰器：在 get 与 execute 链路中合理使用 beforeExecute / afterExecute，可在 Lib 参数层完成对入参与返回结果的统一规整。

See Also

• README.md — TypeScript SDK 快速开始
• ts/packages/providers/README.md — Provider 修饰器示例
• ts/packages/cli/README.md — CLI 命令参考
• ts/packages/core/scripts/README.md — SDK 文档生成

概述

在 Composio 仓库中，"src 模块"是各 TypeScript 包（package）内部 src/ 目录所承载的实现代码集合。与 Python 提供商（python/providers/*）直接以包名作为导入根不同，TypeScript 一侧统一遵循「包根 + src/」的单仓多包（monorepo）布局：每个工作区包都把 TypeScript 源码、可执行入口与领域模型集中放置在各自的 src/ 子目录下，再通过 tsdown 之类的打包器编译到 dist/ 发布 README.md:1-15。

仓库将 SDK 拆分为「核心包 + 提供商包 + 工具包」三层结构，src 模块因此承担了从底层会话、工具检索到上层框架适配的全部职责。对终端用户而言，import { Composio } from '@composio/core' 与 import { OpenAIAgentsProvider } from '@composio/openai-agents' 这类 API 表面，背后都是各自 src 目录中的类与方法实现 ts/packages/core/README.md:1-40。

核心包（`@composio/core`）的 src 结构

@composio/core 是 SDK 的入口与共享基础。其 src 目录按职责拆分为若干子模块，主要包括：

资料来源：ts/packages/core/scripts/README.md:1-22

核心包与提供商包之间通过 peerDependency 关系链接：@composio/core 的 >=0.10.0 <1.0.0 区间被多个提供商显式声明，体现了 src 模块之间「主版本锁定互通」的设计 ts/packages/providers/vercel/package.json:1-30。

提供商包与工具包的 src 结构

ts/packages/providers/ 下的每个子目录都是一个独立的 npm 包，对应一种 Agent 框架适配器。其 src 模块通常采用相似的分层：

graph LR
  Core["@composio/core<br/>src/models, utils"] --> Vercel["@composio/vercel<br/>src/provider"]
  Core --> OAA["@composio/openai-agents<br/>src/provider"]
  Core --> LC["@composio/langchain<br/>src/provider"]
  Core --> CLI["@composio/cli<br/>src/commands"]
  Core --> J2Z["@composio/json-schema-to-zod<br/>src/parsers"]
  Vercel --> App["Vercel AI SDK 应用"]
  OAA --> App
  LC --> App
  CLI --> Dev["开发者本地工作流"]
  J2Z --> Providers["schema modifier 链"]

提供商 src 内的典型职责是把 @composio/core 返回的通用 Tool 对象翻译为目标框架的函数调用对象，并把框架产生的执行回调重新映射为 Composio 的 beforeExecute / afterExecute 钩子 ts/packages/providers/README.md:1-60。CLI 包则基于 Effect 生态组织命令树，src 内含 commands/、effects/、dev/ 等子目录，承载 whoami、login、execute 等子命令 ts/packages/cli/README.md:1-40。

共享工具：`json-schema-to-zod`

在 ts/packages/json-schema-to-zod/src/parsers/ 中存在一组与 src 模块解耦的纯函数解析器，可被任意提供商包复用。例如下面的 parseObjectShape：

export function parseObjectShape(
  objectSchema: JsonSchemaObject,
  refs: Refs,
): z.ZodRawShape {
  if (!objectSchema.properties) return {};
  // …遍历 properties，逐个委托给 parseSchema，
  //  并按 objectSchema.required 标记必填字段
}

资料来源：ts/packages/json-schema-to-zod/src/parsers/parse-object-shape.ts:1-40

该模块把远程返回的 JSON Schema 转译为 zod 原始形状（ZodRawShape），是「schema modifier」链路的前置步骤：先转译，再由 composio.tools.get(..., { schema }) 提供的 toolSlug => Tool 回调进行改写 ts/packages/providers/README.md:1-60。

已知关注点

社区中报告的多起故障（whoami 返回 null、execute 401、MCP 500、连接 Airtable 失败）大多发生在 CLI 鉴权与平台 API 边界，而非 @composio/core src 内部 Composio 全部不可用 #3482、无法连接 Airtable #3483。当排查 src 模块自身的问题时，建议先确认 composio login 与 composio whoami 输出是否正常，再检查提供商包是否声明了与核心包兼容的版本区间 ts/packages/providers/vercel/package.json:1-30。

See Also

• 核心包 README
• 提供商示例与 schema modifier
• CLI 文档
• SDK 文档生成脚本

Pitfall Log / 踩坑日志

项目：ComposioHQ/composio

摘要：发现 24 个潜在踩坑项，其中 2 个为 high/blocking；最高优先级：安全/权限坑 - 来源证据：Post-incident API key creation fails — dashboard CSP blocks reCAPTCHA verification。

1. 安全/权限坑 · 来源证据：Post-incident API key creation fails — dashboard CSP blocks reCAPTCHA verification

• 严重度：high
• 证据强度：source_linked
• 发现：GitHub 社区证据显示该项目存在一个安全/权限相关的待验证问题：Post-incident API key creation fails — dashboard CSP blocks reCAPTCHA verification
• 对用户的影响：可能阻塞安装或首次运行。
• 证据：community_evidence:github | https://github.com/ComposioHQ/composio/issues/3484 | 来源讨论提到 node 相关条件，需在安装/试用前复核。

2. 安全/权限坑 · 来源证据：Question: compact audit artifact for agent tool actions

• 严重度：high
• 证据强度：source_linked
• 发现：GitHub 社区证据显示该项目存在一个安全/权限相关的待验证问题：Question: compact audit artifact for agent tool actions
• 对用户的影响：可能影响授权、密钥配置或安全边界。
• 证据：community_evidence:github | https://github.com/ComposioHQ/composio/issues/3590 | 来源类型 github_issue 暴露的待验证使用条件。

3. 安装坑 · 失败模式：installation: CLI @composio/[email protected]

• 严重度：medium
• 证据强度：source_linked
• 发现：Developers should check this installation risk before relying on the project: CLI @composio/[email protected]
• 对用户的影响：Upgrade or migration may change expected behavior: CLI @composio/[email protected]
• 证据：failure_mode_cluster:github_release | https://github.com/ComposioHQ/composio/releases/tag/%40composio/cli%400.2.31 | CLI @composio/[email protected]

4. 安装坑 · 失败模式：installation: CLI Beta @composio/[email protected]

• 严重度：medium
• 证据强度：source_linked
• 发现：Developers should check this installation risk before relying on the project: CLI Beta @composio/[email protected]
• 对用户的影响：Upgrade or migration may change expected behavior: CLI Beta @composio/[email protected]
• 证据：failure_mode_cluster:github_release | https://github.com/ComposioHQ/composio/releases/tag/%40composio/cli%400.2.31-beta.258 | CLI Beta @composio/[email protected]

5. 安装坑 · 失败模式：installation: CLI Beta @composio/[email protected]

• 严重度：medium
• 证据强度：source_linked
• 发现：Developers should check this installation risk before relying on the project: CLI Beta @composio/[email protected]
• 对用户的影响：Upgrade or migration may change expected behavior: CLI Beta @composio/[email protected]
• 证据：failure_mode_cluster:github_release | https://github.com/ComposioHQ/composio/releases/tag/%40composio/cli%400.2.32-beta.263 | CLI Beta @composio/[email protected]

6. 配置坑 · 失败模式：configuration: CLI Beta @composio/[email protected]

• 严重度：medium
• 证据强度：source_linked
• 发现：Developers should check this configuration risk before relying on the project: CLI Beta @composio/[email protected]
• 对用户的影响：Upgrade or migration may change expected behavior: CLI Beta @composio/[email protected]
• 证据：failure_mode_cluster:github_release | https://github.com/ComposioHQ/composio/releases/tag/%40composio/cli%400.2.31-beta.252 | CLI Beta @composio/[email protected]

7. 配置坑 · 失败模式：configuration: CLI Beta @composio/[email protected]

• 严重度：medium
• 证据强度：source_linked
• 发现：Developers should check this configuration risk before relying on the project: CLI Beta @composio/[email protected]
• 对用户的影响：Upgrade or migration may change expected behavior: CLI Beta @composio/[email protected]
• 证据：failure_mode_cluster:github_release | https://github.com/ComposioHQ/composio/releases/tag/%40composio/cli%400.2.32-beta.265 | CLI Beta @composio/[email protected]

8. 配置坑 · 失败模式：configuration: Composio entirely unusable: MCP → 500, CLI whoami null, execute → 401, login → 403

• 严重度：medium
• 证据强度：source_linked
• 发现：Developers should check this configuration risk before relying on the project: Composio entirely unusable: MCP → 500, CLI whoami null, execute → 401, login → 403
• 对用户的影响：Developers may misconfigure credentials, environment, or host setup: Composio entirely unusable: MCP → 500, CLI whoami null, execute → 401, login → 403
• 证据：failure_mode_cluster:github_issue | https://github.com/ComposioHQ/composio/issues/3482 | Composio entirely unusable: MCP → 500, CLI whoami null, execute → 401, login → 403

9. 配置坑 · 失败模式：configuration: Post-incident API key creation fails — dashboard CSP blocks reCAPTCHA verification

• 严重度：medium
• 证据强度：source_linked
• 发现：Developers should check this configuration risk before relying on the project: Post-incident API key creation fails — dashboard CSP blocks reCAPTCHA verification
• 对用户的影响：Developers may misconfigure credentials, environment, or host setup: Post-incident API key creation fails — dashboard CSP blocks reCAPTCHA verification
• 证据：failure_mode_cluster:github_issue | https://github.com/ComposioHQ/composio/issues/3484 | Post-incident API key creation fails — dashboard CSP blocks reCAPTCHA verification

10. 配置坑 · 失败模式：configuration: Question: compact audit artifact for agent tool actions

• 严重度：medium
• 证据强度：source_linked
• 发现：Developers should check this configuration risk before relying on the project: Question: compact audit artifact for agent tool actions
• 对用户的影响：Developers may misconfigure credentials, environment, or host setup: Question: compact audit artifact for agent tool actions
• 证据：failure_mode_cluster:github_issue | https://github.com/ComposioHQ/composio/issues/3590 | Question: compact audit artifact for agent tool actions

11. 配置坑 · 失败模式：configuration: [Bug]: Can't connect airtable

• 严重度：medium
• 证据强度：source_linked
• 发现：Developers should check this configuration risk before relying on the project: [Bug]: Can't connect airtable
• 对用户的影响：Developers may misconfigure credentials, environment, or host setup: [Bug]: Can't connect airtable
• 证据：failure_mode_cluster:github_issue | https://github.com/ComposioHQ/composio/issues/3483 | [Bug]: Can't connect airtable

12. 能力坑 · 能力判断依赖假设

• 严重度：medium
• 证据强度：source_linked
• 发现：README/documentation is current enough for a first validation pass.
• 对用户的影响：假设不成立时，用户拿不到承诺的能力。
• 证据：capability.assumptions | https://github.com/ComposioHQ/composio | README/documentation is current enough for a first validation pass.

13. 维护坑 · 失败模式：migration: CLI Beta @composio/[email protected]

• 严重度：medium
• 证据强度：source_linked
• 发现：Developers should check this migration risk before relying on the project: CLI Beta @composio/[email protected]
• 对用户的影响：Upgrade or migration may change expected behavior: CLI Beta @composio/[email protected]
• 证据：failure_mode_cluster:github_release | https://github.com/ComposioHQ/composio/releases/tag/%40composio/cli%400.2.32-beta.264 | CLI Beta @composio/[email protected]

14. 维护坑 · 维护活跃度未知

• 严重度：medium
• 证据强度：source_linked
• 发现：未记录 last_activity_observed。
• 对用户的影响：新项目、停更项目和活跃项目会被混在一起，推荐信任度下降。
• 证据：evidence.maintainer_signals | https://github.com/ComposioHQ/composio | last_activity_observed missing

• 严重度：medium
• 证据强度：source_linked
• 发现：no_demo
• 证据：downstream_validation.risk_items | https://github.com/ComposioHQ/composio | no_demo; severity=medium

16. 安全/权限坑 · 存在评分风险

• 严重度：medium
• 证据强度：source_linked
• 发现：no_demo
• 对用户的影响：风险会影响是否适合普通用户安装。
• 证据：risks.scoring_risks | https://github.com/ComposioHQ/composio | no_demo; severity=medium

17. 安全/权限坑 · 来源证据：Composio entirely unusable: MCP → 500, CLI whoami null, execute → 401, login → 403

• 严重度：medium
• 证据强度：source_linked
• 发现：GitHub 社区证据显示该项目存在一个安全/权限相关的待验证问题：Composio entirely unusable: MCP → 500, CLI whoami null, execute → 401, login → 403
• 对用户的影响：可能阻塞安装或首次运行。
• 证据：community_evidence:github | https://github.com/ComposioHQ/composio/issues/3482 | 来源讨论提到 macos 相关条件，需在安装/试用前复核。

18. 安全/权限坑 · 来源证据：[Bug]: Can't connect airtable

• 严重度：medium
• 证据强度：source_linked
• 发现：GitHub 社区证据显示该项目存在一个安全/权限相关的待验证问题：[Bug]: Can't connect airtable
• 对用户的影响：可能影响授权、密钥配置或安全边界。
• 证据：community_evidence:github | https://github.com/ComposioHQ/composio/issues/3483 | 来源讨论提到 python 相关条件，需在安装/试用前复核。

19. 维护坑 · issue/PR 响应质量未知

• 严重度：low
• 证据强度：source_linked
• 发现：issue_or_pr_quality=unknown。
• 对用户的影响：用户无法判断遇到问题后是否有人维护。
• 证据：evidence.maintainer_signals | https://github.com/ComposioHQ/composio | issue_or_pr_quality=unknown

20. 维护坑 · 发布节奏不明确

• 严重度：low
• 证据强度：source_linked
• 发现：release_recency=unknown。
• 对用户的影响：安装命令和文档可能落后于代码，用户踩坑概率升高。
• 证据：evidence.maintainer_signals | https://github.com/ComposioHQ/composio | release_recency=unknown

21. 维护坑 · 失败模式：maintenance: CLI Beta @composio/[email protected]

• 严重度：low
• 证据强度：source_linked
• 发现：Developers should check this maintenance risk before relying on the project: CLI Beta @composio/[email protected]
• 对用户的影响：Upgrade or migration may change expected behavior: CLI Beta @composio/[email protected]
• 证据：failure_mode_cluster:github_release | https://github.com/ComposioHQ/composio/releases/tag/%40composio/cli%400.2.31-beta.253 | CLI Beta @composio/[email protected]

22. 维护坑 · 失败模式：maintenance: CLI Beta @composio/[email protected]

• 严重度：low
• 证据强度：source_linked
• 发现：Developers should check this maintenance risk before relying on the project: CLI Beta @composio/[email protected]
• 对用户的影响：Upgrade or migration may change expected behavior: CLI Beta @composio/[email protected]
• 证据：failure_mode_cluster:github_release | https://github.com/ComposioHQ/composio/releases/tag/%40composio/cli%400.2.31-beta.254 | CLI Beta @composio/[email protected]

23. 维护坑 · 失败模式：maintenance: CLI Beta @composio/[email protected]

• 严重度：low
• 证据强度：source_linked
• 发现：Developers should check this maintenance risk before relying on the project: CLI Beta @composio/[email protected]
• 对用户的影响：Upgrade or migration may change expected behavior: CLI Beta @composio/[email protected]
• 证据：failure_mode_cluster:github_release | https://github.com/ComposioHQ/composio/releases/tag/%40composio/cli%400.2.31-beta.255 | CLI Beta @composio/[email protected]

24. 维护坑 · 失败模式：maintenance: CLI Beta @composio/[email protected]

• 严重度：low
• 证据强度：source_linked
• 发现：Developers should check this maintenance risk before relying on the project: CLI Beta @composio/[email protected]
• 对用户的影响：Upgrade or migration may change expected behavior: CLI Beta @composio/[email protected]
• 证据：failure_mode_cluster:github_release | https://github.com/ComposioHQ/composio/releases/tag/%40composio/cli%400.2.31-beta.256 | CLI Beta @composio/[email protected]