# willow-mcp - Doramagic AI Context Pack

> 定位：安装前体验与判断资产。它帮助宿主 AI 有一个好的开始，但不代表已经安装、执行或验证目标项目。

## 充分原则

- **充分原则，不是压缩原则**：AI Context Pack 应该充分到让宿主 AI 在开工前理解项目价值、能力边界、使用入口、风险和证据来源；它可以分层组织，但不以最短摘要为目标。
- **压缩策略**：只压缩噪声和重复内容，不压缩会影响判断和开工质量的上下文。

## 给宿主 AI 的使用方式

你正在读取 Doramagic 为 willow-mcp 编译的 AI Context Pack。请把它当作开工前上下文：帮助用户理解适合谁、能做什么、如何开始、哪些必须安装后验证、风险在哪里。不要声称你已经安装、运行或执行了目标项目。

## Claim 消费规则

- **事实来源**：Repo Evidence + Claim/Evidence Graph；Human Wiki 只提供显著性、术语和叙事结构。
- **事实最低状态**：`supported`
- `supported`：可以作为项目事实使用，但回答中必须引用 claim_id 和证据路径。
- `weak`：只能作为低置信度线索，必须要求用户继续核实。
- `inferred`：只能用于风险提示或待确认问题，不能包装成项目事实。
- `unverified`：不得作为事实使用，应明确说证据不足。
- `contradicted`：必须展示冲突来源，不得替用户强行选择一个版本。

## 它最适合谁

- **正在使用 Claude/Codex/Cursor/Gemini 等宿主 AI 的开发者**：README 或插件配置提到多个宿主 AI。 证据：`README.md` Claim：`clm_0003` supported 0.86

## 它能做什么

- **多宿主安装与分发**（需要安装后验证）：项目包含插件或 marketplace 配置，说明它面向一个或多个 AI 宿主的安装和分发。 证据：`.claude-plugin/plugin.json` Claim：`clm_0001` supported 0.86
- **命令行启动或安装流程**（需要安装后验证）：项目文档中存在可执行命令，真实使用需要在本地或宿主环境中运行这些命令。 证据：`README.md` Claim：`clm_0002` supported 0.86

## 怎么开始

- `pip install willow-mcp` 证据：`README.md` Claim：`clm_0004` supported 0.86

## 继续前判断卡

- **当前建议**：先做权限沙盒试用
- **为什么**：项目存在安装命令、宿主配置或本地写入线索，不建议直接进入主力环境，应先在隔离环境试装。

### 30 秒判断

- **现在怎么做**：先做权限沙盒试用
- **最小安全下一步**：先跑 Prompt Preview；若仍要安装，只在隔离环境试装
- **先别相信**：工具权限边界不能在安装前相信。
- **继续会触碰**：命令执行、宿主 AI 配置、本地环境或项目文件

### 现在可以相信

- **适合人群线索：正在使用 Claude/Codex/Cursor/Gemini 等宿主 AI 的开发者**（supported）：有 supported claim 或项目证据支撑，但仍不等于真实安装效果。 证据：`README.md` Claim：`clm_0003` supported 0.86
- **能力存在：多宿主安装与分发**（supported）：可以相信项目包含这类能力线索；是否适合你的具体任务仍要试用或安装后验证。 证据：`.claude-plugin/plugin.json` Claim：`clm_0001` supported 0.86
- **能力存在：命令行启动或安装流程**（supported）：可以相信项目包含这类能力线索；是否适合你的具体任务仍要试用或安装后验证。 证据：`README.md` Claim：`clm_0002` supported 0.86
- **存在 Quick Start / 安装命令线索**（supported）：可以相信项目文档出现过启动或安装入口；不要因此直接在主力环境运行。 证据：`README.md` Claim：`clm_0004` supported 0.86

### 现在还不能相信

- **工具权限边界不能在安装前相信。**（unverified）：MCP/tool 类项目通常会触碰文件、网络、浏览器或外部 API，必须真实检查权限和日志。
- **真实输出质量不能在安装前相信。**（unverified）：Prompt Preview 只能展示引导方式，不能证明真实项目中的结果质量。
- **宿主 AI 版本兼容性不能在安装前相信。**（unverified）：Claude、Cursor、Codex、Gemini 等宿主加载规则和版本差异必须在真实环境验证。
- **不会污染现有宿主 AI 行为，不能直接相信。**（inferred）：Skill、plugin、AGENTS/CLAUDE/GEMINI 指令可能改变宿主 AI 的默认行为。 证据：`.claude-plugin/plugin.json`
- **可安全回滚不能默认相信。**（unverified）：除非项目明确提供卸载和恢复说明，否则必须先在隔离环境验证。
- **真实安装后是否与用户当前宿主 AI 版本兼容？**（unverified）：兼容性只能通过实际宿主环境验证。 证据：`.claude-plugin/plugin.json`
- **项目输出质量是否满足用户具体任务？**（unverified）：安装前预览只能展示流程和边界，不能替代真实评测。
- **安装命令是否需要网络、权限或全局写入？**（unverified）：这影响企业环境和个人环境的安装风险。 证据：`README.md`

### 继续会触碰什么

- **命令执行**：包管理器、网络下载、本地插件目录、项目配置或用户主目录。 原因：运行第一条命令就可能产生环境改动；必须先判断是否值得跑。 证据：`README.md`
- **宿主 AI 配置**：Claude/Codex/Cursor/Gemini/OpenCode 等宿主的 plugin、Skill 或规则加载配置。 原因：宿主配置会改变 AI 后续工作方式，可能和用户已有规则冲突。 证据：`.claude-plugin/plugin.json`
- **本地环境或项目文件**：安装结果、插件缓存、项目配置或本地依赖目录。 原因：安装前无法证明写入范围和回滚方式，需要隔离验证。 证据：`.claude-plugin/plugin.json`, `README.md`
- **宿主 AI 上下文**：AI Context Pack、Prompt Preview、Skill 路由、风险规则和项目事实。 原因：导入上下文会影响宿主 AI 后续判断，必须避免把未验证项包装成事实。

### 最小安全下一步

- **先跑 Prompt Preview**：用安装前交互式试用判断工作方式是否匹配，不需要授权或改环境。（适用：任何项目都适用，尤其是输出质量未知时。）
- **只在隔离目录或测试账号试装**：避免安装命令污染主力宿主 AI、真实项目或用户主目录。（适用：存在命令执行、插件配置或本地写入线索时。）
- **先备份宿主 AI 配置**：Skill、plugin、规则文件可能改变 Claude/Cursor/Codex 的默认行为。（适用：存在插件 manifest、Skill 或宿主规则入口时。）
- **安装后只验证一个最小任务**：先验证加载、兼容、输出质量和回滚，再决定是否深用。（适用：准备从试用进入真实工作流时。）

### 退出方式

- **保留安装前状态**：记录原始宿主配置和项目状态，后续才能判断是否可恢复。
- **准备移除宿主 plugin / Skill / 规则入口**：如果试装后行为异常，可以把宿主 AI 恢复到试装前状态。
- **记录安装命令和写入路径**：没有明确卸载说明时，至少要知道哪些目录或配置需要手动清理。
- **如果没有回滚路径，不进入主力环境**：不可回滚是继续前阻断项，不应靠信任或运气继续。

## 哪些只能预览

- 解释项目适合谁和能做什么
- 基于项目文档演示典型对话流程
- 帮助用户判断是否值得安装或继续研究

## 哪些必须安装后验证

- 真实安装 Skill、插件或 CLI
- 执行脚本、修改本地文件或访问外部服务
- 验证真实输出质量、性能和兼容性

## 边界与风险判断卡

- **把安装前预览误认为真实运行**：用户可能高估项目已经完成的配置、权限和兼容性验证。 处理方式：明确区分 prompt_preview_can_do 与 runtime_required。 Claim：`clm_0005` inferred 0.45
- **宿主 AI 插件或 Skill 规则冲突**：新规则可能改变用户现有宿主 AI 的工作方式。 处理方式：安装前先检查插件 manifest 和 Skill 文件，必要时隔离测试。 证据：`.claude-plugin/plugin.json` Claim：`clm_0006` supported 0.86
- **命令执行会修改本地环境**：安装命令可能写入用户主目录、宿主插件目录或项目配置。 处理方式：先在隔离环境或测试账号中运行。 证据：`README.md` Claim：`clm_0007` supported 0.86
- **待确认**：真实安装后是否与用户当前宿主 AI 版本兼容？。原因：兼容性只能通过实际宿主环境验证。
- **待确认**：项目输出质量是否满足用户具体任务？。原因：安装前预览只能展示流程和边界，不能替代真实评测。
- **待确认**：安装命令是否需要网络、权限或全局写入？。原因：这影响企业环境和个人环境的安装风险。

## 开工前工作上下文

### 加载顺序

- 先读取 how_to_use.host_ai_instruction，建立安装前判断资产的边界。
- 读取 claim_graph_summary，确认事实来自 Claim/Evidence Graph，而不是 Human Wiki 叙事。
- 再读取 intended_users、capabilities 和 quick_start_candidates，判断用户是否匹配。
- 需要执行具体任务时，优先查 role_skill_index，再查 evidence_index。
- 遇到真实安装、文件修改、网络访问、性能或兼容性问题时，转入 risk_card 和 boundaries.runtime_required。

### 任务路由

- **多宿主安装与分发**：先说明这是安装后验证能力，再给出安装前检查清单。 边界：必须真实安装或运行后验证。 证据：`.claude-plugin/plugin.json` Claim：`clm_0001` supported 0.86
- **命令行启动或安装流程**：先说明这是安装后验证能力，再给出安装前检查清单。 边界：必须真实安装或运行后验证。 证据：`README.md` Claim：`clm_0002` supported 0.86

### 上下文规模

- 文件总数：33
- 重要文件覆盖：33/33
- 证据索引条目：32
- 角色 / Skill 条目：11

### 证据不足时的处理

- **missing_evidence**：说明证据不足，要求用户提供目标文件、README 段落或安装后验证记录；不要补全事实。
- **out_of_scope_request**：说明该任务超出当前 AI Context Pack 证据范围，并建议用户先查看 Human Manual 或真实安装后验证。
- **runtime_request**：给出安装前检查清单和命令来源，但不要替用户执行命令或声称已执行。
- **source_conflict**：同时展示冲突来源，标记为待核实，不要强行选择一个版本。

## Prompt Recipes

### 适配判断

- 目标：判断这个项目是否适合用户当前任务。
- 预期输出：适配结论、关键理由、证据引用、安装前可预览内容、必须安装后验证内容、下一步建议。

```text
请基于 willow-mcp 的 AI Context Pack，先问我 3 个必要问题，然后判断它是否适合我的任务。回答必须包含：适合谁、能做什么、不能做什么、是否值得安装、证据来自哪里。所有项目事实必须引用 evidence_refs、source_paths 或 claim_id。
```

### 安装前体验

- 目标：让用户在安装前感受核心工作流，同时避免把预览包装成真实能力或营销承诺。
- 预期输出：一段带边界标签的体验剧本、安装后验证清单和谨慎建议；不含真实运行承诺或强营销表述。

```text
请把 willow-mcp 当作安装前体验资产，而不是已安装工具或真实运行环境。

请严格输出四段：
1. 先问我 3 个必要问题。
2. 给出一段“体验剧本”：用 [安装前可预览]、[必须安装后验证]、[证据不足] 三种标签展示它可能如何引导工作流。
3. 给出安装后验证清单：列出哪些能力只有真实安装、真实宿主加载、真实项目运行后才能确认。
4. 给出谨慎建议：只能说“值得继续研究/试装”“先补充信息后再判断”或“不建议继续”，不得替项目背书。

硬性边界：
- 不要声称已经安装、运行、执行测试、修改文件或产生真实结果。
- 不要写“自动适配”“确保通过”“完美适配”“强烈建议安装”等承诺性表达。
- 如果描述安装后的工作方式，必须使用“如果安装成功且宿主正确加载 Skill，它可能会……”这种条件句。
- 体验剧本只能写成“示例台词/假设流程”：使用“可能会询问/可能会建议/可能会展示”，不要写“已写入、已生成、已通过、正在运行、正在生成”。
- Prompt Preview 不负责给安装命令；如用户准备试装，只能提示先阅读 Quick Start 和 Risk Card，并在隔离环境验证。
- 所有项目事实必须来自 supported claim、evidence_refs 或 source_paths；inferred/unverified 只能作风险或待确认项。

```

### 角色 / Skill 选择

- 目标：从项目里的角色或 Skill 中挑选最匹配的资产。
- 预期输出：候选角色或 Skill 列表，每项包含适用场景、证据路径、风险边界和是否需要安装后验证。

```text
请读取 role_skill_index，根据我的目标任务推荐 3-5 个最相关的角色或 Skill。每个推荐都要说明适用场景、可能输出、风险边界和 evidence_refs。
```

### 风险预检

- 目标：安装或引入前识别环境、权限、规则冲突和质量风险。
- 预期输出：环境、权限、依赖、许可、宿主冲突、质量风险和未知项的检查清单。

```text
请基于 risk_card、boundaries 和 quick_start_candidates，给我一份安装前风险预检清单。不要替我执行命令，只说明我应该检查什么、为什么检查、失败会有什么影响。
```

### 宿主 AI 开工指令

- 目标：把项目上下文转成一次对话开始前的宿主 AI 指令。
- 预期输出：一段边界明确、证据引用明确、适合复制给宿主 AI 的开工前指令。

```text
请基于 willow-mcp 的 AI Context Pack，生成一段我可以粘贴给宿主 AI 的开工前指令。这段指令必须遵守 not_runtime=true，不能声称项目已经安装、运行或产生真实结果。
```

## 角色 / Skill 索引

- 共索引 11 个角色 / Skill / 项目文档条目。

- **willow-mcp**（project_doc）：! PyPI https://img.shields.io/pypi/v/willow-mcp https://pypi.org/project/willow-mcp/ ! License: MIT https://img.shields.io/badge/License-MIT-yellow.svg LICENSE ! MCP https://img.shields.io/badge/MCP-1.0-blue https://modelcontextprotocol.io 激活提示：当用户需要理解项目结构、安装方式或边界时参考。 证据：`README.md`
- **Design: Schema Adaptation for External Data — Databases and Identity Claims**（project_doc）：Design: Schema Adaptation for External Data — Databases and Identity Claims 激活提示：当用户需要理解项目结构、安装方式或边界时参考。 证据：`docs/design/schema-adaptation.md`
- **Contributing**（project_doc）：Thanks for your interest in willow-mcp. This is a small, focused MCP server; contributions that keep it agent-neutral and fail-closed are welcome. 激活提示：当用户需要理解项目结构、安装方式或边界时参考。 证据：`CONTRIBUTING.md`
- **Changelog**（project_doc）：All notable changes to this project are documented here. The format is based on Keep a Changelog https://keepachangelog.com/en/1.1.0/ , and this project adheres to Semantic Versioning https://semver.org/spec/v2.0.0.html . 激活提示：当用户需要理解项目结构、安装方式或边界时参考。 证据：`CHANGELOG.md`
- **Security Audit — willow-mcp**（project_doc）：Part of Level 2 full-fleet security audit. willow-mcp — MCP server providing Store SQLite , Knowledge Postgres , and Tasks Kart integration to fleet agents via stdio transport. 激活提示：当用户需要理解项目结构、安装方式或边界时参考。 证据：`SECURITY_AUDIT.md`
- **willow-mcp — Bug Log**（project_doc）：A single running log of bugs found in willow-mcp, across all sessions. One row per bug. This is the durable record; FRANK ledger entries, GitHub issues, and SECURITY AUDIT.md are the source material it's backfilled from and links to. 激活提示：当用户需要理解项目结构、安装方式或边界时参考。 证据：`docs/BUGS.md`
- **schema-confirm**（project_doc）：Guided review and confirmation of a willow-mcp table's schema mapping before unlocking write tools for it 激活提示：当用户需要理解项目结构、安装方式或边界时参考。 证据：`skills/schema-confirm.md`
- **Design: Hooks and Skills Ship Alongside Tools, Not After**（project_doc）：Design: Hooks and Skills Ship Alongside Tools, Not After 激活提示：当用户需要理解项目结构、安装方式或边界时参考。 证据：`docs/design/hooks-and-skills.md`
- **Design: Productionize Kart into willow-mcp**（project_doc）：Design: Productionize Kart into willow-mcp 激活提示：当用户需要理解项目结构、安装方式或边界时参考。 证据：`docs/design/kart-productionization.md`
- **kart-tasks**（project_doc）：Guided use of willow-mcp's Kart task queue — submit/poll, the task net + allow net network model and its footguns, and the worker-liveness caveat 激活提示：当用户需要理解项目结构、安装方式或边界时参考。 证据：`skills/kart-tasks.md`
- **willow-serve**（project_doc）：Turn willow-mcp OAuth HTTP serve mode on or off on request, toggling both the systemd --user service and the .mcp.json client entry 激活提示：当用户需要理解项目结构、安装方式或边界时参考。 证据：`skills/willow-serve.md`

## 证据索引

- 共索引 32 条证据。

- **willow-mcp**（documentation）：! PyPI https://img.shields.io/pypi/v/willow-mcp https://pypi.org/project/willow-mcp/ ! License: MIT https://img.shields.io/badge/License-MIT-yellow.svg LICENSE ! MCP https://img.shields.io/badge/MCP-1.0-blue https://modelcontextprotocol.io 证据：`README.md`
- **Design: Schema Adaptation for External Data — Databases and Identity Claims**（documentation）：Design: Schema Adaptation for External Data — Databases and Identity Claims 证据：`docs/design/schema-adaptation.md`
- **Contributing**（documentation）：Thanks for your interest in willow-mcp. This is a small, focused MCP server; contributions that keep it agent-neutral and fail-closed are welcome. 证据：`CONTRIBUTING.md`
- **Plugin**（structured_config）：{ "name": "willow-mcp", "description": "Willow sovereign agent platform — SQLite store, Postgres knowledge base, Kart task queue, plus the hooks and skills that keep them used correctly.", "version": "2.0.0", "hooks": { "PreToolUse": { "matcher": "Bash", "hooks": { "type": "command", "command": "python3 ${CLAUDE PLUGIN ROOT}/hooks/pre tool use.py" } }, { "matcher": "task submit", "hooks": { "type": "command", "command": "python3 ${CLAUDE PLUGIN ROOT}/hooks/pre tool use.py" } } }, "skills": "skills/schema-confirm.md", "skills/willow-serve.md", "skills/kart-tasks.md" } 证据：`.claude-plugin/plugin.json`
- **License**（source_file）：Permission is hereby granted, free of charge, to any person obtaining a copy of this software and associated documentation files the "Software" , to deal in the Software without restriction, including without limitation the rights to use, copy, modify, merge, publish, distribute, sublicense, and/or sell copies of the Software, and to permit persons to whom the Software is furnished to do so, subject to the following conditions: 证据：`LICENSE`
- **Changelog**（documentation）：All notable changes to this project are documented here. The format is based on Keep a Changelog https://keepachangelog.com/en/1.1.0/ , and this project adheres to Semantic Versioning https://semver.org/spec/v2.0.0.html . 证据：`CHANGELOG.md`
- **Security Audit — willow-mcp**（documentation）：Part of Level 2 full-fleet security audit. willow-mcp — MCP server providing Store SQLite , Knowledge Postgres , and Tasks Kart integration to fleet agents via stdio transport. 证据：`SECURITY_AUDIT.md`
- **willow-mcp — Bug Log**（documentation）：A single running log of bugs found in willow-mcp, across all sessions. One row per bug. This is the durable record; FRANK ledger entries, GitHub issues, and SECURITY AUDIT.md are the source material it's backfilled from and links to. 证据：`docs/BUGS.md`
- **/schema-confirm**（documentation）：Walks through reviewing a willow-mcp table's schema mapping and confirming it schema confirm mapping — the write-path gate described in docs/design/schema-adaptation.md §3.4. Use this instead of calling schema confirm mapping directly with hand-written overrides. 证据：`skills/schema-confirm.md`
- **Design: Hooks and Skills Ship Alongside Tools, Not After**（documentation）：Design: Hooks and Skills Ship Alongside Tools, Not After 证据：`docs/design/hooks-and-skills.md`
- **Design: Productionize Kart into willow-mcp**（documentation）：Design: Productionize Kart into willow-mcp 证据：`docs/design/kart-productionization.md`
- **systemd --user unit template for willow-mcp OAuth HTTP serve mode.**（source_file）：systemd --user unit template for willow-mcp OAuth HTTP serve mode. Not used directly — scripts/willow-serve install fills in the @PLACEHOLDERS@ and writes the resolved unit to ~/.config/systemd/user/willow-mcp-serve.service. Unit Description=willow-mcp OAuth HTTP serve mode After=network-online.target Wants=network-online.target 证据：`deploy/willow-mcp-serve.service.template`
- **Kart network directives the willow-2.0 worker honors — matched exactly as the**（source_file）：CLIENT RE = re.compile r"\b psql psycopg2 sqlite3 \b" OWNED MARKER RE = re.compile ⋮---- TOOL REDIRECTS = { ⋮---- def check bash command: str - Optional str ⋮---- client = CLIENT RE.search command .group 1 ⋮---- Kart network directives the willow-2.0 worker honors — matched exactly as the worker does core/kart sandbox.py: line.strip == . task submit strips any caller-supplied occurrence unconditionally B-21 , so embedding one is a no-op; this guard tells the caller that before the call is made. ⋮---- Matches the bare tool name and the MCP-qualified form e.g. mcp willow-mcp task submit / mcp willow-mcp-serve task submit . 证据：`hooks/pre_tool_use.py`
- **Pyproject**（source_file）：build-system requires = "hatchling" build-backend = "hatchling.build" 证据：`pyproject.toml`
- **Mcp Entry Toggle**（source_file）：def toggle path: str, name: str, url: str, action: str - None ⋮---- cfg = json.load f servers = cfg.setdefault "mcpServers", {} ⋮---- def main argv - int 证据：`scripts/mcp_entry_toggle.py`
- **!/usr/bin/env bash**（source_file）：!/usr/bin/env bash willow-serve — turn willow-mcp OAuth serve mode on/off at will. Manages a systemd --user unit for the --serve HTTP process AND toggles the matching http entry in this repo's .mcp.json, so the client connects only when serve is on. No hand-editing of config, no code change per toggle. willow-serve install one-time: write + load the systemd user unit willow-serve on start serve + add the .mcp.json entry then /mcp willow-serve off stop serve + remove the .mcp.json entry then /mcp willow-serve status unit state + whether the entry is present willow-serve logs follow the serve process logs journalctl Port/host come from WILLOW MCP PORT / WILLOW MCP HOST defaults 8766 / 127.0.0… 证据：`scripts/willow-serve`
- **Init**（source_file）：version = "2.0.0" 证据：`src/willow_mcp/__init__.py`
- **Db**（source_file）：pg conn = None pg lock = threading.Lock ⋮---- COLLECTION RE = re.compile r"^ A-Za-z0-9 \- {1,128}$" ⋮---- def validate collection collection: str - str ⋮---- def get pg - Optional psycopg2.extensions.connection ⋮---- """Return a Postgres connection via Unix socket, or None.""" ⋮---- pg conn = psycopg2.connect ⋮---- SCHEMA = """ ⋮---- def action for deviation: float - str ⋮---- class Store ⋮---- def init self, store root: Optional str = None ⋮---- def conn self, collection: str - sqlite3.Connection ⋮---- db path = self.root / collection / "store.db" ⋮---- conn = sqlite3.connect str db path , check same thread=False ⋮---- rid = record id or str uuid.uuid4 :8 .lower action = action for deviati… 证据：`src/willow_mcp/db.py`
- **Permission groups — named bundles that expand to sets of tool names.**（source_file）：logger = logging.getLogger name ⋮---- APP ID RE = re.compile r"^ a-zA-Z0-9 \- {1,64}$" ⋮---- def apps root - Path ⋮---- home = Path os.environ.get "WILLOW HOME", Path.home / ".willow" ⋮---- def validate app id app id: str - str ⋮---- Permission groups — named bundles that expand to sets of tool names. An app manifest lists group names and/or literal tool names in "permissions". PERMISSION GROUPS: dict str, frozenset = { ⋮---- NET PERMISSION = "task net" ⋮---- def load manifest app id: str - Optional dict ⋮---- root = apps root manifest path = root / app id / "manifest.json" ⋮---- def authorized app id: str - bool ⋮---- app id = validate app id app id ⋮---- def permitted app id: str, tool na… 证据：`src/willow_mcp/gate.py`
- **Subject/issuer values come from a verified IdP Google tokeninfo / Apple JWT ,**（source_file）：def write json atomic path: Path, record: dict - None ⋮---- tmp = path.with suffix path.suffix + f".tmp-{os.getpid }" ⋮---- Subject/issuer values come from a verified IdP Google tokeninfo / Apple JWT , not raw user input, but they still become filesystem path components here — refuse anything that isn't a plain token before touching the filesystem. TOKEN RE = re.compile r"^ A-Za-z0-9 .\-: {1,256}$" ⋮---- def bindings root - Path ⋮---- home = Path os.environ.get "WILLOW HOME", Path.home / ".willow" root = Path os.environ.get "WILLOW MCP APPS ROOT", home / "mcp apps" / " identity bindings" ⋮---- def safe token value: str, label: str - str ⋮---- def binding path issuer: str, subject id: str -… 证据：`src/willow_mcp/identity_binding.py`
- **── Apple ───────────────────────────────────────────────────────────**（source_file）：ACCESS TTL = 30 86400 CODE TTL = 300 REFRESH TTL = 30 86400 ⋮---- def tok - str ⋮---- class GroveOAuthProvider ⋮---- def init self, token path: Path, base url: str - None ⋮---- def load state self - dict ⋮---- def save state self - None ⋮---- tmp = self. token path.with suffix self. token path.suffix + f".tmp-{os.getpid }" ⋮---- def prune expired self - None ⋮---- """Drop expired codes/tokens so a long-running serve-mode process doesn't accumulate dead entries forever — previously these were only ever removed lazily, if that exact code/token happened to be looked up again after expiring.""" now = time.time ⋮---- exp = data.get "expires at" ⋮---- def pop pending self, key: str ⋮---- code str… 证据：`src/willow_mcp/oauth.py`
- **Receipts**（source_file）：SCHEMA = """ ⋮---- class ReceiptLog ⋮---- def init self, db path: Optional str = None ⋮---- def record self, app id: str, tool: str, outcome: str, detail: Optional str = None - None ⋮---- ts = datetime.now timezone.utc .isoformat ⋮---- def tail self, app id: str, limit: int = 20 - list dict ⋮---- limit = max 1, min int limit , 200 ⋮---- rows = self. conn.execute 证据：`src/willow_mcp/receipts.py`
- **Safe Integration**（source_file）：def tools registered - int ⋮---- def status - dict ⋮---- pg = get pg 证据：`src/willow_mcp/safe_integration.py`
- **Schema Profile**（source_file）：SCHEMA VERSION = 1 ⋮---- CANONICAL ALIASES: dict str, tuple str, ... = { ⋮---- TEXT CAST TYPES = frozenset {"jsonb", "json"} ⋮---- COLLECTION SAFE RE = re.compile r"^ A-Za-z0-9 \- {1,128}$" ⋮---- @dataclass frozen=True class ColumnInfo ⋮---- name: str data type: str ⋮---- def introspect conn, table: str - list ColumnInfo ⋮---- """Query information schema for a table's real columns. Empty list means the table doesn't exist or is empty of columns, which is equivalent for our purposes — callers must treat that as table not found, not as "every field unmapped.".""" cur = conn.cursor ⋮---- rows = cur.fetchall ⋮---- def propose mapping columns: list ColumnInfo , canonical fields: list str - dict… 证据：`src/willow_mcp/schema_profile.py`
- **── Schema-adapted knowledge reads docs/design/schema-adaptation.md §9 step 2 ─**（source_file）：store = Store receipt log = ReceiptLog ⋮---- def argv opt flag: str - Optional str ⋮---- PORT = int argv opt "--port" or os.getenv "WILLOW MCP PORT", "8765" HOST = argv opt "--host" or os.getenv "WILLOW MCP HOST", "127.0.0.1" DEFAULT APP ID = os.environ.get "WILLOW APP ID", "" ⋮---- SERVE MODE = "--serve" in sys.argv ⋮---- BASE URL ENV = os.getenv "WILLOW MCP URL" or "" .strip .rstrip "/" BASE URL = BASE URL ENV if BASE URL ENV else f"http://{ HOST}:{ PORT}" ⋮---- common kwargs: dict str, Any = dict ⋮---- vault = default vault willow home = pathlib.Path os.environ.get "WILLOW HOME", pathlib.Path.home / ".willow" auth provider = WillowOAuthProvider mcp = FastMCP ⋮---- mcp = FastMCP "willow-m… 证据：`src/willow_mcp/server.py`
- **Vault**（source_file）：def willow home - Path ⋮---- class Vault ⋮---- home = willow home ⋮---- def init self - None ⋮---- fd = os.open str self. key path , os.O WRONLY os.O CREAT os.O TRUNC, 0o600 ⋮---- conn = sqlite3.connect str self. vault ⋮---- def get fernet self - Fernet ⋮---- def write self, name: str, value: str - None ⋮---- encrypted = self. get fernet .encrypt value.encode ⋮---- def read self, name: str - str None ⋮---- row = conn.execute ⋮---- def has self, name: str - bool ⋮---- def list keys self - list str ⋮---- rows = conn.execute "SELECT name FROM secrets ORDER BY name" .fetchall ⋮---- def default vault - "Vault" ⋮---- v = Vault ⋮---- db exists = home / "vault.db" .exists key exists = home / "vault… 证据：`src/willow_mcp/vault.py`
- **/kart-tasks**（documentation）：Walks through using willow-mcp's sandboxed task queue task submit , task status , task list , fleet health correctly — including the two things that most easily go wrong: assuming a submitted task will run , and mishandling the network permission . 证据：`skills/kart-tasks.md`
- **/willow-serve**（documentation）：Turns willow-mcp's OAuth serve mode on or off without hand-editing config. Wraps scripts/willow-serve , which manages a systemd --user service for the --serve process and adds/removes the matching http entry in .mcp.json so the MCP client connects only while serve is on. 证据：`skills/willow-serve.md`
- **Mcp**（structured_config）：{ "mcpServers": { "willow-mcp": { "type": "stdio", "command": ".venv/bin/python3", "args": "-m", "willow mcp" }, "codebase-memory-mcp": { "type": "stdio", "command": "codebase-memory-mcp", "args": } } } 证据：`.cursor/mcp.json`
- **.Mcp**（structured_config）：{ "mcpServers": { "willow-mcp": { "type": "stdio", "command": ".venv/bin/python3", "args": "-m", "willow mcp" }, "codebase-memory-mcp": { "type": "stdio", "command": "codebase-memory-mcp", "args": } } } 证据：`.mcp.json`
- **.gitignore**（source_file）：pycache / .py cod .egg-info/ dist/ build/ logs/ .log .env .venv/ 证据：`.gitignore`
- **Install build deps for psycopg2-binary**（source_file）：Install build deps for psycopg2-binary RUN apt-get update && apt-get install -y --no-install-recommends \ gcc libpq-dev && \ rm -rf /var/lib/apt/lists/ 证据：`Dockerfile`

## 宿主 AI 必须遵守的规则

- **把本资产当作开工前上下文，而不是运行环境。**：AI Context Pack 只包含证据化项目理解，不包含目标项目的可执行状态。 证据：`README.md`, `docs/design/schema-adaptation.md`, `CONTRIBUTING.md`
- **回答用户时区分可预览内容与必须安装后才能验证的内容。**：安装前体验的消费者价值来自降低误装和误判，而不是伪装成真实运行。 证据：`README.md`, `docs/design/schema-adaptation.md`, `CONTRIBUTING.md`

## 用户开工前应该回答的问题

- 你准备在哪个宿主 AI 或本地环境中使用它？
- 你只是想先体验工作流，还是准备真实安装？
- 你最在意的是安装成本、输出质量、还是和现有规则的冲突？

## 验收标准

- 所有能力声明都能回指到 evidence_refs 中的文件路径。
- AI_CONTEXT_PACK.md 没有把预览包装成真实运行。
- 用户能在 3 分钟内看懂适合谁、能做什么、如何开始和风险边界。

---

## Doramagic Context Augmentation

下面内容用于强化 Repomix/AI Context Pack 主体。Human Manual 只提供阅读骨架；踩坑日志会被转成宿主 AI 必须遵守的工作约束。

## Human Manual 骨架

使用规则：这里只是项目阅读路线和显著性信号，不是事实权威。具体事实仍必须回到 repo evidence / Claim Graph。

宿主 AI 硬性规则：
- 不得把页标题、章节顺序、摘要或 importance 当作项目事实证据。
- 解释 Human Manual 骨架时，必须明确说它只是阅读路线/显著性信号。
- 能力、安装、兼容性、运行状态和风险判断必须引用 repo evidence、source path 或 Claim Graph。

- **概述与系统架构**：importance `high`
  - source_paths: README.md, src/willow_mcp/__init__.py, src/willow_mcp/__main__.py, src/willow_mcp/server.py, pyproject.toml
- **存储后端与数据管理**：importance `high`
  - source_paths: src/willow_mcp/db.py, src/willow_mcp/schema_profile.py, docs/design/schema-adaptation.md, skills/schema-confirm.md
- **授权、身份与安全**：importance `high`
  - source_paths: src/willow_mcp/gate.py, src/willow_mcp/oauth.py, src/willow_mcp/identity_binding.py, src/willow_mcp/vault.py, src/willow_mcp/receipts.py
- **任务执行、钩子与运维**：importance `high`
  - source_paths: src/willow_mcp/safe_integration.py, hooks/pre_tool_use.py, scripts/willow-serve, scripts/mcp_entry_toggle.py, deploy/willow-mcp-serve.service.template

## Repo Inspection Evidence / 源码检查证据

- repo_clone_verified: true
- repo_inspection_verified: true
- repo_commit: `842fc0626c6490585dd1d2239124c325d085ae51`
- inspected_files: `Dockerfile`, `README.md`, `pyproject.toml`, `docs/BUGS.md`, `docs/design/hooks-and-skills.md`, `docs/design/kart-productionization.md`, `docs/design/schema-adaptation.md`, `src/willow_mcp/__init__.py`, `src/willow_mcp/__main__.py`, `src/willow_mcp/db.py`, `src/willow_mcp/gate.py`, `src/willow_mcp/identity_binding.py`, `src/willow_mcp/oauth.py`, `src/willow_mcp/receipts.py`, `src/willow_mcp/safe_integration.py`, `src/willow_mcp/schema_profile.py`, `src/willow_mcp/server.py`, `src/willow_mcp/vault.py`

宿主 AI 硬性规则：
- 没有 repo_clone_verified=true 时，不得声称已经读过源码。
- 没有 repo_inspection_verified=true 时，不得把 README/docs/package 文件判断写成事实。
- 没有 quick_start_verified=true 时，不得声称 Quick Start 已跑通。

## Doramagic Pitfall Constraints / 踩坑约束

这些规则来自 Doramagic 发现、验证或编译过程中的项目专属坑点。宿主 AI 必须把它们当作工作约束，而不是普通说明文字。

### Constraint 1: 可能修改宿主 AI 配置

- Trigger: 项目面向 Claude/Cursor/Codex/Gemini/OpenCode 等宿主，或安装命令涉及用户配置目录。
- Host AI rule: 列出会写入的配置文件、目录和卸载/回滚步骤。
- Why it matters: 安装可能改变本机 AI 工具行为，用户需要知道写入位置和回滚方法。
- Evidence: capability.host_targets | https://github.com/rudi193-cmd/willow-mcp | host_targets=mcp_host, claude_code, claude, cursor
- Hard boundary: 不要把这个坑点包装成已解决、已验证或可忽略，除非后续验证证据明确证明它已经关闭。

### Constraint 2: 能力判断依赖假设

- Trigger: README/documentation is current enough for a first validation pass.
- Host AI rule: 将假设转成下游验证清单。
- Why it matters: 假设不成立时，用户拿不到承诺的能力。
- Evidence: capability.assumptions | https://github.com/rudi193-cmd/willow-mcp | README/documentation is current enough for a first validation pass.
- Hard boundary: 不要把这个坑点包装成已解决、已验证或可忽略，除非后续验证证据明确证明它已经关闭。

### Constraint 3: 维护活跃度未知

- Trigger: 未记录 last_activity_observed。
- Host AI rule: 补 GitHub 最近 commit、release、issue/PR 响应信号。
- Why it matters: 新项目、停更项目和活跃项目会被混在一起，推荐信任度下降。
- Evidence: evidence.maintainer_signals | https://github.com/rudi193-cmd/willow-mcp | last_activity_observed missing
- Hard boundary: 不要把这个坑点包装成已解决、已验证或可忽略，除非后续验证证据明确证明它已经关闭。

- Trigger: no_demo
- Evidence: downstream_validation.risk_items | https://github.com/rudi193-cmd/willow-mcp | no_demo; severity=medium
- Hard boundary: 不要把这个坑点包装成已解决、已验证或可忽略，除非后续验证证据明确证明它已经关闭。

### Constraint 5: 存在评分风险

- Trigger: no_demo
- Why it matters: 风险会影响是否适合普通用户安装。
- Evidence: risks.scoring_risks | https://github.com/rudi193-cmd/willow-mcp | no_demo; severity=medium
- Hard boundary: 不要把这个坑点包装成已解决、已验证或可忽略，除非后续验证证据明确证明它已经关闭。

### Constraint 6: 来源证据：knowledge mapping confirmed on name-match: content column is metadata JSON, title/summary never surface

- Trigger: GitHub 社区证据显示该项目存在一个安全/权限相关的待验证问题：knowledge mapping confirmed on name-match: content column is metadata JSON, title/summary never surface
- Host AI rule: 来源显示可能已有修复、规避或版本变化，说明书中必须标注适用版本。
- Why it matters: 可能影响授权、密钥配置或安全边界。
- Evidence: community_evidence:github | https://github.com/rudi193-cmd/willow-mcp/issues/20 | 来源类型 github_issue 暴露的待验证使用条件。
- Hard boundary: 不要把这个坑点包装成已解决、已验证或可忽略，除非后续验证证据明确证明它已经关闭。

### Constraint 7: issue/PR 响应质量未知

- Trigger: issue_or_pr_quality=unknown。
- Host AI rule: 抽样最近 issue/PR，判断是否长期无人处理。
- Why it matters: 用户无法判断遇到问题后是否有人维护。
- Evidence: evidence.maintainer_signals | https://github.com/rudi193-cmd/willow-mcp | issue_or_pr_quality=unknown
- Hard boundary: 不要把这个坑点包装成已解决、已验证或可忽略，除非后续验证证据明确证明它已经关闭。

### Constraint 8: 发布节奏不明确

- Trigger: release_recency=unknown。
- Host AI rule: 确认最近 release/tag 和 README 安装命令是否一致。
- Why it matters: 安装命令和文档可能落后于代码，用户踩坑概率升高。
- Evidence: evidence.maintainer_signals | https://github.com/rudi193-cmd/willow-mcp | release_recency=unknown
- Hard boundary: 不要把这个坑点包装成已解决、已验证或可忽略，除非后续验证证据明确证明它已经关闭。
