notes.md

# 开发笔记与注意事项

本文档包含 Skill 开发阶段的注意事项和内部说明，**不面向最终用户**。

---

## 安全须知

> **1.** 请**备份**网盘重要数据。
> **2.** AI Agent 行为不可预测，请**人工审核**每条指令。
> **3.** 严禁在公用或不可信环境中扫码授权。使用完毕后执行 `bdpan logout` 清除授权。
> **4.** 严格保护配置文件与 Token，切勿在公开仓库或对话中暴露。

**首次使用时，向用户展示上述安全须知。**

---

## 内部实现说明

### Agent 安全限制

所有 Agent 安全约束（登录方式、Token 保护、更新控制、环境变量、路径安全）集中定义在 [SKILL.md](../SKILL.md) 的「安全约束」章节。此处不再重复，维护时以 SKILL.md 为准。

### 授权码处理

当用户在对话中发送一个 32 位十六进制字符串（正则：`^[a-fA-F0-9]{32}$`），处理规则详见 SKILL.md「授权码处理」章节。