feat: expose codex review sandbox search governance

README.md

@@ -93,6 +93,7 @@
 - 当前 App Server heartbeat discovery 已新增账号与配置治理能力摘要，设备详情页会展示“账号治理 / 配置治理”；该摘要只来自 runner 安全 catalog 和协议快照证明，不会在 heartbeat 中调用 `account/login/* / account/logout / config/* / skills/config/write` 等写操作。
 - 当前 App Server heartbeat discovery 已新增文件系统与命令会话治理能力摘要，设备详情页会展示“文件治理 / 命令会话”；该摘要只来自 runner 安全 catalog 和协议快照证明，不会在 heartbeat 中调用 `fs/*`、`command/exec/write`、`command/exec/terminate` 等读写或命令控制 API。
 - 当前 App Server heartbeat discovery 已新增外部 Agent 迁移、Marketplace 和实验特性治理能力摘要，设备详情页会展示“迁移治理 / 市场治理 / 实验特性治理”；该摘要只来自 runner 安全 catalog 和协议快照证明，不会在 heartbeat 中调用 `externalAgentConfig/import`、`marketplace/*` 或 `experimentalFeature/enablement/set` 等写操作。
+- 当前 App Server heartbeat discovery 已新增审查、Windows 沙箱和文件搜索事件能力摘要，设备详情页会展示“审查治理 / Windows 沙箱 / 文件搜索事件”；该摘要只来自 runner 安全 catalog 和协议快照证明，不会在 heartbeat 中调用 `review/start`、`windowsSandbox/setupStart` 等动作。
 - `GET http://127.0.0.1:4317/api/v1/skills` 正常，已返回本机扫描到的 Codex Skill
 - `POST http://127.0.0.1:4317/api/v1/heartbeat` 正常，且会顺带触发 `thread-context` 上报
 - `local-agent` 当前每 5 秒轮询一次本机 Skill lifecycle 请求；默认打开 `skillLifecycleEnabled=true`。远程 `install` 或带 `sourceUrl` 的更新必须命中 `skillLifecycleAllowedSources` 或 `skillLifecycleTrustedSources`，为空时只允许既有本地 Skill 的 `update / rollback / uninstall / version_lock`；请求携带 `checksum / expectedChecksum` 时会校验 `manifest.json` 或 `SKILL.md` 的 sha256，失败会清理半安装目录或尽量恢复备份。卸载 / 更新 / 回滚前会在 `skillsDir/.boss-skill-backups` 保留备份，卸载仍限制在 `skillsDir` 目录内，版本锁写入 `.boss-skill-locks.json`

docs/architecture/ai_handoff_index_cn.md

@@ -153,12 +153,13 @@
 - Web 和原生 Android 当前都已经接上“新设备导入草稿 -> 勾选 -> 决议预览 -> 应用导入”的前台页面；已绑定生产设备继续保留 heartbeat 自动导入链路
 - 原生首页的刷新失败策略当前已改成按当前 tab 独立判错，不会再因为 `设备 / 设置 / OTA` 的旁路请求失败把会话页刷新一并判成失败
 - 当前量产方向已经明确为“Boss 企业控制面 + 可插拔执行协议”：多租户、权限、审批、审计、备份、回退和 Skill 治理由 Boss 承担，Codex App Server / Codex MCP / Codex CLI / Computer Use / 业务系统 API 都作为 provider 接入；详见 `docs/architecture/enterprise_ai_ops_architecture_cn.md`
-- 当前 Codex App Server 已完成二十三批接入：boss-agent 默认开启 `local-agent/codex-app-server-runner.mjs` 作为 Codex 绑定入口，优先走 `codex app-server` stdio，也可灰度连接 `ws://127.0.0.1:<port>` 或 `unix://PATH` 同机长驻 App Server；长驻连接支持 `Authorization: Bearer <token>`，配置上优先使用 `codexAppServerAuthTokenFile`。turn 启动前失败才回退 CLI，turn 启动后不重复执行；桌面远程控制默认先走 `codex-computer-use`，失败后回退 `cua-driver-computer-use`。2026-06-03 已按本机 `codex-cli 0.136.0-alpha.2` 生成协议快照 `docs/protocol-snapshots/codex-app-server/0.136.0-alpha.2/`，并把 `turn/plan/updated`、`turn/diff/updated`、`item/started|completed`、`thread/started`、`item/*/requestApproval`、`item/autoApprovalReview/*`、`guardianWarning`、`serverRequest/resolved`、`item/fileChange/patchUpdated`、`thread/status/changed`、`thread/realtime/*`、`model/rerouted`、`thread/tokenUsage/updated`、`mcpServer/startupStatus/updated`、`remoteControl/status/changed`、`windowsSandbox/setupCompleted`、`thread/goal/*`、`thread/settings/updated`、`thread/compacted`、`account/updated`、`account/rateLimits/updated`、`model/verification`、`warning`、`configWarning`、`deprecationNotice`、`ThreadItem.collabToolCall`、`ThreadItem.contextCompaction`、`mcpToolCall`、`dynamicToolCall`、`webSearch`、`imageView`、`imageGeneration`、`hook/started|completed`、`enteredReviewMode`、`exitedReviewMode`、`commandExecution`、`ThreadItem.plan`、`ThreadItem.reasoning.summary` 归一到 Boss `execution_progress` 卡片；realtime 只保留状态、文本摘要和计数，运行状态只保留模型切换、上下文用量、MCP 状态、远控连接摘要和 Windows 沙箱准备状态，线程配置只保留目标、模型、审批、沙箱、协作模式和压缩状态，线程协作只保留工具名、状态、目标类型、目标数量和智能体状态集合，工具活动只保留类型、名称、状态和安全摘要，图像生成只保留状态与安全文件名，钩子生命周期只保留事件名、处理器类型、状态、来源、执行模式和耗时，思考摘要只保留官方 summary 文本和状态，账号状态只保留认证方式、套餐、额度窗口、积分余额和模型校验摘要，不保存 SDP、音频原始数据、raw item、remote installationId、cwd、turnId、配置文件路径、collab 源/目标线程 ID、collab receiverThreadIds、collab prompt、agentsStates 私有消息、共享 Skill 根绝对路径、hook key/command/sourcePath/statusMessage/hash/error message、tool arguments/result/contentItems、web URL token、命令正文/输出、raw reasoning content、reasoning item id、imageGeneration revisedPrompt/result、hook sourcePath/statusMessage/entries、Windows sandbox sourcePath/samplePaths/本地绝对路径或未清洗密钥。heartbeat 已能缓存 `model/list / skills/list / skills/extraRoots/set / hooks/list / plugin/list / app/list / modelProvider/capabilities/read / experimentalFeature/list / collaborationMode/list / permissionProfile/list / mcpServerStatus/list / account/read / account/rateLimits/read / config/read / configRequirements/read / externalAgentConfig/detect / thread/list / thread/loaded/list / thread/turns/list` 的能力摘要；同批已补 `turn/steer` 活跃 turn 干预和 `POST /api/v1/projects/[projectId]/thread-collaboration` 服务端线程协作排队入口。MCP、权限、账号、配置、外部 Agent、线程、turn、Hook 和 Skill extra roots discovery 只保留安全摘要，不保存 resource URI、权限文件规则、工具参数、邮箱、完整 config、本地路径、迁移描述、turn id、turn items、用户正文、模型输出、hook 命令、共享 Skill 根绝对路径或 token。
+- 当前 Codex App Server 已完成二十四批接入：boss-agent 默认开启 `local-agent/codex-app-server-runner.mjs` 作为 Codex 绑定入口，优先走 `codex app-server` stdio，也可灰度连接 `ws://127.0.0.1:<port>` 或 `unix://PATH` 同机长驻 App Server；长驻连接支持 `Authorization: Bearer <token>`，配置上优先使用 `codexAppServerAuthTokenFile`。turn 启动前失败才回退 CLI，turn 启动后不重复执行；桌面远程控制默认先走 `codex-computer-use`，失败后回退 `cua-driver-computer-use`。2026-06-03 已按本机 `codex-cli 0.136.0-alpha.2` 生成协议快照 `docs/protocol-snapshots/codex-app-server/0.136.0-alpha.2/`，并把 `turn/plan/updated`、`turn/diff/updated`、`item/started|completed`、`thread/started`、`item/*/requestApproval`、`item/autoApprovalReview/*`、`guardianWarning`、`serverRequest/resolved`、`item/fileChange/patchUpdated`、`thread/status/changed`、`thread/realtime/*`、`model/rerouted`、`thread/tokenUsage/updated`、`mcpServer/startupStatus/updated`、`remoteControl/status/changed`、`windowsSandbox/setupCompleted`、`thread/goal/*`、`thread/settings/updated`、`thread/compacted`、`account/updated`、`account/rateLimits/updated`、`model/verification`、`warning`、`configWarning`、`deprecationNotice`、`ThreadItem.collabToolCall`、`ThreadItem.contextCompaction`、`mcpToolCall`、`dynamicToolCall`、`webSearch`、`imageView`、`imageGeneration`、`hook/started|completed`、`enteredReviewMode`、`exitedReviewMode`、`commandExecution`、`ThreadItem.plan`、`ThreadItem.reasoning.summary` 归一到 Boss `execution_progress` 卡片；realtime 只保留状态、文本摘要和计数，运行状态只保留模型切换、上下文用量、MCP 状态、远控连接摘要和 Windows 沙箱准备状态，线程配置只保留目标、模型、审批、沙箱、协作模式和压缩状态，线程协作只保留工具名、状态、目标类型、目标数量和智能体状态集合，工具活动只保留类型、名称、状态和安全摘要，图像生成只保留状态与安全文件名，钩子生命周期只保留事件名、处理器类型、状态、来源、执行模式和耗时，思考摘要只保留官方 summary 文本和状态，账号状态只保留认证方式、套餐、额度窗口、积分余额和模型校验摘要，不保存 SDP、音频原始数据、raw item、remote installationId、cwd、turnId、配置文件路径、collab 源/目标线程 ID、collab receiverThreadIds、collab prompt、agentsStates 私有消息、共享 Skill 根绝对路径、hook key/command/sourcePath/statusMessage/hash/error message、tool arguments/result/contentItems、web URL token、命令正文/输出、raw reasoning content、reasoning item id、imageGeneration revisedPrompt/result、hook sourcePath/statusMessage/entries、Windows sandbox sourcePath/samplePaths/本地绝对路径或未清洗密钥。heartbeat 已能缓存 `model/list / skills/list / skills/extraRoots/set / hooks/list / plugin/list / app/list / modelProvider/capabilities/read / experimentalFeature/list / collaborationMode/list / permissionProfile/list / mcpServerStatus/list / account/read / account/rateLimits/read / config/read / configRequirements/read / externalAgentConfig/detect / thread/list / thread/loaded/list / thread/turns/list` 的能力摘要；同批已补 `turn/steer` 活跃 turn 干预和 `POST /api/v1/projects/[projectId]/thread-collaboration` 服务端线程协作排队入口。MCP、权限、账号、配置、外部 Agent、线程、turn、Hook 和 Skill extra roots discovery 只保留安全摘要，不保存 resource URI、权限文件规则、工具参数、邮箱、完整 config、本地路径、迁移描述、turn id、turn items、用户正文、模型输出、hook 命令、共享 Skill 根绝对路径或 token。
 - 第十九批另补 `threadActionSummary` 线程操作能力摘要：设备详情页会显示 archive / unarchive / fork / compact / rollback / rename / metadata / steer / interrupt / shell / unsubscribe 等能力分组；该字段只读，不在 heartbeat 中调用任何会改变线程状态的 App Server API。
 - 第二十批另补 `pluginGovernanceSummary` 插件治理能力摘要：设备详情页会显示 install / uninstall / read / skill-read / share 等能力分组；该字段只读，不在 heartbeat 中调用任何插件安装、卸载或共享写 API。
 - 第二十一批另补 `accountGovernanceSummary / configGovernanceSummary` 账号与配置治理能力摘要：设备详情页会显示 login / logout / token refresh / add credits nudge / config write / MCP reload / Skill config write 等能力分组；这些字段只读，不在 heartbeat 中调用任何账号或配置写 API。
 - 第二十二批另补 `fileSystemGovernanceSummary / commandSessionSummary` 文件系统与命令会话治理能力摘要：设备详情页会显示 file read/write/remove/watch 与 command stdin / resize / terminate / stream 等能力分组；这些字段只读，不在 heartbeat 中调用任何文件读写或命令控制 API。
 - 第二十三批另补 `externalAgentGovernanceSummary / marketplaceGovernanceSummary / experimentalFeatureGovernanceSummary` 外部 Agent 迁移、Marketplace 和实验特性治理能力摘要：设备详情页会显示 external-agent import、marketplace add/remove/upgrade 和 experimental feature enablement 等能力分组；这些字段只读，不在 heartbeat 中调用任何迁移导入、marketplace 写入或实验特性启用 API。
+- 第二十四批另补 `reviewGovernanceSummary / windowsSandboxGovernanceSummary / fuzzyFileSearchSummary` 审查、Windows 沙箱和文件搜索事件能力摘要：设备详情页会显示 review start、Windows sandbox readiness/setup 和 fuzzy file search updated/completed 等能力分组；这些字段只读，不在 heartbeat 中调用任何审查启动、沙箱设置或文件搜索动作。
 - 当前 boss-agent 已支持 Mac OTA：`local-agent/boss-agent-ota-runner.mjs` 默认开启，每 5 分钟检查服务端最新包；状态页可手动检查或下载并安装，安装时保留原绑定配置，只更新版本号和本机 runtime 路径。最新验证版本为 `20260516221619`，已在 MacBook Air `macbook-air` 上确认 OTA 下载校验、暂存、覆盖安装后不会误切到默认 `config.cloud.json`。正式分发脚本已预留 Developer ID 公证路径：`BOSS_AGENT_NOTARIZE=1` 配合 notary profile 或 Apple ID 凭据。
 - 当前量产治理已补设备撤权和任务可靠性底座：`revoke_device` 会清空设备 token、标记离线并阻断 heartbeat / 任务认领 / Skill 同步 / 日志上报 / boss-agent OTA；`MasterAgentTask` claim 会记录 attempt 和 lease，运行中任务可按租约重试，超过上限转 `timed_out`，用户或管理员可通过 cancel 接口转 `canceled` 且迟到 complete 不覆盖终态。
 - 当前群聊 `dispatch_execution` 完成回写已补幂等，重复完成不会再向群聊重复追加结果

docs/architecture/api_and_service_inventory_cn.md

@@ -127,6 +127,7 @@
 - App Server heartbeat discovery 现在还会写入 `capabilities.codexAppServer.metadata.accountGovernanceSummary / configGovernanceSummary`。这些字段用于 APP/后台展示当前协议下可接入的账号与配置治理动作数量和分组，覆盖 login / logout / token refresh / add credits nudge / config write / MCP reload / Skill config write；它们只来自 runner 安全 catalog 和协议快照，不会在 heartbeat 中调用账号或配置写操作。
 - App Server heartbeat discovery 现在还会写入 `capabilities.codexAppServer.metadata.fileSystemGovernanceSummary / commandSessionSummary`。这些字段用于 APP/后台展示当前协议下可接入的文件系统与命令会话动作数量和分组，覆盖 file read/write/remove/watch 以及 command stdin / resize / terminate / stream；它们只来自 runner 安全 catalog 和协议快照，不会在 heartbeat 中调用文件读写或命令控制操作。
 - App Server heartbeat discovery 现在还会写入 `capabilities.codexAppServer.metadata.externalAgentGovernanceSummary / marketplaceGovernanceSummary / experimentalFeatureGovernanceSummary`。这些字段用于 APP/后台展示当前协议下可接入的外部 Agent 迁移、Marketplace 和实验特性治理动作数量和分组，覆盖 external-agent import、marketplace add/remove/upgrade 和 experimental feature enablement；它们只来自 runner 安全 catalog 和协议快照，不会在 heartbeat 中调用迁移导入、marketplace 写入或实验特性启用操作。
+- App Server heartbeat discovery 现在还会写入 `capabilities.codexAppServer.metadata.reviewGovernanceSummary / windowsSandboxGovernanceSummary / fuzzyFileSearchSummary`。这些字段用于 APP/后台展示当前协议下可接入的审查、Windows 沙箱和文件搜索事件能力，覆盖 review start、Windows sandbox readiness/setup 和 fuzzy file search updated/completed；它们只来自 runner 安全 catalog 和协议快照，不会在 heartbeat 中调用审查启动、沙箱设置或文件搜索动作。
 - App Server heartbeat discovery 现在支持 `skills/extraRoots/set`：配置 `codexAppServerSkillExtraRoots` 或环境变量 `BOSS_CODEX_APP_SERVER_SKILL_EXTRA_ROOTS` 后，runner 会先把共享 Skill 根下发给 App Server，再刷新 `skills/list`，并写入 `capabilities.codexAppServer.metadata.skillExtraRootsSummary`。该字段用于 APP/后台展示企业共享 Skill 根是否已下发；只保留数量、basename 和状态，不保存根目录绝对路径、Skill 文件路径或配置原文。
 - App Server heartbeat discovery 现在支持 `hooks/list`，写入 `capabilities.codexAppServer.metadata.hookSummary`。该字段用于 APP/后台展示本机 Codex hook 治理状态；只保留 workspace 数、hook 数、启用数、受管 / 可信 / 修改 / 未信任计数、warning / error 计数和事件 / handler 类型，不保存 hook key、command、sourcePath、statusMessage、hash、error message 或本地路径。
 - 当前 Codex App Server runner 已新增第一版 Boss Inter-Thread Broker：任务携带 `intentCategory=thread_collaboration`、`sourceCodexThreadRef` 和 `targetCodexThreadRef` 时，会先 `thread/read` 源线程，再通过 `thread/inject_items` 向目标线程注入受控摘要，最后 `turn/start` 目标线程；服务端入口是 `POST /api/v1/projects/[projectId]/thread-collaboration`，负责权限、源/目标线程校验和任务排队。这不是假设官方线程 P2P，而是 Boss 自己做线程协作编排。

docs/architecture/codex_server_progress_card_cn.md

@@ -20,7 +20,7 @@ Boss 不能直接把 App Server 原始 Thread / Turn / Item 字段写进业务
 
 2026-05-31 已继续把 `turn/plan/updated`、`turn/diff/updated`、`item/started|completed`、`thread/started` 这类协议事件归一化为 Boss `execution_progress` 的步骤、分支变更、产物和后台智能体。同日第二批补齐 `item/*/requestApproval`、`item/autoApprovalReview/*`、`guardianWarning`、`serverRequest/resolved` 和 `item/fileChange/patchUpdated` 的安全摘要映射，APP 只展示审批状态、风险提醒和文件路径，不展示完整命令、diff、系统提示词或密钥。第三批已把 `thread/status/changed` 与 `thread/realtime/*` 归一成 `executionProgress.threadStatus / realtime`，APP 只展示活跃/等待审批/等待用户输入、realtime 文本摘要、音频片段计数和关闭/错误原因；第四批已把 `model/rerouted`、`thread/tokenUsage/updated`、`mcpServer/startupStatus/updated` 和 `remoteControl/status/changed` 归一成 `executionProgress.modelRoute / tokenUsage / mcpServers / remoteControl`，用于 APP “运行状态”区块。
 
-2026-06-01 第五批已把 `thread/goal/updated|cleared`、`thread/settings/updated` 和 `thread/compacted` 归一成 `executionProgress.threadGoal / threadSettings / compaction`，用于 APP “线程配置”区块；第六批已把 `account/updated`、`account/rateLimits/updated`、`model/verification`、`warning`、`configWarning`、`deprecationNotice` 归一成 `executionProgress.accountStatus / modelVerification / warnings`；第七批已把官方 `ThreadItem.collabToolCall` 归一成 `executionProgress.threadCollaboration`，并按官方建议把新版 `ThreadItem.contextCompaction` 映射回 `executionProgress.compaction`；第八批已把 `mcpToolCall`、`dynamicToolCall`、`webSearch`、`imageView`、`enteredReviewMode`、`exitedReviewMode` 和 `commandExecution` 归一成 `executionProgress.toolActivities`；第九批已把官方 `ThreadItem.plan` 的最终 `item/completed` 文本映射为 `executionProgress.steps`，并把 `ThreadItem.reasoning.summary` 映射为 `executionProgress.reasoningSummary`；第十批已把 `ThreadItem.imageGeneration` 安全映射为 `executionProgress.toolActivities` 的图像生成活动和 `executionProgress.artifacts` 的图片产物；第十一批已把 `hook/started|completed` 安全映射为 `executionProgress.toolActivities` 的钩子活动，供 APP 以“钩子”轻卡展示企业治理和插件生命周期状态；第十二批已把 `windowsSandbox/setupCompleted` 安全映射为 `executionProgress.windowsSandbox`，供 APP 在“运行状态”里展示 Windows 沙箱准备状态、setup mode 和脱敏错误摘要；第十三批已把 heartbeat discovery 扩展到 `experimentalFeature/list`、`collaborationMode/list`、`permissionProfile/list` 和 `mcpServerStatus/list`，供设备详情、APP 和 PC 后台看到实验特性、协作模式、权限 Profile 与 MCP 服务摘要；第十四批已把 `account/read`、`account/rateLimits/read`、`config/read`、`configRequirements/read` 和 `externalAgentConfig/detect` 纳入 heartbeat discovery，用于展示账号、套餐、额度、App 配置、托管要求和外部 Agent 迁移候选摘要；第十五批已把 `thread/list` 和 `thread/loaded/list` 纳入 heartbeat discovery，用于展示线程总数、已加载线程、活跃线程、归档线程和非归档可见线程轻量目录；第十六批已把 `thread/turns/list` 纳入 heartbeat discovery，用于展示总轮次、运行中轮次、完成轮次和每个非归档线程的最近 turn 状态摘要；第十七批已按 `codex-cli 0.136.0-alpha.2` 补齐 `skills/extraRoots/set`，支持把企业共享 Skill 根下发给 App Server 后再拉取 `skills/list`，并把新版 `ThreadItem.collabToolCall.receiverThreadIds / agentsStates` 安全映射成目标数量和 agent 状态集合；第十八批已把 `hooks/list` 纳入 heartbeat discovery，用于展示本机 Codex hook 数、启用数、信任状态和 warning/error 计数；第十九批已新增线程操作能力摘要，用于展示 `thread/archive / thread/unarchive / thread/fork / thread/compact/start / thread/rollback / thread/name/set / thread/metadata/update / thread/shellCommand / thread/unsubscribe / turn/interrupt / turn/steer` 这类动作是否进入 Boss 受控能力目录；第二十批已新增插件治理能力摘要，用于展示 `plugin/install / plugin/uninstall / plugin/read / plugin/skill/read / plugin/share/*` 这类动作是否进入 Boss 受控能力目录；第二十一批已新增账号与配置治理能力摘要，用于展示 `account/login/* / account/logout / account/chatgptAuthTokens/refresh / account/sendAddCreditsNudgeEmail / config/value/write / config/batchWrite / config/mcpServer/reload / skills/config/write` 这类动作是否进入 Boss 受控能力目录；第二十二批已新增文件系统与命令会话治理能力摘要，用于展示 `fs/readFile / fs/writeFile / fs/remove / fs/watch / command/exec/write / command/exec/terminate` 这类动作是否进入 Boss 受控能力目录；第二十三批已新增外部 Agent 迁移、Marketplace 和实验特性治理能力摘要，用于展示 `externalAgentConfig/import / marketplace/add / marketplace/remove / marketplace/upgrade / experimentalFeature/enablement/set` 这类动作是否进入 Boss 受控能力目录。
+2026-06-01 第五批已把 `thread/goal/updated|cleared`、`thread/settings/updated` 和 `thread/compacted` 归一成 `executionProgress.threadGoal / threadSettings / compaction`，用于 APP “线程配置”区块；第六批已把 `account/updated`、`account/rateLimits/updated`、`model/verification`、`warning`、`configWarning`、`deprecationNotice` 归一成 `executionProgress.accountStatus / modelVerification / warnings`；第七批已把官方 `ThreadItem.collabToolCall` 归一成 `executionProgress.threadCollaboration`，并按官方建议把新版 `ThreadItem.contextCompaction` 映射回 `executionProgress.compaction`；第八批已把 `mcpToolCall`、`dynamicToolCall`、`webSearch`、`imageView`、`enteredReviewMode`、`exitedReviewMode` 和 `commandExecution` 归一成 `executionProgress.toolActivities`；第九批已把官方 `ThreadItem.plan` 的最终 `item/completed` 文本映射为 `executionProgress.steps`，并把 `ThreadItem.reasoning.summary` 映射为 `executionProgress.reasoningSummary`；第十批已把 `ThreadItem.imageGeneration` 安全映射为 `executionProgress.toolActivities` 的图像生成活动和 `executionProgress.artifacts` 的图片产物；第十一批已把 `hook/started|completed` 安全映射为 `executionProgress.toolActivities` 的钩子活动，供 APP 以“钩子”轻卡展示企业治理和插件生命周期状态；第十二批已把 `windowsSandbox/setupCompleted` 安全映射为 `executionProgress.windowsSandbox`，供 APP 在“运行状态”里展示 Windows 沙箱准备状态、setup mode 和脱敏错误摘要；第十三批已把 heartbeat discovery 扩展到 `experimentalFeature/list`、`collaborationMode/list`、`permissionProfile/list` 和 `mcpServerStatus/list`，供设备详情、APP 和 PC 后台看到实验特性、协作模式、权限 Profile 与 MCP 服务摘要；第十四批已把 `account/read`、`account/rateLimits/read`、`config/read`、`configRequirements/read` 和 `externalAgentConfig/detect` 纳入 heartbeat discovery，用于展示账号、套餐、额度、App 配置、托管要求和外部 Agent 迁移候选摘要；第十五批已把 `thread/list` 和 `thread/loaded/list` 纳入 heartbeat discovery，用于展示线程总数、已加载线程、活跃线程、归档线程和非归档可见线程轻量目录；第十六批已把 `thread/turns/list` 纳入 heartbeat discovery，用于展示总轮次、运行中轮次、完成轮次和每个非归档线程的最近 turn 状态摘要；第十七批已按 `codex-cli 0.136.0-alpha.2` 补齐 `skills/extraRoots/set`，支持把企业共享 Skill 根下发给 App Server 后再拉取 `skills/list`，并把新版 `ThreadItem.collabToolCall.receiverThreadIds / agentsStates` 安全映射成目标数量和 agent 状态集合；第十八批已把 `hooks/list` 纳入 heartbeat discovery，用于展示本机 Codex hook 数、启用数、信任状态和 warning/error 计数；第十九批已新增线程操作能力摘要，用于展示 `thread/archive / thread/unarchive / thread/fork / thread/compact/start / thread/rollback / thread/name/set / thread/metadata/update / thread/shellCommand / thread/unsubscribe / turn/interrupt / turn/steer` 这类动作是否进入 Boss 受控能力目录；第二十批已新增插件治理能力摘要，用于展示 `plugin/install / plugin/uninstall / plugin/read / plugin/skill/read / plugin/share/*` 这类动作是否进入 Boss 受控能力目录；第二十一批已新增账号与配置治理能力摘要，用于展示 `account/login/* / account/logout / account/chatgptAuthTokens/refresh / account/sendAddCreditsNudgeEmail / config/value/write / config/batchWrite / config/mcpServer/reload / skills/config/write` 这类动作是否进入 Boss 受控能力目录；第二十二批已新增文件系统与命令会话治理能力摘要，用于展示 `fs/readFile / fs/writeFile / fs/remove / fs/watch / command/exec/write / command/exec/terminate` 这类动作是否进入 Boss 受控能力目录；第二十三批已新增外部 Agent 迁移、Marketplace 和实验特性治理能力摘要，用于展示 `externalAgentConfig/import / marketplace/add / marketplace/remove / marketplace/upgrade / experimentalFeature/enablement/set` 这类动作是否进入 Boss 受控能力目录；第二十四批已新增审查、Windows 沙箱和文件搜索事件能力摘要，用于展示 `review/start / windowsSandbox/readiness / windowsSandbox/setupStart / fuzzyFileSearch/session*` 是否进入 Boss 受控能力目录。
 
 `thread/realtime/sdp`、音频 base64、原始 realtime item、remote installationId、thread settings 的 `cwd`、compaction `turnId`、collaboration settings 内部 prompt、collabToolCall 源/目标线程 ID、`receiverThreadIds`、`agentsStates.message`、共享 Skill 根绝对路径、hook key/command/sourcePath/statusMessage/hash/error message、tool arguments/result/contentItems、web URL token、命令正文/输出、raw reasoning `content`、reasoning item id、imageGeneration 原始 result/revisedPrompt、hook id/sourcePath/statusMessage/entries、Windows sandbox sourcePath/samplePaths、本地绝对路径、permission profile 文件规则、MCP resource URI、账号邮箱、API key、完整 config、外部 Agent 迁移描述、turn id、turn items、turn 内容、用户正文、模型输出和未清洗的 MCP 错误不入账。
 
@@ -41,7 +41,7 @@ Boss 不能直接把 App Server 原始 Thread / Turn / Item 字段写进业务
 - 本机 `codex --version`：`codex-cli 0.136.0-alpha.2`
 - 本机 `codex app-server --help` 已可用；本机 help 当前显示 `--listen` 支持 `stdio://`、`unix://`、`unix://PATH`、`ws://IP:PORT` 和 `off`
 - 本机 `codex app-server --help` 当前已经支持 `--ws-auth capability-token|signed-bearer-token`、`--ws-token-file`、`--ws-token-sha256`、`--ws-shared-secret-file`、issuer/audience/clock-skew 等 WebSocket 认证参数
-- 本机协议快照已生成到 `docs/protocol-snapshots/codex-app-server/0.136.0-alpha.2/`，共识别 138 个协议方法；确认支持 `thread/inject_items`、`thread/rollback`、`thread/archive`、`thread/unarchive`、`thread/fork`、`thread/compact/start`、`thread/name/set`、`thread/metadata/update`、`thread/shellCommand`、`thread/unsubscribe`、`thread/goal/*`、`turn/steer`、`turn/interrupt`、`command/exec`、`command/exec/write`、`command/exec/resize`、`command/exec/terminate`、`thread/realtime/*`、`account/*`、`model/verification`、`configWarning`、`deprecationNotice`、`model/list`、`skills/extraRoots/set`、`hooks/list`、`plugin/install`、`plugin/uninstall`、`plugin/read`、`plugin/skill/read`、`plugin/share/*`、`config/value/write`、`config/batchWrite`、`config/mcpServer/reload`、`skills/config/write`、`fs/*`、`externalAgentConfig/import`、`marketplace/add|remove|upgrade` 和 `experimentalFeature/enablement/set`
+- 本机协议快照已生成到 `docs/protocol-snapshots/codex-app-server/0.136.0-alpha.2/`，共识别 138 个协议方法；确认支持 `thread/inject_items`、`thread/rollback`、`thread/archive`、`thread/unarchive`、`thread/fork`、`thread/compact/start`、`thread/name/set`、`thread/metadata/update`、`thread/shellCommand`、`thread/unsubscribe`、`thread/goal/*`、`turn/steer`、`turn/interrupt`、`command/exec`、`command/exec/write`、`command/exec/resize`、`command/exec/terminate`、`thread/realtime/*`、`account/*`、`model/verification`、`configWarning`、`deprecationNotice`、`model/list`、`skills/extraRoots/set`、`hooks/list`、`plugin/install`、`plugin/uninstall`、`plugin/read`、`plugin/skill/read`、`plugin/share/*`、`config/value/write`、`config/batchWrite`、`config/mcpServer/reload`、`skills/config/write`、`fs/*`、`externalAgentConfig/import`、`marketplace/add|remove|upgrade`、`experimentalFeature/enablement/set`、`review/start`、`windowsSandbox/readiness|setupStart` 和 `fuzzyFileSearch/session*`
 - Boss 当前默认仍以 `stdio` 作为本机 agent 接入方式；`ws://127.0.0.1:<port>` 和 `unix://PATH` 本地长驻 transport 已可灰度接入，WebSocket/Unix WebSocket handshake 支持 `Authorization: Bearer <token>`；非 loopback signed bearer/JWT、自动重连和健康探测仍保留为后续增强，不直接替换当前稳定链路
 - 官方文档提示 WebSocket ingress 满载时会返回 JSON-RPC `-32001 / Server overloaded; retry later.`；Boss runner 已对该错误做最多 3 次指数退避重试，避免长驻连接瞬时拥塞直接把用户任务打失败
 - Boss heartbeat 已新增 App Server 能力发现缓存：按 `codexAppServerDiscoveryTtlMs` 拉取 `model/list`、`modelProvider/capabilities/read`、`skills/list`、`hooks/list`、`plugin/list`、`app/list`、`experimentalFeature/list`、`collaborationMode/list`、`permissionProfile/list`、`mcpServerStatus/list`、`account/read`、`account/rateLimits/read`、`config/read`、`configRequirements/read`、`externalAgentConfig/detect`、`thread/list`、`thread/loaded/list` 和 `thread/turns/list`；配置了 `codexAppServerSkillExtraRoots` / `BOSS_CODEX_APP_SERVER_SKILL_EXTRA_ROOTS` 时，会先调用 `skills/extraRoots/set` 再拉取 `skills/list`，归一成设备 `capabilities.codexAppServer.metadata`；发现失败只记录 warn，不阻塞心跳。MCP discovery 使用 `detail=toolsAndAuthOnly`，turn discovery 固定 `itemsView=notLoaded`，账号、配置、线程、Hook 和 Skill extra root discovery 只保留安全摘要，不保存邮箱、resource URI、工具参数、完整 config、本地路径、迁移描述、turn id、turn items、用户正文、模型输出、hook 命令或共享 Skill 根绝对路径。
@@ -156,6 +156,7 @@ UI 参考：
 - 新增 App Server 账号与配置治理能力摘要：runner 写入 `accountGovernanceSummary / configGovernanceSummary`，设备详情页展示“账号治理 / 配置治理”；这些字段只来自安全 catalog 和协议快照，不在 heartbeat 中调用账号登录、退出、令牌刷新、配置写入、MCP 重载或 Skill config 写入 API，后续真正执行这些动作必须走用户显式指令、RBAC、审批和审计链路。
 - 新增 App Server 文件系统与命令会话治理能力摘要：runner 写入 `fileSystemGovernanceSummary / commandSessionSummary`，设备详情页展示“文件治理 / 命令会话”；这些字段只来自安全 catalog 和协议快照，不在 heartbeat 中调用文件读写、删除、监听、stdin 写入、PTY resize 或 terminate API，后续真正执行这些动作必须走用户显式指令、RBAC、审批、租约和审计链路。
 - 新增 App Server 外部 Agent 迁移、Marketplace 和实验特性治理能力摘要：runner 写入 `externalAgentGovernanceSummary / marketplaceGovernanceSummary / experimentalFeatureGovernanceSummary`，设备详情页展示“迁移治理 / 市场治理 / 实验特性治理”；这些字段只来自安全 catalog 和协议快照，不在 heartbeat 中调用 external-agent 导入、marketplace 写操作或实验特性启用 API，后续真正执行这些动作必须走用户显式指令、RBAC、审批和审计链路。
+- 新增 App Server 审查、Windows 沙箱和文件搜索事件能力摘要：runner 写入 `reviewGovernanceSummary / windowsSandboxGovernanceSummary / fuzzyFileSearchSummary`，设备详情页展示“审查治理 / Windows 沙箱 / 文件搜索事件”；这些字段只来自安全 catalog 和协议快照，不在 heartbeat 中调用审查启动、沙箱设置或文件搜索动作，后续真正执行这些动作必须走用户显式指令、RBAC、审批和审计链路。
 
 后续建议按两步继续：
 

docs/architecture/current_runtime_and_deploy_status_cn.md

@@ -35,7 +35,7 @@
 - `launchd` 已安装：`~/Library/LaunchAgents/com.hyzq.boss.local-agent.plist`
 - 当前执行底座抽象层已落地在 `src/lib/execution/`，并已补齐 `ExecutionBackend / PromptAssembler / PermissionPolicy / RemoteRuntimeAdapter / OrchestrationBackend` 默认实现
 - 当前生产主链仍然沿用 `local-agent -> codex exec resume -> /api/v1/master-agent/tasks/[taskId]/complete`，执行底座重构以“先抽象、不改行为”为准
-- 当前 Codex server 调研结论已记录在 `docs/architecture/codex_server_progress_card_cn.md`：长期优先方向更新为 `Codex App Server / Remote Control -> Inter-Thread Broker -> CodexMcpBackendAdapter -> codex exec resume` 的分层 provider 策略；当前 boss-agent 默认打开 `Codex App Server` runner 作为 Codex 绑定入口，Boss 仍保留 `codex exec resume` 兜底，并继续用 `execution_progress` 结构化进度卡作为 APP 可见执行态。本机 `codex-cli 0.136.0-alpha.2` 协议快照已生成到 `docs/protocol-snapshots/codex-app-server/0.136.0-alpha.2/`，确认支持 WebSocket auth、`thread/inject_items`、`turn/steer`、`turn/interrupt`、`thread/archive`、`thread/unarchive`、`thread/fork`、`thread/compact/start`、`thread/rollback`、`thread/name/set`、`thread/metadata/update`、`thread/shellCommand`、`thread/unsubscribe`、`thread/realtime/*`、`thread/goal/*`、`thread/settings/updated`、`thread/compacted`、`ThreadItem.contextCompaction`、`ThreadItem.collabToolCall`、`account/*`、`model/verification`、`configWarning`、`deprecationNotice`、`command/exec`、`command/exec/write`、`command/exec/resize`、`command/exec/terminate`、`model/list`、`skills/extraRoots/set`、`hooks/list`、`plugin/install`、`plugin/uninstall`、`plugin/read`、`plugin/skill/read`、`plugin/share/*`、`config/value/write`、`config/batchWrite`、`config/mcpServer/reload`、`skills/config/write`、`fs/*`、`externalAgentConfig/import`、`marketplace/add|remove|upgrade` 和 `experimentalFeature/enablement/set`
+- 当前 Codex server 调研结论已记录在 `docs/architecture/codex_server_progress_card_cn.md`：长期优先方向更新为 `Codex App Server / Remote Control -> Inter-Thread Broker -> CodexMcpBackendAdapter -> codex exec resume` 的分层 provider 策略；当前 boss-agent 默认打开 `Codex App Server` runner 作为 Codex 绑定入口，Boss 仍保留 `codex exec resume` 兜底，并继续用 `execution_progress` 结构化进度卡作为 APP 可见执行态。本机 `codex-cli 0.136.0-alpha.2` 协议快照已生成到 `docs/protocol-snapshots/codex-app-server/0.136.0-alpha.2/`，确认支持 WebSocket auth、`thread/inject_items`、`turn/steer`、`turn/interrupt`、`thread/archive`、`thread/unarchive`、`thread/fork`、`thread/compact/start`、`thread/rollback`、`thread/name/set`、`thread/metadata/update`、`thread/shellCommand`、`thread/unsubscribe`、`thread/realtime/*`、`thread/goal/*`、`thread/settings/updated`、`thread/compacted`、`ThreadItem.contextCompaction`、`ThreadItem.collabToolCall`、`account/*`、`model/verification`、`configWarning`、`deprecationNotice`、`command/exec`、`command/exec/write`、`command/exec/resize`、`command/exec/terminate`、`model/list`、`skills/extraRoots/set`、`hooks/list`、`plugin/install`、`plugin/uninstall`、`plugin/read`、`plugin/skill/read`、`plugin/share/*`、`config/value/write`、`config/batchWrite`、`config/mcpServer/reload`、`skills/config/write`、`fs/*`、`externalAgentConfig/import`、`marketplace/add|remove|upgrade`、`experimentalFeature/enablement/set`、`review/start`、`windowsSandbox/readiness|setupStart` 和 `fuzzyFileSearch/session*`
 - 当前 App Server 能力发现已新增治理摘要：local-agent 会在 heartbeat discovery 中拉取 `experimentalFeature/list / collaborationMode/list / permissionProfile/list / mcpServerStatus/list`，并把实验特性、协作模式、权限 Profile 与 MCP 服务状态写入设备 `codexAppServer.metadata`；设备详情页会显示“治理”摘要。该链路只保留安全摘要，不保存 MCP resource URI、permission profile 文件规则、本地路径、token 或工具参数。
 - 当前 App Server 能力发现已新增账号与配置摘要：local-agent 会在 heartbeat discovery 中拉取 `account/read / account/rateLimits/read / config/read / configRequirements/read / externalAgentConfig/detect`，并把账号登录方式、套餐、额度使用率、App 配置计数、托管要求数量和外部 Agent 迁移候选数量写入设备 `codexAppServer.metadata`；设备详情页会显示“账号 / 配置”摘要。该链路只读不写，不保存账号邮箱、完整 config、API key、本地路径或迁移描述。
 - 当前 App Server 能力发现已新增线程可见性摘要：local-agent 会在 heartbeat discovery 中拉取 `thread/list / thread/loaded/list`，并把线程总数、已加载线程数、活跃线程数、归档线程数、最新更新时间和非归档线程轻量目录写入设备 `codexAppServer.metadata.threadSummary`；设备详情页会显示“线程”摘要。该链路不保存 cwd、本地路径、turn 内容、用户正文或内部 prompt。
@@ -45,6 +45,7 @@
 - 当前 App Server 能力发现已新增账号与配置治理能力摘要：local-agent 会把已验证进入当前协议快照的 login / logout / token refresh / add credits nudge / config write / MCP reload / Skill config write 写入设备 `codexAppServer.metadata.accountGovernanceSummary / configGovernanceSummary`；设备详情页会显示“账号治理 / 配置治理”。这些字段只读，不在 heartbeat 中调用任何账号或配置写 API。
 - 当前 App Server 能力发现已新增文件系统与命令会话治理能力摘要：local-agent 会把已验证进入当前协议快照的文件读写、目录、元数据、复制、删除、监听、命令 stdin、PTY resize、terminate 和输出流能力写入设备 `codexAppServer.metadata.fileSystemGovernanceSummary / commandSessionSummary`；设备详情页会显示“文件治理 / 命令会话”。这些字段只读，不在 heartbeat 中调用任何文件或命令控制 API。
 - 当前 App Server 能力发现已新增外部 Agent 迁移、Marketplace 和实验特性治理能力摘要：local-agent 会把已验证进入当前协议快照的 external-agent 导入、marketplace 添加 / 移除 / 升级、实验特性 enablement 写入设备 `codexAppServer.metadata.externalAgentGovernanceSummary / marketplaceGovernanceSummary / experimentalFeatureGovernanceSummary`；设备详情页会显示“迁移治理 / 市场治理 / 实验特性治理”。这些字段只读，不在 heartbeat 中调用任何迁移导入、marketplace 写入或实验特性启用 API。
+- 当前 App Server 能力发现已新增审查、Windows 沙箱和文件搜索事件能力摘要：local-agent 会把已验证进入当前协议快照的 review start、Windows sandbox readiness / setup start / setup completed、fuzzy file search updated / completed 写入设备 `codexAppServer.metadata.reviewGovernanceSummary / windowsSandboxGovernanceSummary / fuzzyFileSearchSummary`；设备详情页会显示“审查治理 / Windows 沙箱 / 文件搜索事件”。这些字段只读，不在 heartbeat 中调用任何审查启动、沙箱设置或文件搜索动作。
 - 当前 App Server 能力发现已支持共享 Skill 根目录下发：配置 `codexAppServerSkillExtraRoots` / `BOSS_CODEX_APP_SERVER_SKILL_EXTRA_ROOTS` 时，local-agent 会先调用 `skills/extraRoots/set`，再刷新 `skills/list`，并把 `skillExtraRootsSummary` 写入设备 `codexAppServer.metadata`；设备详情页会显示“共享 Skill 根”。该链路只保存数量、basename 和状态，不保存根目录绝对路径、Skill 文件路径或配置原文。
 - 当前 App Server 能力发现已新增 Hook 治理摘要：local-agent 会在 heartbeat discovery 中拉取 `hooks/list`，并把 hook 数、启用数、受管 / 可信 / 修改 / 未信任计数、warning / error 计数写入设备 `codexAppServer.metadata.hookSummary`；设备详情页会显示“Hook”。该链路不保存 hook key、command、sourcePath、statusMessage、hash、error message 或本地路径。
 - 当前量产 B+ 架构开发文档已新增：`docs/architecture/enterprise_ai_ops_architecture_cn.md`。该文档把 PPT 中的主 Agent / 业务 Agent / 老板端 / 经理端 / 员工端 / 治理层 / 系统层 / 设备层 / 执行层 / 接入层整理成后续产品架构约束，并明确数据库备份、业务回退、Codex 协议扩展和 Skill 治理方向；它是规划文档，不代表当前全部已落地
@@ -261,7 +262,7 @@ cd /Users/kris/code/boss
 - 当前已新增 Boss 自有 Inter-Thread Broker 第一版：服务端入口 `POST /api/v1/projects/[projectId]/thread-collaboration` 会创建带源/目标 Codex 线程引用的协作任务；App Server runner 执行 `thread/read(source) -> thread/inject_items(target) -> turn/start(target)`，用于让一个线程的结论受控进入另一个线程，不依赖官方任意线程 P2P 互聊能力
 - 当前 `local-agent` 对 `dispatch_execution` 任务会按 `orchestrationBackendId` 分流：默认走 `codex exec resume`；当任务显式选择 `omx-team` 且本机 `omxEnabled + omxCommand/omxArgs` 可用时，会改走 `OMX Team Runtime` JSON 协议执行并回写 `rawThreadReply / replyBody`
 - 当前 `local-agent` 会在 Codex 任务执行中和完成时回传 `executionProgress`：服务端把同一任务的进度卡从 queued / running 更新到 completed / failed，Android 原生聊天页会显示“进度 / 线程状态 / 实时状态 / 线程配置 / 线程协作 / 工具活动 / 思考摘要 / 账号状态 / 运行状态 / 安全提醒 / 审批状态 / 文件变更 / 分支详情 / 生成结果 / 后台智能体”。2026-05-31 起，Codex App Server 的 `turn/plan/updated`、`turn/diff/updated`、`item/started|completed`、`thread/started` 会直接映射为进度步骤、变更统计、生成产物和后台智能体；第二批已把 `item/*/requestApproval`、`item/autoApprovalReview/*`、`guardianWarning`、`serverRequest/resolved`、`item/fileChange/patchUpdated` 映射为审批、安全提醒和文件变更摘要；第三批已把 `thread/status/changed` 与 `thread/realtime/*` 安全映射为线程状态和实时状态摘要；第四批已把 `model/rerouted`、`thread/tokenUsage/updated`、`mcpServer/startupStatus/updated`、`remoteControl/status/changed` 安全映射为运行状态摘要；第五批已把 `thread/goal/*`、`thread/settings/updated` 和 `thread/compacted` 映射为线程配置摘要；第六批已把 `account/updated`、`account/rateLimits/updated`、`model/verification`、`warning`、`configWarning`、`deprecationNotice` 映射为账号状态、模型校验和安全提醒摘要；第七批已把 `ThreadItem.collabToolCall` 和 `ThreadItem.contextCompaction` 映射为线程协作和上下文压缩摘要；第八批已把 `mcpToolCall`、`dynamicToolCall`、`webSearch`、`imageView`、`enteredReviewMode`、`exitedReviewMode`、`commandExecution` 映射为工具活动摘要；第九批已把 `ThreadItem.plan` 和 `ThreadItem.reasoning.summary` 映射为计划步骤与思考摘要；第十批已把 `ThreadItem.imageGeneration` 映射为图像生成工具活动和图片产物；第十一批已把 `hook/started|completed` 映射为钩子生命周期工具活动；第十二批已把 `windowsSandbox/setupCompleted` 映射为 Windows 沙箱准备状态摘要；第十七批已把新版 `ThreadItem.collabToolCall.receiverThreadIds / agentsStates` 安全映射为线程协作目标数量和 agent 状态集合。所有进度均通过 `POST /api/v1/master-agent/tasks/[taskId]/progress` 实时刷新；字段白名单会剥离 cwd、turnId、配置文件路径、内部 prompt、collab 源/目标线程 ID、receiverThreadIds、agentsStates 私有消息、共享 Skill 根绝对路径、tool arguments/result、web URL token、命令正文/输出、raw reasoning content、reasoning item id、图像生成 revisedPrompt/result、hook sourcePath/statusMessage/entries、Windows sandbox sourcePath/samplePaths/本地绝对路径和未清洗密钥，complete 回写仍会携带最终进度兜底
-- 当前 `local-agent` heartbeat 已新增 Codex App Server capability discovery：按 TTL 拉取模型、provider 能力、Skill、Hook、Plugin、App 摘要，并附加只读线程操作、插件治理、账号治理、配置治理、文件治理、命令会话、外部 Agent 迁移、Marketplace 和实验特性治理能力 catalog，写入 `capabilities.codexAppServer.metadata`；Web 设备详情会展示 App Server 连接状态、模型数量、默认/快速/深度模型、扩展数量、Hook 治理摘要、线程操作摘要、插件治理摘要、账号治理摘要、配置治理摘要、文件治理摘要、命令会话摘要、迁移治理摘要、市场治理摘要和实验特性治理摘要
+- 当前 `local-agent` heartbeat 已新增 Codex App Server capability discovery：按 TTL 拉取模型、provider 能力、Skill、Hook、Plugin、App 摘要，并附加只读线程操作、插件治理、账号治理、配置治理、文件治理、命令会话、外部 Agent 迁移、Marketplace、实验特性、审查、Windows 沙箱和文件搜索事件能力 catalog，写入 `capabilities.codexAppServer.metadata`；Web 设备详情会展示 App Server 连接状态、模型数量、默认/快速/深度模型、扩展数量、Hook 治理摘要、线程操作摘要、插件治理摘要、账号治理摘要、配置治理摘要、文件治理摘要、命令会话摘要、迁移治理摘要、市场治理摘要、实验特性治理摘要、审查治理摘要、Windows 沙箱摘要和文件搜索事件摘要
 - 当前 `MasterAgentTask` 已具备服务端租约和取消基础状态机：claim 会写入 `attemptCount / maxAttempts / leaseExpiresAt`，运行中任务租约过期后可被重新认领，超过重试上限会转 `timed_out`；`POST /api/v1/master-agent/tasks/[taskId]/cancel` 会把任务转 `canceled`，迟到的成功 complete 不会覆盖终态
 - 当前 `local-agent` 对 `browser_control / desktop_control` 已从占位骨架升级成外部 runtime 桥：当本机配置了 `browserControlEnabled + browserControlCommand` 或 `computerUseEnabled + computerUseCommand` 时，会把标准化 JSON 请求透传给外部进程，并解析单行 JSON 结果；未启用时会 fail closed，返回明确的 runtime disabled 错误，不再假装执行成功
 - 远程电脑控制链路当前已有可复用压测基线：`npm run stress:remote-control` 可按参数压测 `local-agent -> MasterAgentTask -> browser_control / desktop_control runtime -> complete 回写` 全链路；`npm run stress:remote-control:ci` 固定 120 条链路任务和 360 条 runtime 并发任务，并用 p95 延迟预算判断是否退化。压测报告可通过 `--report-json=PATH` 落盘，便于后续接入真实 macOS AX / Windows UIA helper 后复用同一套稳定性判断。

docs/protocol-snapshots/codex-app-server/0.136.0-alpha.2/manifest.json

@@ -1,5 +1,5 @@
 {
-  "generatedAt": "2026-06-03T03:49:45.227Z",
+  "generatedAt": "2026-06-03T03:58:16.525Z",
   "codexVersion": "0.136.0-alpha.2",
   "codexVersionRaw": "codex-cli 0.136.0-alpha.2",
   "codexBin": "codex",
@@ -190,6 +190,10 @@
     "marketplaceAdd": true,
     "marketplaceRemove": true,
     "marketplaceUpgrade": true,
-    "experimentalFeatureEnablementSet": true
+    "experimentalFeatureEnablementSet": true,
+    "reviewStart": true,
+    "windowsSandboxReadiness": true,
+    "windowsSandboxSetupStart": true,
+    "fuzzyFileSearchEvents": true
   }
 }

local-agent/codex-app-server-runner.mjs

@@ -1418,6 +1418,45 @@ function normalizeDiscoveryExperimentalFeatureGovernanceSummary() {
   };
 }
 
+function normalizeDiscoveryReviewGovernanceSummary() {
+  const actions = [{ label: "启动审查", group: "review", reviewStart: true }];
+  return {
+    actionCount: actions.length,
+    reviewStartAvailable: actions.some((action) => action.reviewStart === true),
+    userInitiatedOnly: true,
+    labels: actions.map((action) => action.label),
+  };
+}
+
+function normalizeDiscoveryWindowsSandboxGovernanceSummary() {
+  const actions = [
+    { label: "准备检查", group: "read", readiness: true },
+    { label: "启动设置", group: "write", setupStart: true },
+    { label: "设置完成", group: "notify" },
+  ];
+  return {
+    actionCount: actions.length,
+    setupActionCount: actions.filter((action) => action.group === "write").length,
+    readinessAvailable: actions.some((action) => action.readiness === true),
+    notificationAvailable: actions.some((action) => action.group === "notify"),
+    userInitiatedOnly: true,
+    labels: actions.map((action) => action.label),
+  };
+}
+
+function normalizeDiscoveryFuzzyFileSearchSummary() {
+  const events = [
+    { label: "搜索更新", group: "event" },
+    { label: "搜索完成", group: "event", completed: true },
+  ];
+  return {
+    eventCount: events.length,
+    completedEventAvailable: events.some((event) => event.completed === true),
+    notificationOnly: true,
+    labels: events.map((event) => event.label),
+  };
+}
+
 function normalizeDiscoveryPlugins(result) {
   return asArray(result?.marketplaces)
     .flatMap((marketplace) => asArray(marketplace?.plugins))
@@ -1909,6 +1948,9 @@ export async function discoverCodexAppServerCapabilities(runnerConfig) {
       externalAgentGovernanceSummary: normalizeDiscoveryExternalAgentGovernanceSummary(),
       marketplaceGovernanceSummary: normalizeDiscoveryMarketplaceGovernanceSummary(),
       experimentalFeatureGovernanceSummary: normalizeDiscoveryExperimentalFeatureGovernanceSummary(),
+      reviewGovernanceSummary: normalizeDiscoveryReviewGovernanceSummary(),
+      windowsSandboxGovernanceSummary: normalizeDiscoveryWindowsSandboxGovernanceSummary(),
+      fuzzyFileSearchSummary: normalizeDiscoveryFuzzyFileSearchSummary(),
       errors: [
         modelResult?.__bossError ? `model/list:${safeRuntimeDiagnosticText(modelResult.__bossError)}` : undefined,
         providerCapabilities?.__bossError

scripts/codex-app-server-protocol-snapshot.mjs

@@ -162,6 +162,12 @@ function buildSupportMatrix({ helpText, methods }) {
     marketplaceRemove: methodSet.has("marketplace/remove"),
     marketplaceUpgrade: methodSet.has("marketplace/upgrade"),
     experimentalFeatureEnablementSet: methodSet.has("experimentalFeature/enablement/set"),
+    reviewStart: methodSet.has("review/start"),
+    windowsSandboxReadiness: methodSet.has("windowsSandbox/readiness"),
+    windowsSandboxSetupStart: methodSet.has("windowsSandbox/setupStart"),
+    fuzzyFileSearchEvents:
+      methodSet.has("fuzzyFileSearch/sessionUpdated") ||
+      methodSet.has("fuzzyFileSearch/sessionCompleted"),
   };
 }
 

src/components/app-ui.tsx

@@ -136,6 +136,11 @@ export function buildDeviceWorkspaceDetailCards(workspace: DeviceWorkspaceView)
   const codexExperimentalFeatureGovernanceSummary = objectFromMetadata(
     codexAppServerMetadata.experimentalFeatureGovernanceSummary,
   );
+  const codexReviewGovernanceSummary = objectFromMetadata(codexAppServerMetadata.reviewGovernanceSummary);
+  const codexWindowsSandboxGovernanceSummary = objectFromMetadata(
+    codexAppServerMetadata.windowsSandboxGovernanceSummary,
+  );
+  const codexFuzzyFileSearchSummary = objectFromMetadata(codexAppServerMetadata.fuzzyFileSearchSummary);
 
   return {
     capabilities: {
@@ -235,6 +240,17 @@ export function buildDeviceWorkspaceDetailCards(workspace: DeviceWorkspaceView)
         )} 项 · 写入 ${numberFromMetadata(codexExperimentalFeatureGovernanceSummary.writeActionCount)} 项 · ${
           codexExperimentalFeatureGovernanceSummary.listAvailable === true ? "列表可用" : "列表不可用"
         }`,
+        codexReviewGovernance: `审查治理：${numberFromMetadata(
+          codexReviewGovernanceSummary.actionCount,
+        )} 项 · ${codexReviewGovernanceSummary.reviewStartAvailable === true ? "审查可启动" : "审查不可启动"}`,
+        codexWindowsSandboxGovernance: `Windows 沙箱：${numberFromMetadata(
+          codexWindowsSandboxGovernanceSummary.actionCount,
+        )} 项 · 设置 ${numberFromMetadata(codexWindowsSandboxGovernanceSummary.setupActionCount)} 项 · ${
+          codexWindowsSandboxGovernanceSummary.readinessAvailable === true ? "准备检查可用" : "准备检查不可用"
+        }`,
+        codexFuzzyFileSearch: `文件搜索事件：${numberFromMetadata(
+          codexFuzzyFileSearchSummary.eventCount,
+        )} 项 · ${codexFuzzyFileSearchSummary.completedEventAvailable === true ? "完成事件可用" : "完成事件不可用"}`,
         preferredExecutionMode: `默认执行模式：${
           selectedDevice?.preferredExecutionMode === "gui"
             ? "GUI"
@@ -914,6 +930,15 @@ export function DeviceEditorCard({
           <div className="rounded-2xl bg-[#F7F8FA] px-3 py-2">
             {detailCards.capabilities.items.codexExperimentalFeatureGovernance}
           </div>
+          <div className="rounded-2xl bg-[#F7F8FA] px-3 py-2">
+            {detailCards.capabilities.items.codexReviewGovernance}
+          </div>
+          <div className="rounded-2xl bg-[#F7F8FA] px-3 py-2">
+            {detailCards.capabilities.items.codexWindowsSandboxGovernance}
+          </div>
+          <div className="rounded-2xl bg-[#F7F8FA] px-3 py-2">
+            {detailCards.capabilities.items.codexFuzzyFileSearch}
+          </div>
           <div className="rounded-2xl bg-[#F7F8FA] px-3 py-2">
             {detailCards.capabilities.items.preferredExecutionMode}
           </div>

tests/codex-app-server-protocol-snapshot-script.test.mjs

@@ -86,6 +86,12 @@ if (args[0] === "app-server" && args[1] === "generate-json-schema") {
       { properties: { method: { const: "marketplace/upgrade" } } },
       { properties: { method: { const: "experimentalFeature/list" } } },
       { properties: { method: { const: "experimentalFeature/enablement/set" } } },
+      { properties: { method: { const: "review/start" } } },
+      { properties: { method: { const: "windowsSandbox/readiness" } } },
+      { properties: { method: { const: "windowsSandbox/setupStart" } } },
+      { properties: { method: { const: "windowsSandbox/setupCompleted" } } },
+      { properties: { method: { const: "fuzzyFileSearch/sessionUpdated" } } },
+      { properties: { method: { const: "fuzzyFileSearch/sessionCompleted" } } },
       { properties: { method: { const: "skills/extraRoots/set" } } },
       { properties: { method: { const: "hooks/list" } } },
       { properties: { method: { const: "turn/interrupt" } } },
@@ -165,6 +171,10 @@ process.exit(2);
     assert.equal(manifest.supports.marketplaceRemove, true);
     assert.equal(manifest.supports.marketplaceUpgrade, true);
     assert.equal(manifest.supports.experimentalFeatureEnablementSet, true);
+    assert.equal(manifest.supports.reviewStart, true);
+    assert.equal(manifest.supports.windowsSandboxReadiness, true);
+    assert.equal(manifest.supports.windowsSandboxSetupStart, true);
+    assert.equal(manifest.supports.fuzzyFileSearchEvents, true);
     assert.deepEqual(manifest.methods, [
       "account/chatgptAuthTokens/refresh",
       "account/login/cancel",
@@ -193,6 +203,8 @@ process.exit(2);
       "fs/unwatch",
       "fs/watch",
       "fs/writeFile",
+      "fuzzyFileSearch/sessionCompleted",
+      "fuzzyFileSearch/sessionUpdated",
       "hooks/list",
       "marketplace/add",
       "marketplace/remove",
@@ -206,6 +218,7 @@ process.exit(2);
       "plugin/share/updateTargets",
       "plugin/skill/read",
       "plugin/uninstall",
+      "review/start",
       "skills/config/write",
       "skills/extraRoots/set",
       "thread/archive",
@@ -221,6 +234,9 @@ process.exit(2);
       "thread/unsubscribe",
       "turn/interrupt",
       "turn/start",
+      "windowsSandbox/readiness",
+      "windowsSandbox/setupCompleted",
+      "windowsSandbox/setupStart",
     ]);
     assert.match(
       await readFile(path.join(outDir, "0.135.0-alpha.1", "app-server-help.txt"), "utf8"),

tests/device-detail-capabilities-route.test.ts

@@ -229,6 +229,26 @@ test("device detail exposes Codex App Server discovered model and extension summ
           userInitiatedOnly: true,
           labels: ["实验列表", "启用设置"],
         },
+        reviewGovernanceSummary: {
+          actionCount: 1,
+          reviewStartAvailable: true,
+          userInitiatedOnly: true,
+          labels: ["启动审查"],
+        },
+        windowsSandboxGovernanceSummary: {
+          actionCount: 3,
+          setupActionCount: 1,
+          readinessAvailable: true,
+          notificationAvailable: true,
+          userInitiatedOnly: true,
+          labels: ["准备检查", "启动设置", "设置完成"],
+        },
+        fuzzyFileSearchSummary: {
+          eventCount: 2,
+          completedEventAvailable: true,
+          notificationOnly: true,
+          labels: ["搜索更新", "搜索完成"],
+        },
       },
     },
   };
@@ -256,6 +276,9 @@ test("device detail exposes Codex App Server discovered model and extension summ
   assert.equal(cards.capabilities.items.codexExternalAgentGovernance, "迁移治理：3 项 · 导入 1 项 · 检测可用");
   assert.equal(cards.capabilities.items.codexMarketplaceGovernance, "市场治理：3 项 · 写入 3 项 · 升级可用");
   assert.equal(cards.capabilities.items.codexExperimentalFeatureGovernance, "实验特性治理：2 项 · 写入 1 项 · 列表可用");
+  assert.equal(cards.capabilities.items.codexReviewGovernance, "审查治理：1 项 · 审查可启动");
+  assert.equal(cards.capabilities.items.codexWindowsSandboxGovernance, "Windows 沙箱：3 项 · 设置 1 项 · 准备检查可用");
+  assert.equal(cards.capabilities.items.codexFuzzyFileSearch, "文件搜索事件：2 项 · 完成事件可用");
 });
 
 test("device detail exposes folder and project conflict skeleton from workspace policy", async () => {

tests/local-agent-codex-app-server-runner.test.mjs

@@ -189,6 +189,26 @@ test("codex app-server discovery includes governance and MCP summaries without l
     userInitiatedOnly: true,
     labels: ["实验列表", "启用设置"],
   });
+  assert.deepEqual(metadata.reviewGovernanceSummary, {
+    actionCount: 1,
+    reviewStartAvailable: true,
+    userInitiatedOnly: true,
+    labels: ["启动审查"],
+  });
+  assert.deepEqual(metadata.windowsSandboxGovernanceSummary, {
+    actionCount: 3,
+    setupActionCount: 1,
+    readinessAvailable: true,
+    notificationAvailable: true,
+    userInitiatedOnly: true,
+    labels: ["准备检查", "启动设置", "设置完成"],
+  });
+  assert.deepEqual(metadata.fuzzyFileSearchSummary, {
+    eventCount: 2,
+    completedEventAvailable: true,
+    notificationOnly: true,
+    labels: ["搜索更新", "搜索完成"],
+  });
 
   const serialized = JSON.stringify(metadata);
   assert.equal(serialized.includes("sk-secret-should-not-leak"), false);