zclaw_openfang/docs/superpowers/specs/2026-04-01-deerflow-evaluation-enhanced-design.md

# DeerFlow 系统架构分析文档 — 增强版评估报告

> **版本**: v2.0（多专家组头脑风暴增强版）
> **日期**: 2026-04-01
> **评估对象**: `G:\deerflow\.trae\documents\deerflow-system-architecture-analysis.md`（1065 行）
> **专家组**: 后端架构师、前端架构师、AI Agent 专家、安全工程师、DevOps 工程师

---

## Context

**目的**: 评估 DeerFlow 系统架构分析文档的深度和完整性，通过源代码交叉验证识别信息缺失，并为 ZCLAW 项目复刻 DeerFlow 优秀设计提供准确的技术参考和迁移策略。

**结论**: 原文档整体框架完整，覆盖了系统概述、分层架构、后端/前端详解、数据流、IM 集成、配置和部署等核心章节。但通过 5 位专家与源代码交叉验证，发现 **8 项关键缺失（CRITICAL）、12 项显著不足（SIGNIFICANT）、10 项安全发现、18 项细节差距（MINOR）**。文档对中间件系统、提示词工程、安全架构的描述存在事实性错误或严重遗漏。

---

## Part 1: 原报告事实准确性修正

### 1.1 中间件数量与排序错误

**原报告声称**: 14 个中间件，按固定编号 0-13 排列。

**实际代码** (`agent.py:208-270` + `tool_error_handling_middleware.py:68-131`):

中间件通过 `build_lead_runtime_middlewares()` + `_build_middlewares()` **动态条件组合**，分为两层：

**层 1: 运行时基础中间件** (`_build_runtime_middlewares`):
| # | 中间件 | 条件 |
|---|--------|------|
| 1 | ThreadDataMiddleware | 始终 |
| 2 | UploadsMiddleware | 仅 lead agent |
| 3 | SandboxMiddleware | 始终 |
| 4 | DanglingToolCallMiddleware | 仅 lead agent |
| 5 | GuardrailMiddleware | 需要 guardrails.enabled + provider |
| 6 | SandboxAuditMiddleware | 条件性 |
| 7 | ToolErrorHandlingMiddleware | 始终 |

**层 2: Lead Agent 专用中间件** (`_build_middlewares`):
| # | 中间件 | 条件 |
|---|--------|------|
| 8 | SummarizationMiddleware | 需要 summarization.enabled |
| 9 | TodoMiddleware | 需要 is_plan_mode=true |
| 10 | TokenUsageMiddleware | 需要 token_usage.enabled |
| 11 | TitleMiddleware | 始终 |
| 12 | MemoryMiddleware | 始终 |
| 13 | ViewImageMiddleware | 需要模型 supports_vision |
| 14 | DeferredToolFilterMiddleware | 需要 tool_search.enabled |
| 15 | SubagentLimitMiddleware | 需要 subagent_enabled |
| 16 | LoopDetectionMiddleware | 始终 |
| 17 | ClarificationMiddleware | 始终（**永远最后**） |

**原报告遗漏**: DanglingToolCallMiddleware (#4)、SandboxAuditMiddleware (#6)、TokenUsageMiddleware (#10)、DeferredToolFilterMiddleware (#14)

> **文件数 vs. 运行时实例数说明**: 磁盘上有 14 个中间件 `.py` 文件（不含 `__init__.py`），但运行时通过条件组合可产生最多 17 个实例。差异来源：`GuardrailMiddleware` 来自 `guardrails/middleware.py`（非 `middlewares/` 目录），`SummarizationMiddleware` 来自 `langchain` 外部包，`ToolErrorHandlingMiddleware` 自身就是构建器。

**关键设计发现**: 中间件链是**条件组合**而非固定列表。`_build_middlewares` 通过条件判断动态组装。

**源码参考**:
- `G:\deerflow\backend\packages\harness\deerflow\agents\lead_agent\agent.py:208-270`
- `G:\deerflow\backend\packages\harness\deerflow\agents\middlewares\tool_error_handling_middleware.py:68-131`
- `G:\deerflow\backend\packages\harness\deerflow\agents\factory.py:299-372`（@Next/@Prev 声明式排序）

### 1.2 make_lead_agent 伪代码差异

原报告第 3.1.1 节伪代码省略了：
- `reasoning_effort` 参数处理
- `is_bootstrap` 引导代理路径（使用 `setup_agent` 工具 + 仅 `bootstrap` 技能）
- `agent_name` → `load_agent_config()` 自定义代理配置加载
- LangSmith trace metadata 注入
- 3 级模型回退逻辑（request > agent config > global default）

**源码参考**: `G:\deerflow\backend\packages\harness\deerflow\agents\lead_agent\agent.py:273-348`

---

## Part 2: 关键缺失（CRITICAL — 缺少核心概念）

### C1. Harness/App 架构分层与 CI 强制边界

**缺失内容**: DeerFlow 后端分为两个严格隔离的层：
- `packages/harness/deerflow/` — 可发布的 Python 包（`deerflow-harness`），包含代理框架核心
- `app/` — 不可发布的应用层，包含 FastAPI Gateway 和 IM Channels

**关键设计**: 单向依赖规则 enforced by CI — `app` 可以导入 `deerflow`，但 `deerflow` 绝不能导入 `app`。由 `tests/test_harness_boundary.py` 在 CI 中验证。

**ZCLAW 相关性**: ZCLAW 的 crate 依赖链需要类似的 CI 边界强制机制。

### C2. DeerFlowClient 嵌入式模式（双模式运行时）

**缺失内容**: `client.py`（931 行）提供完整进程内客户端，可在不启动 HTTP 服务的情况下使用所有 DeerFlow 功能。包含 77 个单元测试进行 Gateway 一致性验证。

**三种部署模式**: 完整服务器 | 嵌入式客户端 | CLI

**ZCLAW 相关性**: ZCLAW 的 Tauri 命令层 vs. SaaS HTTP API 双轨制可以直接借鉴 Gateway 一致性测试模式。应定义 `KernelClient` trait，实现 Tauri IPC 和 HTTP 两种后端。

**源码参考**: `G:\deerflow\backend\packages\harness\deerflow\client.py`

### C3. ACP Agent-to-Agent 通信协议

**缺失内容**: `invoke_acp_agent_tool.py`（9.5KB）实现跨进程 Agent 间通信。每个 ACP 代理获得独立工作空间 `/mnt/acp-workspace/`。

**ZCLAW 相关性**: ZCLAW 的 `zclaw-protocols` crate 已包含 A2A 支持，DeerFlow 的 ACP 提供具体沙箱隔离参考。

### C4. DanglingToolCallMiddleware 状态修复

**缺失内容**: 用户中断代理执行时，AIMessage 可能有 tool_calls 但缺少 ToolMessages。此中间件在第 4 位执行，注入合成错误 ToolMessage 修复状态。

**ZCLAW 相关性**: 任何允许用户中断代理执行的系统都需要此模式。

### C5. 反射系统（Reflection System）

**缺失内容**: `reflection/` 模块（`resolve_variable`、`resolve_class`）是动态加载基础，提供可操作的错误信息（如 "run `uv add langchain-google-genai`"）。

### C6. StreamBridge 生产者/消费者背压机制（专家新增）

**缺失内容**: 核心的 Agent Worker 与 SSE 端点解耦机制：
- 每次运行的独立队列 `asyncio.Queue(maxsize=256)`
- 单调递增事件 ID 用于 SSE 重连
- 背压处理：`wait_for(timeout=30s)` 超时丢弃
- 15 秒心跳哨兵
- 60 秒延迟清理

**ZCLAW 相关性**: ZCLAW 的 LLM 中继 SSE 流需要同样的背压机制。映射为 `tokio::sync::broadcast` + `tokio::time::timeout`。

**源码参考**: `G:\deerflow\backend\packages\harness\deerflow\runtime\stream_bridge\memory.py`

### C7. 提示词模板动态组装系统（专家新增）

**缺失内容**: `agents/lead_agent/prompt.py`（528 行）实现了条件段落组装：
- 10+ 个条件段落：`agent_name`、`soul`、`memory_context`、`thinking_style`、`clarification_system`、`skills_section`、`deferred_tools_section`、`subagent_section`、`acp_section`、`citations`、`critical_reminders`
- 每个段落根据运行时配置条件性包含
- 这是整个系统最复杂的单一文件之一

**ZCLAW 相关性**: **P0 优先级迁移项**。ZCLAW 目前使用扁平 `system_prompt` 字符串，这是最大的架构差距。

**源码参考**: `G:\deerflow\backend\packages\harness\deerflow\agents\lead_agent\prompt.py`

### C8. 中间件-提示词协调契约（专家新增）

**缺失内容**: DeerFlow 的中间件和提示词段落是**统一设计**的协调系统：
- `SubagentLimitMiddleware` 强制执行提示词段落描述的并发限制
- `ClarificationMiddleware` 拦截提示词段落定义的 `ask_clarification` 工具
- `DeferredToolFilterMiddleware` 隐藏提示词段落仅列出名称的工具 schema
- `LoopDetectionMiddleware` 作为幻觉信号检测器

**ZCLAW 相关性**: 迁移时必须保持中间件-提示词的协调关系，不能独立迁移。

---

## Part 3: 显著不足（SIGNIFICANT — 覆盖不充分）

### S1. 中间件链排序原理与位置约束

中间件排序编码了关键设计决策：
- ClarificationMiddleware **必须最后**：通过 `Command(goto=END)` 中断执行
- GuardrailMiddleware 在 SummarizationMiddleware **之前**：安全检查在上下文压缩前执行
- DanglingToolCallMiddleware 修复在 GuardrailMiddleware **之前**：确保安全检查时状态一致
- ThreadDataMiddleware 在 SandboxMiddleware **之前**：确保 thread_id 可用

### S2. Memory 管道实现细节

缺少关键实现细节：
- **原子文件 I/O**: temp 文件 + rename
- **空白字符规范化去重**: trim 后比较避免格式差异
- **注入格式**: `<memory>` XML 标签 + top 15 facts + 上下文摘要
- **队列去重**: 同一线程更新替换策略
- **批量延迟**: 0.5s 间隔处理

### S3. IM Channel 架构细节

缺少：
- **MessageBus**: 异步 pub/sub 架构
- **复合键映射**: `channel_name:chat_id[:topic_id]` → `thread_id`
- **流式差异**: 飞书 `runs.stream()` + 增量卡片 vs. Slack/Telegram `runs.wait()`

### S4. 前端组件架构深度

缺少：
- **ai-elements 组件库**: 28 文件的 AI 交互原语层（Context-Provider 模式）
- **Streamdown**: 自定义流式 Markdown 渲染器，`Intl.Segmenter` 中文逐词动画
- **Landing Page**: WebGL (OGL) + GSAP
- **Better Auth + i18n + Mock 模式**

### S5. 安全架构深度（仅表面覆盖）

**原报告遗漏**，详见 Part 4 安全审计发现。

### S6. 自定义代理系统

文件系统存储（`config.yaml` + `SOUL.md` + 可选 `memory.json`），每个代理独立配置模型、工具组、个性。Bootstrap Agent 路径使用最小工具集。

### S7. Gateway API 路由完整性

遗漏路由：threads CRUD、agents CRUD、suggestions、thread_runs、runs、health。

### S8. 配置系统深度

20+ Pydantic 子配置模块、版本检查、4 级路径解析优先级、`config-upgrade.sh` 自动迁移。

### S9. Checkpointer 抽象持久化层（专家新增）

- 抽象 `Checkpointer` 协议 + memory/sqlite/postgres 策略
- 异步上下文管理器生命周期
- 回滚支持：每次运行前捕获 `pre_run_checkpoint_id`
- `AsyncExitStack` 生命周期管理

**源码参考**: `G:\deerflow\backend\packages\harness\deerflow\agents\checkpointer\async_provider.py`

### S10. 前端 3 阶段乐观消息合并管道（专家新增）

`useThreadStream` 实现三阶段乐观渲染：
1. **即时本地回声**: 创建合成消息 `opt-human-${Date.now()}`
2. **服务器确认**: useEffect 监听真实消息到达，清除乐观消息
3. **文件上传状态转换**: 乐观消息中的 `status: "uploading"` → `status: "uploaded"`

**源码参考**: `G:\deerflow\frontend\src\core\threads\hooks.ts:186-410`

### S11. 子代理提示词隔离与执行模型（专家新增）

- 子代理获得**全新 ThreadState**，仅含单个 `HumanMessage(task)`
- 简化中间件链（无 uploads、无 dangling-tool patch、无嵌套子代理）
- `disallowed_tools` 默认 `["task"]` 防止递归生成
- `thinking_enabled=False`、`timeout_seconds=900`、`max_turns=50`
- 独立线程池（`_scheduler_pool` + `_execution_pool` 各 3 worker）
- Trace ID 链接父子代理日志

**源码参考**: `G:\deerflow\backend\packages\harness\deerflow\subagents\executor.py:71-75, 391-453`

### S12. CI/CD 与部署管道（DevOps 专家新增）

- GitHub Actions: `backend-unit-tests.yml` + `lint-check.yml`（并发组控制）
- **无**集成/E2E 测试阶段
- **无**安全扫描（pip audit、npm audit、SAST）
- **无**自动化镜像标记或容器注册表推送
- 前端多阶段构建 vs. 后端单阶段构建（后者包含完整 langgraph 依赖树）
- DooD 模式安全隐患（Docker socket 挂载）

---

## Part 4: 安全审计发现（安全工程师新增）

### 关键洞察: "Toxic Output Loop"

DeerFlow 将所有安全投入放在**预执行检查**（GuardrailMiddleware #5），但**零后执行输出消毒**。工具输出（web 搜索结果、文件内容、子代理响应）未经检查直接流入 LLM 上下文，构成最大的提示注入攻击面。

### 安全发现清单

| ID | 级别 | 发现 | 影响 | 源码 |
|----|------|------|------|------|
| S-01 | **CRITICAL** | LocalSandbox 使用 `shell=True` 执行任意命令 | 主机完全暴露 | `local_sandbox.py:217` |
| S-02 | **HIGH** | Docker 容器禁用 seccomp | 容器逃逸 = 主机文件系统访问 | `local_backend.py:230` |
| S-03 | **HIGH** | `resolve_class` 从 config 加载任意 Python 模块 | 配置被篡改 = 代码执行 | `resolvers.py` |
| S-04 | **CRITICAL** | MCP 配置端点零认证 | 任意命令注入 | `routers/mcp.py:98` |
| S-05 | **HIGH** | ACP `auto_approve_permissions` 绕过安全检查 | 禁用人工审批 | `acp_config.py:19` |
| S-06 | **MEDIUM** | Agent 执行无速率限制 | LLM API 配额耗尽 | 全局 |
| S-07 | **HIGH** | 所有线程端点零认证 | 任意用户读取他人数据 | 线程路由 |
| S-08 | **HIGH** | 工具输出零消毒（提示注入向量） | Toxic Output Loop | 中间件链 |
| S-09 | **MEDIUM** | MCP 配置端点泄露密钥 | API key 暴露 | `routers/mcp.py` GET |
| S-10 | **MEDIUM** | 文件上传 TOCTOU 竞态条件 | 符号链接攻击 | 上传处理 |

### ZCLAW 安全迁移建议

1. **替换 LocalSandbox**: 使用 WASM 或受限进程，**绝不**使用 `shell=True`
2. **双向 Guardrails**: 在工具执行前后都添加检查
3. **OS Keychain**: API 密钥存储使用系统密钥链
4. **Tauri IPC Allowlisting**: 比 HTTP 端点天然更受限
5. **保留 ZCLAW 现有 SaaS 认证**: 比 DeerFlow 的零认证 API 层显著更强

---

## Part 5: 细节差距（MINOR）

| # | 差距 | 说明 | 来源 |
|---|------|------|------|
| M1 | Provisioner 服务 | 端口 8002，仅 K8s 模式启用 | DevOps |
| M2 | ModelConfig 新字段 | `use_responses_api`、`output_version` | 后端 |
| M3 | Skills 安装 API | `POST /api/skills/install` 从 ZIP 安装 | 后端 |
| M4 | 文件上传转换 | markitdown 自动转换 PDF/PPT/Excel/Word | 后端 |
| M5 | 上传全有或全无语义 | 任一文件失败则整批拒绝 | 后端 |
| M6 | MCP OAuth 支持 | client_credentials、refresh_token + 自动刷新 | 后端 |
| M7 | credential_loader.py | 7KB 凭据加载模块 | 后端 |
| M8 | Stream Bridge | SSE 格式化 + 流桥接 | 后端 |
| M9 | Run Manager | 运行生命周期管理 | 后端 |
| M10 | 配置版本迁移 | `config-upgrade.sh` 文本替换+递归合并+自动备份 | DevOps |
| M11 | 条件服务激活 | config.yaml 解析 → Docker profile | DevOps |
| M12 | Nginx 流式头 | `proxy_buffering off` + 600s timeout | DevOps |
| M13 | 3 层并发模型 | asyncio + threading + sync 单例 → Rust tokio 统一 | 后端 |
| M14 | @Next/@Prev 声明式排序 | 冲突检测 + 不变式强制 | 后端 |
| M15 | Ref 回调稳定化模式 | useStream hook 中的 listeners.current | 前端 |
| M16 | 双模式 PromptInput | Provider 模式 vs 独立模式 | 前端 |
| M17 | 语义消息分组 | human/assistant/clarification/present-files/subagent | 前端 |
| M18 | Thinking Mode 控制 | per-model supports_thinking + reasoning_effort | AI Agent |

---

## Part 6: ZCLAW 迁移策略

### 6.1 迁移优先级矩阵

#### P0: 基础（必须首先实现）

| DeerFlow 模式 | ZCLAW 目标 | 实现路径 | 相对工作量 |
|--------------|-----------|---------|-----------|
| 提示词模板动态组装 ★最大差距 | `zclaw-kernel` | 候选方案: `tera`(模板引擎) / `minijinja`(Jinja2兼容) / 自定义 `StringBuilder` + 条件段落 + `tokenizers` crate 预算截断 | **L** (3-5天) |
| 双模式运行时 (Client + Gateway) | `zclaw-kernel` | `KernelClient` trait + Tauri IPC impl + HTTP impl + 一致性测试 | **M** (2-3天) |
| 工具错误恢复消息 | `zclaw-runtime` | `Result<ToolMessage, GraphBubbleUp>` + 引导性错误描述 | **S** (1天) |
| 模型能力标志 | `zclaw-runtime` | `supports_thinking`、`supports_reasoning_effort`、`supports_vision` | **S** (0.5天) |

#### P1: 核心链

| DeerFlow 模式 | ZCLAW 目标 | 实现路径 | 相对工作量 |
|--------------|-----------|---------|-----------|
| StreamBridge 背压机制 | `zclaw-saas` relay | `tokio::sync::broadcast` + timeout + heartbeat | **M** (2天) |
| DanglingToolCallMiddleware | `zclaw-kernel` | 中断后状态修复 | **S** (1天) |
| MemoryMiddleware + 防抖 | `zclaw-memory` | `tokio::sync::mpsc` + debounce timer | **M** (2天) |
| GuardrailMiddleware | `zclaw-kernel` | `trait GuardrailProvider` + `async fn evaluate()` | **M** (2天) |
| ClarificationMiddleware | `zclaw-runtime` | 拦截 clarification 工具调用 | **S** (1天) |
| 乐观消息合并管道 | `desktop/src` | `useTauriThreadStream` 3 阶段合并 | **L** (3天) |
| Thinking Mode 控制 | `zclaw-runtime` | per-model 动态参数注入 | **S** (1天) |
| **MCP 端点认证** | `zclaw-saas` | 复用现有 auth middleware 保护 MCP 配置端点 | **S** (0.5天) |
| **工具输出消毒** | `zclaw-kernel` | post-execution guardrail + 输出长度/模式检查 | **M** (2天) |

#### P2: 高级特性

| DeerFlow 模式 | ZCLAW 目标 | 实现路径 |
|--------------|-----------|---------|
| Checkpointer trait | `zclaw-memory` | SQLite impl + PostgreSQL impl |
| Subagent 执行器 | `zclaw-kernel` | `tokio::spawn` + timeout + 简化中间件链 |
| ai-elements 组件库 | `desktop/src/components/ai/` | 直接移植 28 文件 + Context-Provider 模式 |
| Context Engineering | `zclaw-kernel` | `tokenizers` crate + 校准估算 |
| IM Channel MessageBus | `zclaw-protocols` | pub/sub + 复合键线程映射 |
| 配置版本迁移 | `saas-config.toml` | `config_version` + 迁移脚本 |

#### P3: 打磨

| DeerFlow 模式 | ZCLAW 目标 | 实现路径 |
|--------------|-----------|---------|
| LangSmith 追踪 | `zclaw-runtime` | OpenTelemetry + Jaeger |
| 配置热重载 | `zclaw-saas` | file mtime watch + 通知 |
| ACP 协议 | `zclaw-protocols` | 跨进程 Agent 通信 |
| 延迟工具注册表 | `zclaw-runtime` | 按需工具发现 |
| 条件服务激活 | Docker Compose | config → profile 映射 |

### 6.2 Python async → Rust tokio 映射表

| Python | Rust 等价 | 说明 |
|--------|----------|------|
| `asyncio.Lock` | `tokio::sync::Mutex` | 仅关键区用 |
| `asyncio.Queue` | `tokio::sync::broadcast` | SSE 多消费者 |
| `asyncio.Task` | `JoinHandle` | 提供 `abort()` |
| `asyncio.Event` | `CancellationToken` | `tokio_util` |
| `threading.Lock` | 消除 | tokio 统一 async |
| `ThreadPoolExecutor` | `tokio::spawn` | 无需线程池 |
| `threading.Timer` | `tokio::time::sleep` | via `tokio::select!` |
| `AsyncExitStack` | RAII `Drop` | Rust 自动 |

### 6.3 前端迁移关键决策

| 决策 | 推荐 | 理由 |
|------|------|------|
| ai-elements 组件库 | **直接移植** | 无后端依赖，纯 React + Radix + Tailwind |
| 状态管理 | Zustand + TanStack Query | Zustand 替换 Context，Query 保持 server state |
| 流式 Markdown | **保留 streamdown** | 框架无关，直接可用 |
| 乐观消息合并 | **新建 useTauriThreadStream** | 替换 useStream，保持相同返回类型 |
| Layout 嵌套 | **复制层级结构** | QueryClientProvider → Sidebar → SubtasksProvider → ArtifactsProvider → PromptInputProvider |

---

## Part 7: 完全缺失的章节

以下主题在原文档中**零覆盖**：

1. **测试策略** — 无测试组织、TDD 要求、边界测试、一致性测试
2. **错误恢复哲学** — 无中间件链错误传播、工具错误恢复消息、状态修复
3. **部署模式对比** — 无完整服务器 vs. 嵌入式客户端 vs. CLI 对比
4. **性能特征** — 无背压、并发限制、StreamBridge 性能分析
5. **Harness/App 边界强制** — 无架构分层和 CI 验证
6. **提示词工程** — 无动态模板组装、条件段落、中间件协调
7. **配置版本迁移** — 无版本化配置、自动升级、向后兼容
8. **可观测性** — 无结构化日志、追踪、指标端点

---

## Part 8: 建议修正与补充

### 需要修正的内容

1. **第 3.2 节 中间件系统**: 修正为动态条件组合模式（非固定 14 个），补充 4 个遗漏中间件，解释排序约束原理
2. **第 3.1.1 节 伪代码**: 补充 is_bootstrap 路径、agent_name 配置、3 级模型回退
3. **第 3.3.2 节 工具加载**: 补充 ACP Agent 工具、tool_search 延迟加载

### 需要新增的章节

4. **Harness/App 架构分层** — publishable/unpublishable 分离 + CI 边界强制
5. **DeerFlowClient 嵌入式模式** — 三种部署模式 + Gateway 一致性测试
6. **安全架构深度** — 沙箱审计、Artifact XSS、上传验证、Toxic Output Loop
7. **自定义代理系统** — SOUL.md、Bootstrap 路径、Agent Gallery
8. **提示词模板系统** — 10+ 条件段落 + 中间件协调契约
9. **StreamBridge 背压机制** — 生产者/消费者解耦 + SSE 重连 + 心跳

### 需要扩展的章节

10. **第 3.7 节 Memory**: 原子 I/O、去重算法、注入格式、队列去重
11. **第 4 节 前端**: ai-elements 组件模式、Streamdown 管道、乐观消息合并
12. **第 6 节 IM Channel**: MessageBus 架构、复合键映射、流式差异
13. **第 7 节 配置**: 版本检查、路径解析优先级、配置升级

### 安全加固建议

14. **双向工具检查**: pre-execution guardrails + post-execution 输出消毒
15. **MCP 端点认证**: 对配置写入端点添加认证中间件
16. **容器安全加固**: 启用 seccomp、移除 Docker socket 挂载
17. **API 密钥保护**: 端点响应中脱敏密钥字段
18. **文件上传原子化**: 修复 TOCTOU 竞态 + 添加文件大小限制

---

## Part 9: 验证方式

验证本评估的准确性和文档修正的完整性：

1. **中间件验证**: `ls G:/deerflow/backend/packages/harness/deerflow/agents/middlewares/*.py` 确认 15 个文件
2. **路由验证**: `grep "include_router" G:/deerflow/backend/app/gateway/app.py` 确认路由注册
3. **提示词模板验证**: `wc -l G:/deerflow/backend/packages/harness/deerflow/agents/lead_agent/prompt.py` 确认 528 行
4. **技能验证**: `ls G:/deerflow/skills/public/` 确认 17 个技能目录
5. **前端组件验证**: `ls G:/deerflow/frontend/src/components/ai-elements/` 确认 27 个组件文件
6. **安全验证**: 在 ZCLAW 中实现双向 guardrails 后，运行 `cargo test` + `pnpm vitest run`
7. **集成验证**: ZCLAW `KernelClient` trait 的两种实现（Tauri IPC + HTTP）通过一致性测试