Processar aprovações e entrada de usuário¶

Use as regras allowedTools/disallowedTools e o retorno de chamada canUseTool para controlar quais ferramentas o agente pode usar e como as solicitações de permissão são processadas.

Por padrão, o SDK aplica as permissões da ferramenta, não as ignora. O retorno de chamada canUseTool oferece um controle granular sobre as solicitações de permissão que ainda não foram resolvidas pelas regras allowedTools/disallowedTools ou por um modo de permissão explícita, como bypassPermissions.

O SDK não fornece um prompt de permissão interativo por padrão. Se uma solicitação verificada por permissão chegar ao SDK e``canUseTool`` não for fornecido, a solicitação falhará.

Como funciona¶

Quando você fornece um retorno de chamada canUseTool, oSDK o chama antes de cada execução de ferramenta verificada por permissão. O retorno de chamada decide o que acontece:

O agente decide usar uma ferramenta verificada por permissão.
O SDK chama o retorno de chamada canUseTool com o nome da ferramenta, a entrada da solicitação e o contexto da permissão.
O retorno de chamada responde allow ou deny.
A execução da ferramenta continua ou é bloqueada de acordo.

Para muitas verificações comuns de permissão de ferramentas, a entrada de retorno de chamada contém campos como { action, resource }. As pseudoferramentas roteadas por SDK, como AskUserQuestion e ExitPlanMode, contêm campos específicos da ferramenta.

Se canUseTool não for fornecido e uma solicitação verificada por permissão chegar ao SDK, o SDK retornará um erro em vez de enviar um prompt interativamente.

Exemplo básico¶

import { createCortexCodeSession } from "cortex-code-agent-sdk";

const session = await createCortexCodeSession({
  cwd: process.cwd(),
  canUseTool: async (toolName, input, context) => {
    console.log(`Tool requested: ${toolName}`, input);

    // Allow read-only tools, deny destructive ones
    if (["Read", "Glob", "Grep"].includes(toolName)) {
      return { behavior: "allow" };
    }

    return { behavior: "deny", message: "Only read-only tools are allowed" };
  },
});

await session.send("What files are in this directory?");
for await (const event of session.stream()) {
  if (event.type === "assistant") {
    for (const b of event.content) {
      if (b.type === "text") process.stdout.write(b.text);
    }
  }
  if (event.type === "result") break;
}
await session.close();

from typing import Any

from cortex_code_agent_sdk import (
    CortexCodeAgentOptions,
    CortexCodeSDKClient,
    PermissionResultAllow,
    PermissionResultDeny,
    ToolPermissionContext,
)

async def can_use_tool(
    tool_name: str,
    tool_input: dict[str, Any],
    context: ToolPermissionContext,
) -> PermissionResultAllow | PermissionResultDeny:
    print(f"Tool requested: {tool_name}", tool_input)

    # Allow read-only tools, deny destructive ones
    if tool_name in ("Read", "Glob", "Grep"):
        return PermissionResultAllow()

    return PermissionResultDeny(message="Only read-only tools are allowed")

async with CortexCodeSDKClient(CortexCodeAgentOptions(
    can_use_tool=can_use_tool,
)) as client:
    await client.query("What files are in this directory?")
    async for msg in client.receive_response():
        ...

Padrões de resposta¶

Permitir chamada de ferramenta¶

Retornar { behavior: "allow" } para permitir que a ferramenta seja executada com a entrada original:

canUseTool: async (toolName, input, context) => {
  return { behavior: "allow" };
}

from typing import Any

from cortex_code_agent_sdk import PermissionResultAllow, ToolPermissionContext

async def can_use_tool(
    tool_name: str,
    tool_input: dict[str, Any],
    context: ToolPermissionContext,
) -> PermissionResultAllow:
    return PermissionResultAllow()

Negar chamada de ferramenta¶

Retornar { behavior: "deny" } com uma mensagem opcional. O agente vê a mensagem de negação e pode ajustar sua abordagem:

canUseTool: async (toolName, input, context) => {
  if (toolName === "Bash") {
    return { behavior: "deny", message: "Bash commands are not allowed in this session" };
  }
  return { behavior: "allow" };
}

from typing import Any

from cortex_code_agent_sdk import (
    PermissionResultAllow,
    PermissionResultDeny,
    ToolPermissionContext,
)

async def can_use_tool(
    tool_name: str,
    tool_input: dict[str, Any],
    context: ToolPermissionContext,
) -> PermissionResultAllow | PermissionResultDeny:
    if tool_name == "Bash":
        return PermissionResultDeny(message="Bash commands are not allowed in this session")
    return PermissionResultAllow()

A ferramenta AskUserQuestion¶

O Cortex Code tem uma ferramenta AskUserQuestion integrada que o agente usa quando precisa de esclarecimento do usuário. Quando o agente chama AskUserQuestion, o SDK o roteia por meio do retorno de chamada canUseTool com toolName definido como "AskUserQuestion". A entrada contém as perguntas do agente como opções de múltipla escolha estruturadas.

Lidando com perguntas¶

Verifique se há toolName === "AskUserQuestion" em seu retorno de chamada canUseTool. input contém um array questions em que cada pergunta tem:


Campo	Descrição
`question`	O texto completo da pergunta a ser exibido
`header`	Rótulo abreviado da pergunta
`options`	Matriz de opções, cada uma com `label`, `description`, `freeForm` (booliano) e `isCancel` (booliano)
`multiSelect`	Se `true`, os usuários podem selecionar várias opções

Retorna allow com updatedInput que inclui questions original e um mapa answers. Cada chave é o texto da pergunta e cada valor é o rótulo da opção selecionada. Para perguntas com várias seleções, une os rótulos com ", ".

const session = await createCortexCodeSession({
  cwd: process.cwd(),
  canUseTool: async (toolName, input, context) => {
    if (toolName === "AskUserQuestion") {
      const answers: Record<string, string> = {};
      for (const q of input.questions) {
        // Present q.question and q.options to the user, collect their choice
        const selected = await promptUser(q.question, q.options);
        answers[q.question] = selected;
      }
      return {
        behavior: "allow",
        updatedInput: { questions: input.questions, answers },
      };
    }
    return { behavior: "allow" };
  },
});

from typing import Any

from cortex_code_agent_sdk import (
    PermissionResultAllow,
    ToolPermissionContext,
)

async def can_use_tool(
    tool_name: str,
    tool_input: dict[str, Any],
    context: ToolPermissionContext,
) -> PermissionResultAllow:
    if tool_name == "AskUserQuestion":
        answers: dict[str, str] = {}
        for q in tool_input.get("questions", []):
            # Present q["question"] and q["options"] to the user, collect their choice
            selected = await prompt_user(q["question"], q["options"])
            answers[q["question"]] = selected
        return PermissionResultAllow(
            updated_input={"questions": tool_input["questions"], "answers": answers}
        )
    return PermissionResultAllow()

Para negar uma pergunta (cancelar a interação), retorna deny:

return { behavior: "deny", message: "User cancelled" };

return PermissionResultDeny(message="User cancelled")

Dica

AskUserQuestion é roteado por meio de canUseTool. Sem um retorno de chamada, a interação não pode ser concluída e a solicitação apresentará erros em vez de prosseguir silenciosamente.

A ferramenta ExitPlanMode¶

Quando uma sessão está no modo plan, o Cortex Code permanece em planejamento até o plano ser aprovado. A solicitação de aprovação é roteada por meio do retorno de chamada canUseTool com toolName/tool_name definido como "ExitPlanMode".

A entrada contém:


Campo	Descrição
`plan`	O texto do plano proposto que o agente deseja executar
`question`	Prompt de aprovação adicional opcional do agente

Aprovando ou rejeitando um plano¶

Retorna allow para aprovar o plano. Opcionalmente, inclua updatedInput.message para passar o contexto de revisão de volta ao agente antes que ele saia do modo de plano.

Retorna deny para rejeitar o plano. Use message quando você quiser que o agente revise o plano com feedback específico. Rejeitar ExitPlanMode mantém o turno atual no modo de plano para que o agente possa atualizar o plano e perguntar novamente.

Aprovar ExitPlanMode encerra o modo de plano para o turno atual. Os turnos seguintes retomam o comportamento normal de permissão não plano da sessão, assim as chamadas de ferramenta posteriores são avaliadas da mesma forma que seriam fora do modo de plano.

Padrão de interação recomendado¶

Use o modo de plano como um loop de revisão:

Iniciar a sessão com permissionMode: "plan" (TypeScript) ou permission_mode="plan" (Python).
Deixar o agente coletar todas as informações ausentes usando AskUserQuestion.
Quando o agente chama ExitPlanMode, inspecionar o texto do plan proposto.
Retornar deny com uma mensagem de revisão exata, caso o plano precise de alterações.
Retornar allow quando o plano for aceitável. Opcionalmente, inclua updatedInput.message/updated_input["message"] com orientação do revisor para execução.
Após a aprovação, os turnos posteriores voltam ao comportamento normal de permissão não plano da sessão.

const session = await createCortexCodeSession({
  cwd: process.cwd(),
  permissionMode: "plan",
  canUseTool: async (toolName, input, context) => {
    if (toolName === "ExitPlanMode") {
      const plan = String(input.plan ?? "");
      if (!plan.includes("test")) {
        return {
          behavior: "deny",
          message: "Add a test or verification step before leaving plan mode.",
        };
      }
      return {
        behavior: "allow",
        updatedInput: {
          message: "Approved. Run the verification step before the final answer.",
        },
      };
    }
    return { behavior: "allow" };
  },
});

from typing import Any

from cortex_code_agent_sdk import (
    CortexCodeAgentOptions,
    CortexCodeSDKClient,
    PermissionResultAllow,
    PermissionResultDeny,
    ToolPermissionContext,
)

async def can_use_tool(
    tool_name: str,
    tool_input: dict[str, Any],
    context: ToolPermissionContext,
) -> PermissionResultAllow | PermissionResultDeny:
    if tool_name == "ExitPlanMode":
        plan = str(tool_input.get("plan", ""))
        if "test" not in plan:
            return PermissionResultDeny(
                message="Add a test or verification step before leaving plan mode."
            )
        return PermissionResultAllow(
            updated_input={
                "message": "Approved. Run the verification step before the final answer."
            }
        )
    return PermissionResultAllow()

client = CortexCodeSDKClient(CortexCodeAgentOptions(
    cwd=".",
    permission_mode="plan",
    can_use_tool=can_use_tool,
))

Exemplo de loop de revisão¶

O loop de revisão mais simples é rejeitar um plano fraco uma vez com feedback específico e, em seguida, aprovar o plano revisado:

let rejectedOnce = false;

const session = await createCortexCodeSession({
  cwd: process.cwd(),
  permissionMode: "plan",
  canUseTool: async (toolName, input) => {
    if (toolName === "ExitPlanMode") {
      const plan = String(input.plan ?? "");
      if (!rejectedOnce) {
        rejectedOnce = true;
        return {
          behavior: "deny",
          message: "Add a verification step and say which file you will edit.",
        };
      }
      return {
        behavior: "allow",
        updatedInput: {
          message: `Approved plan: ${plan}`,
        },
      };
    }
    return { behavior: "allow" };
  },
});

from typing import Any

from cortex_code_agent_sdk import (
    PermissionResultAllow,
    PermissionResultDeny,
    ToolPermissionContext,
)

state = {"rejected_once": False}

async def can_use_tool(
    tool_name: str,
    tool_input: dict[str, Any],
    context: ToolPermissionContext,
) -> PermissionResultAllow | PermissionResultDeny:
    if tool_name == "ExitPlanMode":
        plan = str(tool_input.get("plan", ""))
        if not state["rejected_once"]:
            state["rejected_once"] = True
            return PermissionResultDeny(
                message="Add a verification step and say which file you will edit."
            )
        return PermissionResultAllow(
            updated_input={"message": f"Approved plan: {plan}"}
        )
    return PermissionResultAllow()

Permissões baseadas em regras¶

Para padrões de permissão comuns, você pode usar uma configuração baseada em regras em vez de escrever uma lógica de retorno de chamada. As opções allowedTools e disallowedTools permitem que você defina listas de ferramentas que são automaticamente aprovadas ou bloqueadas:

const session = await createCortexCodeSession({
  cwd: process.cwd(),
  allowedTools: ["Read", "Glob", "Grep", "Bash(npm test:*)"],
  disallowedTools: ["Write"],
});

client = CortexCodeSDKClient(CortexCodeAgentOptions(
    allowed_tools=["Read", "Glob", "Grep", "Bash(npm test:*)"],
    disallowed_tools=["Write"],
))

As entradas allowedTools podem incluir padrões. Por exemplo, Bash(npm test:*) aprova automaticamente qualquer comando Bash que corresponda a esse padrão. Entradas disallowedTools bloqueiam inteiramente ferramentas específicas.

Essas regras são avaliadas pela CLI antes do retorno de chamada canUseTool. Se uma ferramenta corresponder a uma regra permitida ou não permitida, o retorno de chamada não será invocado para essa ferramenta.

Combinando com modos de permissão¶

O retorno de chamada canUseTool funciona junto com os modos de permissão. Quando ambos são definidos, os filtros internos do modo de permissão da CLI são executados primeiro, e seu retorno de chamada processa todas as chamadas de ferramenta restantes que precisam de aprovação.

Os modos de permissão disponíveis são:


Modo	Descrição
`default`	Usa verificações de permissão padrão. Nas sessões do SDK, controla as ferramentas verificadas por permissão com `allowedTools`, `disallowedTools` ou `canUseTool`.
`autoAcceptPlans`	Aprova automaticamente as solicitações de plano e confirmações de saída de plano. Não ignora as permissões de ferramenta comuns.
`plan`	O agente planeja as alterações, mas não as executa sem aprovação. Com `canUseTool`, as aprovações do modo de plano são roteadas por meio de `ExitPlanMode`. Negar essa solicitação mantém o planejamento ativo. Aprová-la sai do modo de plano, e os turnos posteriores retomam as permissões normais.
`bypassPermissions`	Ignora todas as verificações de permissão. Requer `allowDangerouslySkipPermissions: true` (TypeScript) ou `allow_dangerously_skip_permissions=True` (Python) como um sinalizador de segurança.

Alterar o modo de permissão durante uma sessão¶

Você pode alterar o modo de permissão após o início da sessão. TypeScript expõe setPermissionMode() em ambos Query e CortexCodeSession. O Python expõe set_permission_mode() em CortexCodeSDKClient.

O modo atualizado se aplica aos turnos posteriores depois que a solicitação de controle é processada. Ele não altera retroativamente uma chamada de ferramenta que já está em execução.

const session = await createCortexCodeSession({
  cwd: process.cwd(),
});

await session.setPermissionMode("plan");
await session.send("Review the repo and propose a plan before editing.");

await session.setPermissionMode("default");
await session.send("Now implement the approved change.");

from cortex_code_agent_sdk import CortexCodeAgentOptions, CortexCodeSDKClient

async with CortexCodeSDKClient(CortexCodeAgentOptions(cwd=".")) as client:
    await client.set_permission_mode("plan")
    await client.query("Review the repo and propose a plan before editing.")

    await client.set_permission_mode("default")
    await client.query("Now implement the approved change.")

Ganchos¶

Os ganchos permitem interceptar a execução da ferramenta em diferentes estágios do ciclo de vida. Ao contrário de canUseTool, que só controla se uma ferramenta é ou não executada, os ganchos podem inspecionar os resultados da ferramenta, injetar contexto e controlar o fluxo do agente.

import { createCortexCodeSession } from "cortex-code-agent-sdk";

const session = await createCortexCodeSession({
  cwd: process.cwd(),
  hooks: {
    PreToolUse: [
      {
        matcher: "Bash",
        hooks: [
          async (input, toolUseId, context) => {
            console.log(`About to run Bash: ${input.tool_input?.command}`);
            return {};  // Allow execution to proceed
          },
        ],
      },
    ],
    PostToolUse: [
      {
        hooks: [
          async (input, toolUseId, context) => {
            console.log(`Tool ${input.tool_name} completed`);
            return {};
          },
        ],
      },
    ],
  },
});

from cortex_code_agent_sdk import CortexCodeSDKClient, CortexCodeAgentOptions, HookMatcher

async def log_bash(input_data, tool_use_id, context):
    print(f"About to run Bash: {input_data.get('tool_input', {}).get('command')}")
    return {}

async def log_completion(input_data, tool_use_id, context):
    print(f"Tool {input_data.get('tool_name')} completed")
    return {}

async with CortexCodeSDKClient(CortexCodeAgentOptions(
    hooks={
        "PreToolUse": [HookMatcher(matcher="Bash", hooks=[log_bash])],
        "PostToolUse": [HookMatcher(hooks=[log_completion])],
    },
)) as client:
    ...

Eventos de gancho¶


Evento	Quando é acionado
`PreToolUse`	Antes da execução de uma ferramenta. Pode bloquear a execução ou modificar a entrada.
`PostToolUse`	Depois que uma ferramenta é concluída com sucesso.
`UserPromptSubmit`	Quando um prompt de usuário é enviado.
`Stop`	Quando o agente para.
`SubagentStop`	Quando um subagente para.
`Notification`	Quando o agente emite uma notificação.
`PermissionRequest`	Quando ocorre uma solicitação de permissão de ferramenta.
`PreCompact`	Antes da compactação do contexto.

O campo matcher em uma entrada de gancho é opcional. Quando fornecido, ele filtra pelo valor de correspondência do evento: nome da ferramenta para PreToolUse, PostToolUse e PermissionRequest; tipo de notificação para Notification e acionador para PreCompact. Quando omitido, o gancho é acionado para todos os valores daquele evento.

Consulte a Referência do SDK TypeScript e a Referência do SDK Python para ver as definições completas dos tipos de entrada e saída de gancho.

Escolhendo uma abordagem¶


Abordagem	Quando usar
`permissionMode: "bypassPermissions"` com sinalizador de segurança	Ambientes em sandbox, pipelines de CI ou cenários totalmente confiáveis em que você não precisa revisar as chamadas de ferramentas. Requer `allowDangerouslySkipPermissions: true` (TypeScript) ou `allow_dangerously_skip_permissions=True` (Python).
`allowedTools` / `disallowedTools`	Quando você pode expressar sua política de permissões como uma lista estática de ferramentas permitidas ou bloqueadas
Retorno de chamada de `canUseTool`	Sistemas de produção em que você precisa auditar, filtrar ou modificar chamadas de ferramentas antes de serem executadas
Somente modo de permissão (sem retorno de chamada)	Quando `autoAcceptPlans` é suficiente, e você não precisa de processamento de retorno de chamada personalizado
Ganchos	Quando você precisa observar ou responder aos resultados da ferramenta, injetar contexto ou controlar o fluxo do agente além das decisões de permitir/negar

Nota

Por padrão, o SDK não ignora as permissões ou envia um prompt interativamente. Se uma solicitação verificada por permissão chegar ao SDK e``canUseTool`` não for fornecido, a solicitação falhará. Para ignorar as permissões, você deve definir permissionMode: "bypassPermissions" explicitamente com o sinalizador de segurança apropriado.

Avisos legais¶

Quando sua configuração do Cortex Code usa um modelo que consta em Model and Service Pass-Through Terms, seu uso desse modelo está sujeito aos respectivos termos nessa página.

A classificação dos dados de entradas e saídas é definido na tabela a seguir.


Classificação de dados de entrada	Classificação de dados de saída	Designação
Usage Data	Dados de cliente	Recursos de AI incluídos [1]

Para obter informações adicionais, consulte AI e ML Snowflake.