核心用法
subagent-spawn-command-builder 是一个 Node.js 工具脚本,用于将 CLI 参数转换为 sessions_spawn 可用的 JSON 载荷。用户通过 --task、--model、--thinking、--run-timeout-seconds、--cleanup 等参数精确控制子代理行为,输出可直接用于 API 调用的标准 JSON 格式。
显著优点
1. 配置即代码:所有子代理参数通过显式 CLI 传递,避免隐式配置文件带来的不可预测性
2. 可复用模板:--profile 作为日志标签配合 TOOLS.md 中的推荐配置表,实现团队级配置标准化
3. 零副作用设计:仅生成 JSON 不执行 spawn,适合 CI/CD 流水线预检查或权限分离场景
4. 完整参数覆盖:支持 agentId、label 等元数据注入,便于后续链路追踪
潜在局限
- 无内置验证:脚本本身不校验模型名称有效性或任务描述安全性,依赖调用方前置检查
- 手动参数传递:相比配置文件驱动,需显式指定每个参数,高频使用场景下命令冗长
- Node.js 依赖:执行环境需预装 Node.js,且 Python 子任务需显式使用
python3调用 - TOOlS.md 外部依赖:推荐默认值存储于外部文档,版本漂移可能导致配置不一致
适合人群
- 需要程序化生成子代理调用载荷的自动化流程开发者
- 遵循 GitOps 实践、倾向显式配置而非隐式魔术的团队
- 需要预生成 spawn 载荷进行审计或权限审批的安全敏感场景
常规风险
- 命令注入:
--task内容若包含用户输入未过滤,可能通过 JSON 逃逸注入恶意指令 - 敏感信息泄露:生成的 JSON 可能包含
agentId等标识符,日志需脱敏处理 - 超时配置失误:
runTimeoutSeconds设置不当可能导致子代理长时间挂起或频繁中断 - 清理策略误用:
cleanup: delete会丢失诊断数据,生产环境建议keep并配合 retention 策略