组织策略约束代理
由公司——而不是开发者——通过 dvalin.policy.json 限定模式、shell 命令、文件路径、工具和模型。仓库策略只能收紧机器策略,永远不能放宽。
策略参考

不必凭口头信任——在你自己的机器上验证:
curl -fsSL https://raw.githubusercontent.com/arthurpanhku/dvalincode/main/scripts/install.sh | bash
dvalincode trusttrust 会打印这份安装的实时安全态势:生效的组织策略及其哈希、按边界的网络管控(provider · shell · MCP)、以及防篡改审计状态——正是安全评审需要的证据,由工具本身直接给出。
让代理干完活之后,还能事后证明它做了什么:
dvalincode report verify # 重新推导上次运行审计日志的哈希链Windows 构建和各平台手动下载见 Releases 页面, 每个压缩包都附带 SHA256SUMS.txt 和构建来源证明(provenance attestation)。
直接运行 dvalincode 得到交互式终端代理——流式输出、行内审批、红绿 diff; 或者 dvalincode serve 启动网页 GUI 供浏览器和远程使用。实验性的桌面应用 在独立的预发布轨道上发布。三者驱动同一个代理内核。

DvalinCode 是一个可审批的代理运行时,不只是又一个编码代理。产品本身就是 安全、合规或平台团队放行 AI 编码所需要的证据,适用于金融、医疗和其他机密代码库:
建议从威胁模型读起,了解完整攻击面——恶意 AGENTS.md、被投毒的 MCP 服务器、提示注入升级、数据外流、审计篡改——每一项都对应到防御它的控制措施, 以及诚实标注的残余风险。
📖 文档正文目前为英文。