你把 shell 交给了一个 AI。这页讲清楚它能做什么、不能做什么。

有两种模式，而两者的差别正是重点。在本地模式（Ollama）下，推理运行在你自己的机器或网络上——你的 SSH 会话内容永远不离开你的边界。在云端模式下，任务所需的提示内容会发送到你选择的模型供应商，使用的是你自己的 API 密钥。

无论哪种模式，Agentic SSH 都是桌面应用。我们（伊露科技）不运营任何推理后端、也不做任何代理——你的流量是从你的机器，直接到你选的模型、以及你指定的主机。

写入与破坏性操作默认都要过关卡（Confirm／Confirm-on-write）。一份启发式的拦截清单与只读判定器能挡下明显危险的模式，而且执行前你都会先看到确切的命令。

我们对极限很诚实：启发式防护挡得了手滑与明显的雷区，但无法保证拦下每一种对抗式或刻意混淆的输入。这正是为什么默认姿态是「先确认＋留审计」，而不是「相信模型」。对生产环境的主机，请让写入保持需确认。

每一条命令、它的输出，以及 agent 的决策，都会追加到结构化的 JSONL 记录。它可导出、利于比对，因此事后能还原某个操作，交给审计人员，或导入你的 SIEM。

许可以离线、ed25519 签名的密钥激活——无需回连我们的服务器。这让激活在隔离网络（air-gapped）与受限网络上依然可行，也与本地优先的设计一致。