Merge branch '3.6.x'

Author: CodeCasterX

docker/sandbox/Dockerfile.runtime-only

@@ -14,6 +14,7 @@ ENV TZ=Asia/Shanghai
 # 创建非特权用户（UID/GID 与宿主机对齐，避免文件权限问题）
 ARG HOST_UID=1000
 ARG HOST_GID=1000
+ARG AI_TOOL_PACKAGES
 RUN (groupadd -g ${HOST_GID} devuser || true) && \
     useradd -u ${HOST_UID} -g ${HOST_GID} -m -s /bin/bash devuser
 
@@ -30,7 +31,7 @@ ENV LC_ALL=en_US.UTF-8
 ENV TERM=xterm-256color
 ENV COLORTERM=truecolor
 
-# Node.js 20 LTS（Claude Code 和 Codex 需要 Node 18+）
+# Node.js 20 LTS（AI 工具依赖 Node 18+）
 RUN curl -fsSL https://deb.nodesource.com/setup_20.x | bash - && \
     apt-get install -y nodejs && \
     rm -rf /var/lib/apt/lists/*
@@ -53,18 +54,22 @@ USER devuser
 ENV NPM_CONFIG_PREFIX=/home/devuser/.npm-global
 ENV PATH="/home/devuser/.npm-global/bin:${PATH}"
 
-RUN npm install -g @anthropic-ai/claude-code && \
-    npm install -g @openai/codex && \
-    npm install -g opencode-ai
+RUN if [ -z "${AI_TOOL_PACKAGES}" ]; then \
+      echo "AI_TOOL_PACKAGES build arg is required"; \
+      exit 1; \
+    fi && \
+    npm install -g ${AI_TOOL_PACKAGES}
+
+# 预创建 .local 目录结构（避免 Docker 卷挂载以 root 创建中间目录导致权限问题）
+RUN mkdir -p /home/devuser/.local/share /home/devuser/.local/state
 
 # 默认信任 /workspace 挂载目录（避免 dubious ownership 错误）
 RUN git config --global --add safe.directory /workspace
 
 # 写入环境变量到 .bashrc（交互式 shell 自动加载）
 RUN echo 'export NPM_CONFIG_PREFIX=/home/devuser/.npm-global' >> /home/devuser/.bashrc && \
     echo 'export PATH="/home/devuser/.npm-global/bin:${PATH}"' >> /home/devuser/.bashrc && \
-    echo 'export GIT_CONFIG_GLOBAL=/home/devuser/.gitconfig' >> /home/devuser/.bashrc && \
-    echo 'export CLAUDE_CONFIG_DIR=/home/devuser/.claude' >> /home/devuser/.bashrc
+    echo 'export GIT_CONFIG_GLOBAL=/home/devuser/.gitconfig' >> /home/devuser/.bashrc
 
 WORKDIR /workspace
 

docker/sandbox/README.md

@@ -97,7 +97,7 @@ mvn clean install
 python3 script.py
 ```
 
-> **Claude Code vs Codex 认证差异**：Codex 创建沙箱时会自动从宿主机预植入认证凭据，可直接使用；Claude Code 首次需要在容器内完成一次 OAuth 登录（之后免登录）。详见[认证机制说明](#ai-工具认证机制)。
+> **认证差异**：Codex 和 OpenCode 创建沙箱时会自动从宿主机预植入认证凭据，可直接使用；Claude Code 首次需要在容器内完成一次 OAuth 登录（之后免登录）。详见[认证机制说明](#ai-工具认证机制)。
 
 ## 多容器并发工作流
 
@@ -149,7 +149,7 @@ sandbox ls
 docker stop fit-dev-feat-xxx
 docker start fit-dev-feat-xxx
 
-# 清理指定沙箱（容器 + worktree + Claude/Codex 配置）
+# 清理指定沙箱（容器 + worktree + AI 工具配置）
 sandbox rm feat-xxx
 
 # 清理所有沙箱
@@ -184,6 +184,10 @@ sandbox vm start --cpu 6 --memory 8  # 自定义资源启动
 ├── feat-xxx/                  # → 挂载到容器 /home/devuser/.codex
 └── fix-bug-123/
 
+~/.opencode-sandboxes/         # OpenCode 沙箱配置（每分支独立）
+├── feat-xxx/                  # → 挂载到容器 /home/devuser/.local/share/opencode
+└── fix-bug-123/
+
 主仓库: ~/projects/.../fit-framework/  （不变，不被容器挂载）
 ```
 
@@ -194,7 +198,7 @@ sandbox vm start --cpu 6 --memory 8  # 自定义资源启动
 
 ### 为什么每个沙箱使用独立的 AI 工具配置？
 
-Claude Code 和 Codex 都在配置目录（`~/.claude/`、`~/.codex/`）中存储会话历史、项目记忆、锁文件等状态数据。如果多个沙箱容器共享同一个配置目录，会导致：
+Claude Code、Codex、OpenCode 都在各自的配置目录（`~/.claude/`、`~/.codex/`、`~/.local/share/opencode/`）中存储会话历史、项目记忆、锁文件等状态数据。如果多个沙箱容器共享同一个配置目录，会导致：
 
 1. **并发写入冲突** — 多个容器同时写入 `history.jsonl`、`session-env/` 等文件会导致数据竞争和文件损坏
 2. **会话/记忆交叉污染** — 不同分支的项目上下文和会话历史会互相干扰
@@ -205,11 +209,12 @@ Claude Code 和 Codex 都在配置目录（`~/.claude/`、`~/.codex/`）中存
 
 ### AI 工具认证机制
 
-Claude Code 和 Codex 在宿主机上使用不同的凭据存储方式，导致沙箱内的认证体验有所差异：
+各 AI 工具在宿主机上使用不同的凭据存储方式，导致沙箱内的认证体验有所差异：
 
 | | 宿主机凭据存储 | 沙箱认证方式 | 首次使用 |
 |---|---|---|---|
 | **Codex** | 文件（`~/.codex/auth.json`） | 自动从宿主机预植入 `auth.json` | 无需登录，直接使用 |
+| **OpenCode** | 文件（`~/.local/share/opencode/auth.json`） | 自动从宿主机预植入 `auth.json` | 无需登录，直接使用 |
 | **Claude Code** | macOS Keychain（`Claude Code-credentials`） | 容器内 OAuth 登录，凭据存入 `.credentials.json` | 需在容器内登录一次 |
 
 **为什么 Claude Code 不能预植入？**
@@ -218,9 +223,25 @@ Claude Code 在 macOS 上将 OAuth token 存储在系统 Keychain 中，宿主
 
 登录后凭据持久化在 `~/.claude-sandboxes/{branch}/` 中，后续使用**无需再次登录**。
 
-**Codex 为什么可以？**
+**Codex / OpenCode 为什么可以？**
+
+Codex 和 OpenCode 始终使用文件存储凭据（分别为 `~/.codex/auth.json` 和 `~/.local/share/opencode/auth.json`），`sandbox create` 时自动将宿主机的凭据文件复制到沙箱配置目录，容器内可直接使用。
+
+### AI 工具维护（单一事实源）
+
+AI 工具的安装与运行配置以 `src/tools.ts` 中的 `AI_TOOLS` 注册表为唯一来源：
+
+- 每个工具在注册表中声明 `name`、`npmPackage`、`sandboxBase`、`containerMount`、`versionCmd` 等信息
+- `sandbox create` / `sandbox rebuild` 会自动把注册表中的 `npmPackage` 列表作为 `AI_TOOL_PACKAGES` 传给 Docker build
+- `sandbox create` 会把注册表中的 `envVars` 作为 `docker run -e` 注入容器
+- `Dockerfile.runtime-only` 不需要硬编码工具包名，只消费 `AI_TOOL_PACKAGES`
+
+这意味着新增工具时，通常只需：
+
+1. 在 `src/tools.ts` 的 `AI_TOOLS` 追加新描述符
+2. 运行 `sandbox rebuild` 重建镜像
 
-Codex 始终使用文件存储凭据（`~/.codex/auth.json`），`sandbox create` 时自动将宿主机的 `auth.json` 复制到沙箱配置目录，容器内可直接使用。
+无需手工同步 Dockerfile 中的 `npm install -g` 包列表。
 
 ## 高级配置
 
@@ -281,6 +302,7 @@ docker/sandbox/
 └── src/
     ├── cli.ts                         # Commander 子命令分发
     ├── constants.ts                   # 共享常量 + 工具函数
+    ├── tools.ts                       # AI 工具注册表（声明式，新增工具只改这里）
     ├── shell.ts                       # 安全的命令执行封装
     └── commands/                      # 各子命令实现
         ├── create.ts

docker/sandbox/src/cli.ts

@@ -29,7 +29,7 @@ program
 // ========== rm ==========
 program
   .command('rm')
-  .description('删除沙箱（容器 + worktree + Claude 配置）')
+  .description('删除沙箱（容器 + worktree + AI 工具配置）')
   .argument('[branch]', '分支名（省略时需搭配 --all）')
   .option('--all', '删除所有沙箱')
   .action(async (branch: string | undefined, opts) => {

docker/sandbox/src/commands/create.ts

@@ -6,10 +6,11 @@ import pc from 'picocolors';
 import {
   IMAGE_NAME, MAIN_REPO, DOCKERFILE, SCRIPTS_DIR,
   containerName, containerNameCandidates,
-  worktreeDirCandidates, claudeConfigDirCandidates, codexConfigDirCandidates,
+  worktreeDirCandidates,
   sanitizeBranchName, detectHostResources, assertValidBranchName,
   parsePositiveIntegerOption,
 } from '../constants.js';
+import { AI_TOOLS, toolConfigDirCandidates, toolNpmPackagesArg } from '../tools.js';
 import { run, runOk, runSafe } from '../shell.js';
 
 interface CreateOptions {
@@ -27,13 +28,15 @@ export async function create(branch: string, base: string | undefined, opts: Cre
   const safeName = sanitizeBranchName(branch);
   const container = containerName(branch);
   const worktreeCandidates = worktreeDirCandidates(branch);
-  const claudeDirCandidates = claudeConfigDirCandidates(branch);
-  const codexDirCandidates = codexConfigDirCandidates(branch);
   const worktree = worktreeCandidates.find((dir) => fs.existsSync(dir)) ?? worktreeCandidates[0];
-  const claudeDir = claudeDirCandidates.find((dir) => fs.existsSync(dir)) ?? claudeDirCandidates[0];
-  const codexDir = codexDirCandidates.find((dir) => fs.existsSync(dir)) ?? codexDirCandidates[0];
   const baseBranch = base ?? runSafe('git', ['-C', MAIN_REPO, 'branch', '--show-current']);
 
+  // Resolve per-branch config directory for each AI tool
+  const resolvedTools = AI_TOOLS.map((tool) => {
+    const candidates = toolConfigDirCandidates(tool, branch);
+    return { tool, dir: candidates.find((d) => fs.existsSync(d)) ?? candidates[0] };
+  });
+
   p.intro(pc.cyan('AI Coding Sandbox (Colima)'));
   p.log.info(`Branch: ${pc.bold(branch)} | Base: ${pc.bold(baseBranch)} | VM: ${vmCpu} CPU / ${vmMemory} GB`);
 
@@ -81,6 +84,7 @@ export async function create(branch: string, base: string | undefined, opts: Cre
           'build', '-t', IMAGE_NAME,
           '--build-arg', `HOST_UID=${hostUid}`,
           '--build-arg', `HOST_GID=${hostGid}`,
+          '--build-arg', `AI_TOOL_PACKAGES=${toolNpmPackagesArg()}`,
           '-f', DOCKERFILE, '.',
         ], { cwd: SCRIPTS_DIR });
         return 'Image built';
@@ -122,20 +126,25 @@ export async function create(branch: string, base: string | undefined, opts: Cre
           }
         }
 
-        const envArgs: string[] = [];
-        envArgs.push('-e', 'CLAUDE_CONFIG_DIR=/home/devuser/.claude');
-
-        // Ensure config dirs exist
-        fs.mkdirSync(claudeDir, { recursive: true });
-        fs.mkdirSync(codexDir, { recursive: true });
-
-        // Pre-seed Codex auth from host if available
-        const hostCodexAuth = path.join(process.env.HOME!, '.codex', 'auth.json');
-        const sandboxCodexAuth = path.join(codexDir, 'auth.json');
-        if (fs.existsSync(hostCodexAuth) && !fs.existsSync(sandboxCodexAuth)) {
-          fs.copyFileSync(hostCodexAuth, sandboxCodexAuth);
+        // Ensure config dirs exist + pre-seed auth from host
+        for (const { tool, dir } of resolvedTools) {
+          fs.mkdirSync(dir, { recursive: true });
+          if (tool.hostAuthFile && tool.authFileName) {
+            const sandboxAuth = path.join(dir, tool.authFileName);
+            if (fs.existsSync(tool.hostAuthFile) && !fs.existsSync(sandboxAuth)) {
+              fs.copyFileSync(tool.hostAuthFile, sandboxAuth);
+            }
+          }
         }
 
+        // Build env args and volume mounts from tool registry
+        const envArgs = resolvedTools.flatMap(({ tool }) =>
+          Object.entries(tool.envVars ?? {}).flatMap(([k, v]) => ['-e', `${k}=${v}`])
+        );
+        const toolVolumes = resolvedTools.flatMap(({ tool, dir }) =>
+          ['-v', `${dir}:${tool.containerMount}`]
+        );
+
         run('docker', [
           'run', '-d',
           '--name', container,
@@ -145,8 +154,7 @@ export async function create(branch: string, base: string | undefined, opts: Cre
           '-v', `${worktree}:/workspace`,
           '-v', `${MAIN_REPO}/.git:${MAIN_REPO}/.git`,
           '-v', `${process.env.HOME}/.ssh:/home/devuser/.ssh:ro`,
-          '-v', `${claudeDir}:/home/devuser/.claude`,
-          '-v', `${codexDir}:/home/devuser/.codex`,
+          ...toolVolumes,
           ...envArgs,
           '-w', '/workspace',
           IMAGE_NAME,
@@ -168,12 +176,20 @@ export async function create(branch: string, base: string | undefined, opts: Cre
     { name: 'Container running', ok: runningContainers.includes(container) },
     { name: 'Java', ok: runOk('docker', ['exec', container, 'java', '-version']) },
     { name: 'Maven', ok: runOk('docker', ['exec', container, 'mvn', '--version']) },
-    { name: 'Claude Code', ok: runOk('docker', ['exec', container, 'bash', '-lc', 'claude --version']) },
-    { name: 'Codex', ok: runOk('docker', ['exec', container, 'bash', '-lc', 'codex --version']) },
   ];
+  const toolChecks = AI_TOOLS.map((tool) => ({
+    tool,
+    ok: runOk('docker', ['exec', container, 'bash', '-lc', tool.versionCmd]),
+  }));
   for (const c of checks) {
     p.log.info(`  ${c.ok ? pc.green('✓') : pc.yellow('?')} ${c.name}`);
   }
+  for (const c of toolChecks) {
+    p.log.info(`  ${c.ok ? pc.green('✓') : pc.yellow('?')} ${c.tool.name}`);
+    if (!c.ok) {
+      p.log.warn(`    ${c.tool.name} 未安装或不可用（期望 npm 包：${c.tool.npmPackage}），可运行 sandbox rebuild`);
+    }
+  }
 
   // Result summary
   p.log.success(pc.green('Ready!'));
@@ -187,6 +203,13 @@ export async function create(branch: string, base: string | undefined, opts: Cre
   const maxCmdLen = Math.max(...mgmtCmds.map(([c]) => c.length));
   const mgmtLines = mgmtCmds.map(([cmd, comment]) => `  ${cmd.padEnd(maxCmdLen + 4)}${comment}`).join('\n');
 
+  // Tool credential hints
+  const toolHints = resolvedTools.map(({ tool, dir }) => {
+    const hasAuth = tool.authFileName && fs.existsSync(path.join(dir, tool.authFileName));
+    const hint = hasAuth ? '已从宿主机预植入认证凭据，可直接使用。' : tool.noAuthHint;
+    return `${pc.cyan(`${tool.name}：`)}\n  ${hint}\n  凭据持久化：${dir}/`;
+  }).join('\n\n');
+
   console.log(`
 ${pc.cyan('进入沙箱：')}
   docker exec -it ${container} bash
@@ -200,13 +223,7 @@ ${pc.cyan('沙箱信息：')}
 ${pc.cyan('管理命令：')}
 ${mgmtLines}
 
-${pc.cyan('Claude Code：')}
-  首次使用需在容器内运行 claude 完成一次 OAuth 登录，之后免登录。
-  凭据持久化：${claudeDir}/
-
-${pc.cyan('Codex：')}
-  ${fs.existsSync(path.join(codexDir, 'auth.json')) ? '已从宿主机预植入认证凭据，可直接使用。' : '首次使用需在容器内运行 codex，按 Esc 选择 Device Code 方式登录。'}
-  凭据持久化：${codexDir}/
+${toolHints}
 `);
 }
 

docker/sandbox/src/commands/ls.ts

@@ -1,7 +1,8 @@
 import fs from 'node:fs';
 import * as p from '@clack/prompts';
 import pc from 'picocolors';
-import { WORKTREE_BASE, CLAUDE_SANDBOX_BASE, CODEX_SANDBOX_BASE } from '../constants.js';
+import { WORKTREE_BASE } from '../constants.js';
+import { AI_TOOLS } from '../tools.js';
 import { runSafe } from '../shell.js';
 
 export function ls() {
@@ -37,34 +38,21 @@ export function ls() {
     p.log.warn('  没有 worktree 目录');
   }
 
-  // Claude config dirs
-  p.log.step('Claude 配置：');
-  if (fs.existsSync(CLAUDE_SANDBOX_BASE)) {
-    const entries = fs.readdirSync(CLAUDE_SANDBOX_BASE);
-    if (entries.length > 0) {
-      for (const entry of entries) {
-        console.log(`  ${entry} -> ${CLAUDE_SANDBOX_BASE}/${entry}`);
+  // AI tool config dirs
+  for (const tool of AI_TOOLS) {
+    p.log.step(`${tool.name} 配置：`);
+    if (fs.existsSync(tool.sandboxBase)) {
+      const entries = fs.readdirSync(tool.sandboxBase);
+      if (entries.length > 0) {
+        for (const entry of entries) {
+          console.log(`  ${entry} -> ${tool.sandboxBase}/${entry}`);
+        }
+      } else {
+        p.log.warn(`  没有 ${tool.name} 沙箱配置`);
       }
     } else {
-      p.log.warn('  没有 Claude 沙箱配置');
+      p.log.warn(`  没有 ${tool.name} 沙箱配置`);
     }
-  } else {
-    p.log.warn('  没有 Claude 沙箱配置');
-  }
-
-  // Codex config dirs
-  p.log.step('Codex 配置：');
-  if (fs.existsSync(CODEX_SANDBOX_BASE)) {
-    const entries = fs.readdirSync(CODEX_SANDBOX_BASE);
-    if (entries.length > 0) {
-      for (const entry of entries) {
-        console.log(`  ${entry} -> ${CODEX_SANDBOX_BASE}/${entry}`);
-      }
-    } else {
-      p.log.warn('  没有 Codex 沙箱配置');
-    }
-  } else {
-    p.log.warn('  没有 Codex 沙箱配置');
   }
 
 }

docker/sandbox/src/commands/rebuild.ts

@@ -1,6 +1,7 @@
 import * as p from '@clack/prompts';
 import pc from 'picocolors';
 import { IMAGE_NAME, DOCKERFILE, SCRIPTS_DIR } from '../constants.js';
+import { toolNpmPackagesArg } from '../tools.js';
 import { run, runSafe, runVerbose } from '../shell.js';
 
 interface RebuildOptions {
@@ -31,6 +32,7 @@ export function rebuild(opts: RebuildOptions) {
     'build', '-t', IMAGE_NAME,
     '--build-arg', `HOST_UID=${hostUid}`,
     '--build-arg', `HOST_GID=${hostGid}`,
+    '--build-arg', `AI_TOOL_PACKAGES=${toolNpmPackagesArg()}`,
     '-f', DOCKERFILE, '.',
   ];