fix(bundle2-W5-5): desktop_driver AppleScript 注入加固 + macOS platform gate

[Wool-xing]

范围

W5 sprint 收官项 (Phase 1 / Bundle 2): 05-代码示例/desktop_driver.py 2 个 macOS 自动化函数加三层 gate。复用 W5-2 范式 v2 + 新加 platform 第三层 gate。

动机 — AppleScript 注入面 (静态可验)

# desktop_driver.py L51-58 (修前)
script = f'''
    tell application "System Events"
        tell process "{app_name}"              ← app_name 用户控
            click menu item "{item}" of menu "{menu}" of menu bar 1
        end tell
    end tell
'''
subprocess.run(["osascript", "-e", script], check=True)

PoC: app_name = 'X"\ndo shell script "rm -rf ~/Documents"\ntell process "X' 即可注入 shell 命令。

改了什么

1. 模块 docstring 加"安全约束 (W5-5)"节

显式说明三层 gate + 授权边界 (macOS 测试机自有)。

2. 新加模块级 gate (3 道工具)

• 常量 GATE_ENV_VAR = "TAGENT_DESKTOP_AUTHORIZED" (新 env, 语义独立非 pentest)
• _require_authorized(op) — env 守卫
• _require_macos(op) — platform 守卫 (sys.platform != 'darwin' → raise)
• _validate_as_identifier(name, kind) — AppleScript identifier 白名单
  正则 ^[A-Za-z][A-Za-z0-9 _.\-]{0,127}$

3. 2 个 macOS op 加守

函数	env	platform	ident 校验
open_macos_app	✓	macOS only	✓ (app name)
macos_menu	✓	macOS only	✓ (app_name + menu + item)

不在范围

• get_windows_app (Windows pywinauto, 续点档未列) — 顺路 task deps(deps): bump the database group across 1 directory with 3 updates #6
• launch_electron (跨平台 playwright, 续点档未列) — 顺路 task deps(deps): bump the database group across 1 directory with 3 updates #6
• collect_proc_perf / save_perf / screenshot (无 offensive 面)
• CLI main() 仅暴露 perf/screenshot 子命令, 未暴露 macos_* — 不动 CLI
• SECURITY.md 武器化表 (desktop_driver 不属攻击工具, 是测试 driver), 与"测试工具 gate 总览" 节同档延后批量加

本地测试 (7/7 全过, Windows 平台)

OK open_macos_app: refused (env off)             ← env gate
OK macos_menu: refused (env off)
OK open_macos_app: platform-gated (win32)        ← platform gate
OK macos_menu: platform-gated (win32)
OK ident reject AppleScript-inject (ValueError)   ← AppleScript 注入字符串拒
OK 3 legal idents accepted                       ← 'Safari' / 'Sub Menu' / 'New-Tab.1'
OK _require_macos: raised (win32)

注: macOS 平台实跑 osascript 留给 CI / 用户验证 (sprint 在 Windows)。

协作宪章 §1.3 六道闸自检 (按 PR #42 f1-f6 标准)

• a 静态: ✓ Ruff All checks passed + pre-commit (markdownlint skip 无 .md 改动)
• b 副作用: ✓ 7 处引用; runtime/orchestrator/adapters/experts.py 调 CLI collect-perf 子命令, 03-技能定义/desktop-test.md L48 osascript 示例非函数引用 — 全不经过我修的 2 ops
• c 跨层契约: ✓ desktop-test skill / runtime expert registry / SECURITY.md 均不需同步
• d 实测: ✓ 7/7 case 通过
• e 回归: ✓ 模块可导入 + 现有引用断点零
• f 诚实自检:
  • f1 数字证据: 2 ops gate / 3 ident validator / 7 test case / 1 文件 +71/-2 (git diff stat) — 全 H
  • f2 路径泄漏: ✓ 无私域路径
  • f3 虚假承诺不回潜: ✓
  • f4 法律措辞: ✓
  • f5 置信度: 见下
  • f6 假阳性: 见下

置信度自检 (f5)

声明	证据	f5
三层 gate (env + platform + ident) 实现	7/7 本地测试输出贴出	H
AppleScript 注入 PoC	静态读 L51-58 f-string 即可见	H
Ruff / pre-commit 全过	工具输出	H
1 文件 +71/-2	git diff --stat	H
Windows pywinauto / Electron 路径校验顺路记 task #6	未执行	L
macOS 实跑 osascript 留给 CI 验	计划	M

对外承诺仅基于 H, M/L 已加修饰。

假阳性过滤 (f6)

唯一 finding = "macos_menu / open_macos_app AppleScript / 任意 app 启动注入面":

#	问	答
1	真问题 / 工具误报?	真。L51-58 f-string 拼接静态可证, PoC 字符串可触发
2	反例可证伪?	候选: "macOS 测试机本来就是测试环境, 注入也没影响" → 反驳: 测试机也可能挂在内网 / 可执行任意 shell / 读取 ~/Documents。不证伪
3	修后实质变好?	是。三层防御深度: 跨平台误调即 platform raise; macOS 上忘加 env 即 env raise; 拼接非法字符串即 ident raise

假阳性候选数: 0 | 降置信 finding 数: 0

W5 Sprint 整体进度 (本 PR 合后)

#	文件	PR	状态
W5-1	chaos_helper.py	#37 (已合)	✓
W5-2	api_security_scanner.py	#39 (已合)	✓
W5-3	db_test_helper.py	#41 (开)	⏳
W5-4	ai_adversarial.py	#43 (开)	⏳
W5-5	desktop_driver.py	#44 (本 PR)	⏳

W5 五项加固 sprint 完结 (合后)。下一阶段建议: 批量加 SECURITY.md "测试工具 gate 总览" 节 (含 W5-1/3/5 三个非武器化但有 gate 的 utils), + 灵感库批量入"utils env-var gate 范式 v2" + 顺路 task #3/#6 三方共决。