多人共享 Agent，需要可搜索工具和用户级权限边界

Agent 系统下一阶段的瓶颈不只是模型能力，而是共享 Agent 能否在不撑爆 prompt 的情况下找到正确工具、通过正确权限边界调用工具、为每个用户分开记忆，并避免把 host-level 权力交给临时用户。这批变化把 team / shared-agent 过渡从概念变成了具体工程问题。

• OpenClaw PR #79823 引入 bundled tool-search-code-mode plugin、紧凑的 `tool_search_code` bridge、structured fallback tools，并支持按 session 汇总 OpenClaw plugin tools、MCP tools 和 client / app tools
• 该 OpenClaw PR 明确说明工具调用仍走既有 tool implementation、hooks、policy、approvals、loop detection 和 session logging，而不是绕过治理路径
• Hermes PR #22509 将 Daimon 描述为已在 Nous Research server live tested 的 multi-user Discord bot，包含 admin / user tiers、Docker-backed terminal execution、per-tool limits、session caps、daily per-user limits、redaction、thread ownership 和 admin commands
• Hermes RFC #21574 记录了多个人通过同一个 Telegram gateway 使用 Hermes 时发生的 prompt-injection / memory contamination 故事，因此提出 per-user agents、分离 memory、identity 和 permissions
• Hermes issue #22601 与 PR #22608 记录并修复了一个回归：当 `hermes-cli` 这类 composite toolset 与 Spotify 等可选集成混合时，session 可能丢掉 terminal、file、web、browser、vision、skills、delegation、cron、memory 等 native tools

• 聚合时 OpenClaw Tool Search Code Mode 和 Hermes Daimon 都仍处于 PR 阶段，不是 tagged release
• 用于工具调用的 code bridge 需要按 provider / model 谨慎启用；不希望模型拿到 executable snippets 的团队应使用 structured fallback tools
• Docker sandbox 与 per-tool limits 能降低爆炸半径，但不能替代 identity、memory、workspace 和 approval isolation
• Toolset 配置回归在 staging 中容易被误判为模型“不会用工具了”，实际可能是 config expansion bug