Il dominio sites mantiene una sessione browser, accede con credenziali cifrate e compie azioni senza consegnare segreti, DOM grezzo o selettori al modello.
| Executor | Ruolo |
|---|---|
open_sites | Apre contesti Playwright nominati e isolati. |
login_sites | Accede tramite il vault senza restituire credenziali. |
read_sites | Legge testo e produce screenshot redatti. |
act_sites | Riduce un'azione naturale a una primitiva chiusa e verificabile. |
delete_sites | Chiude una sessione o revoca tutte quelle dell'utente. |
Gli executor sono client sottili. Stato, browser e controlli vivono nel session broker su porta 8771. Ogni operazione verifica sia il session_id sia l'owner.
Solo il broker chiama il vault. L'origine del form deve coincidere esattamente con il dominio della credenziale ed e' ricontrollata prima del riempimento e dell'invio. Il broker sceglie autonomamente i campi.
In chat non serve una sintassi rigida. Sono equivalenti, per esempio, credenziali di telepass.com, utente xxxxx, password yyyyy e ricorda credenziali telepass.com usr:xxxxx, pwd:yyyyy. I valori sono estratti e redatti prima del planner; le etichette riconosciute provengono dal lessico traducibile.
Come fallback con input nascosto si puo' usare metnos-cli credentials add telepass.com --binding web --host telepass.com. La password viene chiesta interattivamente e non deve essere inserita negli argomenti della shell. Il binding deve essere l'host esatto del form: telepass.com e login.telepass.com sono distinti.
Username, password e campi broker-owned sono coperti da overlay e dalla maschera nativa Playwright. Non viene catturato alcuno screenshot tra riempimento credenziale e invio.
Il vocabolario operativo e' chiuso: goto, click, fill, submit, wait. Il target viene scelto da ruolo e nome accessibile; il VLM locale puo' soltanto scegliere fra candidati enumerati dal broker.
Il planner scompone il task in azioni elementari. Per una singola azione l'executor puo' usare un ciclo agentico limitato: osserva candidati accessibili e screenshot redatto, prova prima i resolver deterministici, propone un solo ID broker-owned, verifica l'effetto e riosserva. Il prompt e' strutturato in goal, state, observed, history e constraints. La primitiva resta fissata dall'azione; observed e' dato di pagina non fidato e il modello non puo' produrre selettori, URL, credenziali o consensi.
Redirect, menu custom e popup sono gestiti per osservazione: i target devono essere visibili, topmost e stabili; un popup fuori confine richiede il solo host document osservato. Widget, telemetria e immagini non estendono automaticamente l'allowlist.
Navigazione, submit, POST, download e uso credenziali richiedono conferma. Dopo la lettura di contenuto esterno vale il tainted-turn. Un solo gate batch mostra descrizione e screenshot redatto; l'approvazione usa un token opaco e un DOM cambiato invalida l'azione.
La sessione ammette soltanto HTTP(S) verso host esatti. Service worker e WebRTC sono disabilitati; i WebSocket sono filtrati quando supportati. Aggiungere host richiede una conferma esplicita.