Context Mode的Hook路由系统通过routePreToolUse函数实现对AI编码助手工具调用的智能拦截与引导。该系统构建了一个决策树，针对Bash（如curl、wget）、Read、WebFetch和Agent等不同工具，采取修改、拒绝或注入一次性指导信息等策略。它通过structurally-bounded allowlist识别短输出命令（如pwd、git status）以避免干扰，并利用会话级指导节流机制防止信息重复注入。此系统是Context Mode将上下文占用降低约98%的核心防线之一。

Context Mode 的 Hook 路由系统：如何拦截工具调用、注入指导信息并执行安全策略 #

Context Mode 的核心使命是保护大语言模型（LLM）宝贵的上下文窗口，避免其被海量原始数据淹没。实现这一目标的关键机制之一，便是其精心设计的 Hook 路由系统。当 AI 编码助手（如 Claude Code、Cursor、VS Code Copilot 等）准备调用一个工具时，Context Mode 的 PreToolUse 钩子会首先介入，通过一个复杂的决策树来评估该调用，决定是放行、拦截、修改还是注入引导信息，从而将数据流导向更高效的沙盒化处理路径。

本文将基于项目源码，详细拆解这个路由系统的决策逻辑、关键组件及其工作原理。

核心决策引擎：routePreToolUse 函数 #

路由系统的核心是 hooks/core/routing.mjs 文件中导出的 routePreToolUse 函数。它接收工具名称、工具输入参数、项目目录、平台标识和会话ID，并返回一个标准化的决策对象。决策类型包括：

• null：直接放行（passthrough）。
• { action: “deny”, reason: string }：拒绝工具调用，并向 AI 说明原因。
• { action: “modify”, updatedInput: object }：修改工具参数后放行（通常用于重定向）。
• { action: “context”, additionalContext: string }：放行工具调用，但额外注入一段指导信息到 AI 的上下文中。

该函数首先会处理安全策略（如果安全模块加载成功），然后根据工具类型（canonical 名称）进入不同的分支。

关键工具的路由决策树分析 #

1. Bash 工具：最复杂的拦截场景 #

Bash 工具的路由逻辑最为精细，旨在拦截可能产生巨量原始输出的命令，同时允许安全的短命令通过。

拦截 curl/wget 与构建工具：系统会检测命令中是否包含 curl、wget、gradle、maven 等关键字。对于网络请求，它会修改命令为一条 echo 语句，提示 AI 改用 ctx_execute 或 ctx_fetch_and_index 在沙盒中执行，防止 HTTP 响应体占用上下文。对于构建工具，同样会重定向以捕获冗长的构建日志。

Structurally-Bounded Allowlist（结构化短输出白名单）：这是避免对 AI 造成不必要干扰的关键设计。对于像 pwd、git status、node --version 这类输出长度有限且固定的命令，路由系统会直接放行（返回 null），不再注入任何指导信息。源码 SAFE_COMMAND_PATTERNS 数组定义了这些安全模式的正则表达式。

// 从 tests/core/routing.test.ts 中的测试用例可以看出白名单的覆盖范围
it("pwd / whoami / hostname / date — no nudge", () => {
    for (const command of ["pwd", "whoami", "hostname", "hostname -f", "date", "date -Iseconds"]) {
        // ... 断言返回 null
    }
});

it("--version / -V probes — no nudge", () => {
    for (const command of ["node --version", "npm --version", "git --version", "node -V"]) {
        // ... 断言返回 null
    }
});

安全屏障：白名单有一个严格的前置检查：命令不能包含任何 Shell 控制操作符（|、>、&&、;、\n 等）。这防止了通过组合命令（如 pwd && cat huge.log）绕过拦截。

指导注入：对于未被拦截且不属于白名单的 Bash 命令，系统会通过 guidanceOnce 函数注入一次性的 Bash 指导信息，建议 AI 考虑使用 ctx_execute 进行数据处理。

2. Read 工具：分析性阅读的引导 #

当 AI 调用 Read 工具读取文件时，系统会注入指导信息，提示 AI：如果是为了编辑文件而读取，Read 是正确的；但如果是为了分析、总结或提取内容，则应使用 ctx_execute_file，让文件内容留在沙盒中。

此外，系统还会对大文件（超过 50KB）进行字节计数，并附加 redirectMeta 标记，用于后续的上下文节省统计。

3. WebFetch 工具：完全拒绝与重定向 #

对于原生的 WebFetch 工具，路由系统采取“拒绝”策略。它会直接阻止调用，并返回一条详细的原因，引导 AI 改用 ctx_fetch_and_index 来获取并索引网页内容，或者使用 ctx_execute 进行一次性数据提取。这样可以确保庞大的网页原始字节永远不会进入上下文窗口。

4. Agent 工具：将路由逻辑注入子代理 #

对于 Agent（或旧版的 Task）工具调用，系统会将完整的路由指导块（即 <context_window_protection> XML 段）注入到子代理的提示词中。这确保了子代理在执行任务时，也遵循同样的上下文保护规则。

指导信息的节流机制：避免信息过载 #

为了避免在冗长的会话中重复注入相同的指导信息，路由系统实现了会话级指导节流。

• 一次性节流：guidanceOnce 函数确保每种类型的指导（如 bash、read、grep）在每个会话中只显示一次。
• 混合存储：节流状态通过内存中的 Set 和磁盘上的标记文件共同维护。这确保了即使在同一会话的不同进程实例间（常见于某些平台的钩子调用方式），节流状态也能保持一致。
• 跨进程原子性：文件创建使用 O_CREAT | O_EXCL | O_WRONLY 标志，确保只有第一个进程能成功创建标记文件，实现原子操作。

从测试用例 guidance-throttle.test.ts 中可以清晰看到这一机制：

// tests/guidance-throttle.test.ts
it("Read: first call returns guidance, subsequent calls return null", () => {
    const r1 = routePreToolUse("Read", { file_path: "/tmp/a.ts" }, PROJECT_DIR);
    const r2 = routePreToolUse("Read", { file_path: "/tmp/b.ts" }, PROJECT_DIR);
    expect(r1?.action).toBe("context");
    expect(r2).toBeNull();
});

it("throttle is per-type: Read throttle does not affect Bash or Grep", () => {
    // ... 测试 Read, Bash, Grep 的节流互相独立
});

系统还支持通过 sessionId 参数来精确控制节流范围，解决了在某些平台（如 Windows Git Bash）上因进程 PID 变化导致节流失效的问题。

安全策略的集成 #

路由系统与 Context Mode 的安全模块深度集成。在进入上下文保护的逻辑前，它会先检查安全策略。

1. Fail-Open 与 Fail-Closed：默认情况下，如果安全模块加载失败，系统会进入“失败开放”模式，仅发出警告，路由逻辑继续执行。但用户可以通过设置环境变量 CONTEXT_MODE_REQUIRE_SECURITY=1 启用“失败关闭”模式，此时所有工具调用都会被拒绝，直到安全模块修复。
2. Bash 命令策略：对于 Bash 和 ctx_execute（语言为 shell）等工具，系统会调用安全模块评估命令是否匹配用户定义的拒绝模式。
3. 文件路径策略：对于 ctx_execute_file 等涉及文件路径的工具，系统会检查文件路径是否被安全策略禁止。

验证与调试 #

要验证路由系统是否按预期工作，可以：

1. 观察工具响应：在 AI 编码助手的交互中，观察是否出现了预期的指导信息（如针对 Read 或 Bash 的提示），或者工具调用是否被正确拒绝/重定向。
2. 运行单元测试：项目包含丰富的测试用例，可以直接运行 vitest 并查看 tests/core/routing.test.ts 和 tests/guidance-throttle.test.ts 的结果，这些测试覆盖了决策树的各个分支和边界情况。
3. 检查节流标记：在操作系统的临时目录中查找 context-mode-guidance-* 目录，里面存放的文件标记（如 read、bash）可以帮助判断指导信息的节流状态。

总结 #

Context Mode 的 Hook 路由系统是一个高度智能化的交通指挥中心。它通过细致的决策树、灵活的白名单、防冗余的节流机制以及与安全策略的联动，在 AI 编码助手调用工具的瞬间做出最优决策。这套系统是 Context Mode 能够在不干预 AI 工作流的前提下，系统性减少上下文消耗、实现高达 98% 节省的关键技术支撑。理解其工作原理，有助于开发者更好地配置和利用 Context Mode，提升 AI 辅助编程的效率和体验。

FAQ #

Q: 为什么有些 Bash 命令（如 git status）不会收到 Context Mode 的指导信息？ A: 这是因为这些命令被 Context Mode 的“structurally-bounded allowlist”（结构化短输出白名单）识别为输出长度固定且安全的命令。系统认为对它们进行路由指导是不必要的干扰，因此直接放行，不注入任何额外信息。

Q: Context Mode 注入的指导信息会影响 AI 的后续行为吗？会重复出现吗？ A: 注入的指导信息旨在引导 AI 选择更优的上下文保护工具（如使用 ctx_execute 替代直接 Bash）。它通过会话级节流机制控制，通常每种类型（如 Bash 指导、Read 指导）在整个会话中只注入一次，避免重复干扰 AI。重置会话或调用 resetGuidanceThrottle 函数后，节流状态会清除。