NOTE

本机控制面与静默守护修复记录(2026-04-17)

2026/04/19 28 min read NOTE 类 系统运维 项目 多服务器智能体 形态 记录 多服务器智能体

本机控制面与静默守护修复记录(2026-04-17)

文档目的

这份文档用于承接 2026-04-17 这轮针对 Windows 本机控制面、OpenClaw 隧道守护、Atramenti Console 本地守护、Codex 客户端沙盒弹窗、以及 C 盘空间清理的排查结果。

适用场景:

  • 后续继续优化本机静默守护
  • 出现终端/黑框反复弹出时快速回溯
  • Codex 客户端再次出现 Couldn't set up admin sandbox 时快速接手
  • 需要整理本机控制面与 SSH/隧道启动链路时作为总索引

一、当前结论总览

1. C 盘空间

  • 本轮清理前,C 盘可用空间约为 3.83 GB
  • 重点清理了 C:\Users\ASUS-KL\AppData\Local\Temp
  • 当前 C 盘可用空间约为 10.01 GB
  • C:\Windows\SoftwareDistribution\Download 仍有约 2.31 GB 更新缓存未进一步处理
  • C:\$Recycle.Bin 曾检测到约 0.18 GB

2. 终端/黑框弹出问题

根因不是单一程序,而是多条后台守护链路叠加:

  • OpenClaw 本地 SSH 守护
  • OpenClaw 反向隧道守护
  • Atramenti Console 本地控制台守护
  • Atramenti Console Golutra 隧道守护
  • Atramenti Console Cloud MCP 隧道守护
  • Server Control 监控刷新任务

本轮已完成:

  • 计划任务隐藏化
  • 启动器改为 wscript.exe + .vbs 包装
  • 关键 PowerShell/SSH/Node 子进程改为 CreateNoWindow 风格启动
  • OpenClaw 启动项与健康检查逻辑修正

3. Codex 客户端 admin sandbox 弹窗

根因已确认:

  • 不是用户没有 full-access
  • 而是 Windows 商店版 Codex 自身会优先尝试 admin sandbox 初始化
  • 初始化时需要尝试处理 C:\Program Files\WindowsApps\OpenAI.Codex_...\app\resources ACL
  • 该 ACL 操作在本机失败,日志中核心错误为:SetNamedSecurityInfoW failed: 5

本轮已完成:

  • 创建 C:\Users\ASUS-KL\.codex\managed_config.toml
  • 强制写入:
[windows]
sandbox = "unelevated"
  • 用户配置 C:\Users\ASUS-KL\.codex\config.toml 也保持为 unelevated
  • 此思路是通过 Codex 认可的 managed 配置层,覆盖其 UI/状态层对 windows.sandbox 的回写倾向

二、C 盘占用排查摘要

本轮识别到的主要占用项

  • C:\Users\ASUS-KL\AppData\Roaming19.61 GB
  • C:\ProgramData11.17 GB
  • C:\Users\ASUS-KL\AppData\Local\Temp7.14 GB(已清理大头)
  • C:\Users\ASUS-KL\AppData\Local\Packages1.12 GB
  • C:\Users\ASUS-KL\.codex0.55 GB
  • C:\Users\ASUS-KL\.cargo0.63 GB
  • C:\Users\ASUS-KL\.rustup0.56 GB

ProgramData 中较大的目录

  • C:\ProgramData\Microsoft5.88 GB
  • C:\ProgramData\Package Cache1.56 GB
  • C:\ProgramData\Adobe1.09 GB
  • C:\ProgramData\NVIDIA Corporation0.90 GB
  • C:\ProgramData\NVIDIA0.54 GB

Temp 中识别到的典型大目录

曾看到以下临时内容占用明显:

  • openclaw-release-2026.4.14
  • laepleyi
  • 5otjjvqg
  • Diagnostics
  • 多个 vscode-stable-user-*
  • playwright*
  • node-compile-cache
  • metro-cache

本轮已执行的低风险清理

  • 清理 C:\Users\ASUS-KL\AppData\Local\Temp
  • 尝试清理更新缓存与回收站,但未对更新缓存做更激进处理

后续仍可继续做的清理方向

  • 深挖 C:\Users\ASUS-KL\AppData\Roaming
  • 深挖 C:\ProgramData\Package Cache
  • 清理 C:\Windows\SoftwareDistribution\Download
  • 清理历史诊断、Playwright、VSCode 安装临时残留

三、终端/黑框弹窗根因与处理

1. 原始根因

黑框/终端弹出来自多条守护链路:

  • 启动项直接拉 powershell.exe
  • 计划任务直接拉 powershell.exe
  • 守护脚本内二次 Start-Process
  • ssh.exenode.exesshd.exe 属于控制台程序,Windows 仍可能分配 conhost.exe

也就是说:

  • “是否有 conhost.exe” 不等于“一定可见弹窗”
  • 但直接计划任务 -> powershell.exe 的链路更容易造成肉眼可见黑框

2. 已改造的启动器文件

Atramenti Console 侧

  • E:\My Project\Atramenti-Console\scripts\local-console-guard.vbs
  • E:\My Project\Atramenti-Console\mcps\deploy-center\scripts\local-tools\golutra-tunnel.vbs
  • E:\My Project\Atramenti-Console\mcps\deploy-center\scripts\local-tools\cloud-mcp-tunnels.vbs
  • E:\My Project\Atramenti-Console\mcps\deploy-center\scripts\local-tools\workstation-task-watcher.vbs

OpenClaw / 本机侧

  • C:\Users\ASUS-KL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenClaw SSH Control.vbs
  • C:\Users\ASUS-KL\.openclaw\node-supervisor.vbs
  • C:\Users\ASUS-KL\.openclaw\aliyun-reverse-ssh.vbs
  • C:\Users\ASUS-KL\.openclaw\ssh-minimal\ssh-healthcheck.vbs
  • E:\server-control\monitoring\Refresh-Monitor.vbs

3. 已改造的核心守护脚本

Atramenti Console

  • E:\My Project\Atramenti-Console\scripts\local-console-guard.ps1
  • E:\My Project\Atramenti-Console\mcps\deploy-center\scripts\local-tools\golutra-tunnel.ps1
  • E:\My Project\Atramenti-Console\mcps\deploy-center\scripts\local-tools\cloud-mcp-tunnels.ps1
  • E:\My Project\Atramenti-Console\mcps\deploy-center\scripts\local-tools\workstation-task-watcher.ps1

OpenClaw

  • C:\Users\ASUS-KL\.openclaw\node-supervisor.ps1
  • C:\Users\ASUS-KL\.openclaw\aliyun-reverse-ssh.ps1
  • C:\Users\ASUS-KL\.openclaw\ssh-minimal\ssh-supervisor.ps1
  • C:\Users\ASUS-KL\.openclaw\ssh-minimal\ssh-healthcheck.ps1

4. 改造原则

统一改成:

  • 启动入口优先 wscript.exe + .vbs
  • PowerShell 入口增加:
    • -NoLogo
    • -NoProfile
    • -NonInteractive
    • -WindowStyle Hidden
  • 守护脚本内部的子进程拉起改为:
    • ProcessStartInfo.UseShellExecute = $false
    • ProcessStartInfo.CreateNoWindow = $true

5. 当前任务状态(2026-04-17)

以下任务已经切到隐藏模式且动作为 wscript.exe

  • \Atramenti Console Golutra Tunnel

    • Hidden=True
    • Exec=wscript.exe
    • Args="E:\My Project\Atramenti-Console\mcps\deploy-center\scripts\local-tools\golutra-tunnel.vbs"

  • \Atramenti Console Local Host

    • Hidden=True
    • Exec=wscript.exe
    • Args="E:\My Project\Atramenti-Console\scripts\local-console-guard.vbs"

  • \OpenClaw Node

    • Hidden=True
    • Exec=wscript.exe
    • Args="C:\Users\ASUS-KL\.openclaw\node-supervisor.vbs"

  • \OpenClaw\Aliyun Reverse SSH

    • Hidden=True
    • Exec=wscript.exe
    • Args="C:\Users\ASUS-KL\.openclaw\aliyun-reverse-ssh.vbs"

  • \OpenClaw\OpenClaw SSH Bridge Watchdog

    • Hidden=True
    • Exec=wscript.exe
    • Args="C:\Users\ASUS-KL\.openclaw\ssh-minimal\ssh-healthcheck.vbs"

  • \Server Control Monitor Refresh

    • Hidden=True
    • Exec=wscript.exe
    • Args="E:\server-control\monitoring\Refresh-Monitor.vbs"

说明:

  • Get-ScheduledTask 返回状态值 3,对应 Ready
  • 其中 OpenClaw NodeAliyun Reverse SSHLastTaskResult=4294967295,这是通过 wscript 托管后较常见的“不等于业务链路失败”状态,不能直接据此判定服务坏了
  • 真实链路健康仍需结合健康脚本与隧道状态判断

6. 目前仍看到的残余现象

虽然已做静默化,但底层仍能看到部分相关 conhost.exe

  • ssh.exe 进程仍会挂 conhost.exe
  • powershell.exe 的长期守护进程仍可能保留 conhost.exe

这意味着:

  • 系统层面控制台宿主还存在
  • 但未必等于“桌面一定还会看见黑框”
  • 若后续仍有可见闪窗,下一步最佳路线应是将最核心的 SSH/Node 守护迁移为真正的 Windows 服务

四、OpenClaw SSH 桥与本机反向通道

当前健康状态

C:\Users\ASUS-KL\.openclaw\ssh-minimal\ssh-healthcheck.ps1 -Json 最新状态:

  • startupEntryPresent = true
  • supervisorRunning = true
  • sshdListening = true
  • tunnelRunning = true
  • remoteTunnelReachable = true
  • remoteTunnelDetail = LISTENER
  • healthy = true

已修正的问题

此前 ssh-healthcheck.ps1 还在查旧入口:

  • OpenClaw SSH Control.cmd

但当前真实启用的是:

  • OpenClaw SSH Control.vbs

所以本轮已修正为同时接受:

  • C:\Users\ASUS-KL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenClaw SSH Control.vbs
  • C:\Users\ASUS-KL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenClaw SSH Control.cmd

当前启动目录实际情况

C:\Users\ASUS-KL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 下当前关键项:

  • OpenClaw SSH Control.vbs
  • OpenClaw SSH Control.cmd.disabled

说明:

  • 启动项实际使用 VBS 入口
  • 旧 CMD 入口已停用但保留文件作为历史痕迹

五、Codex 客户端 admin sandbox 排查结论

1. 现象

Codex 桌面端反复弹出:

  • Couldn't set up admin sandbox

2. 已确认的事实

  • C:\Users\ASUS-KL\.codex\.codex-global-state.json 中已是 full-access 风格:
    • agent-mode = full-access
    • skip-full-access-confirm = true
  • 但 Windows 商店版 Codex 仍会自行走 Windows sandbox setup 流程
  • 日志显示其会在 sandbox setup 后触发配置写回
  • sandbox 日志显示它尝试处理 WindowsApps ACL 并失败

3. 核心日志结论

关键问题集中在:

  • C:\Users\ASUS-KL\.codex\.sandbox\sandbox.log
  • C:\Users\ASUS-KL\.codex\logs_2.sqlite

核心失败点:

  • C:\Program Files\WindowsApps\OpenAI.Codex_26.409.7971.0_x64__2p2nqsd0c76g0\app\resources 执行 read ACL grant 失败
  • 失败信息:SetNamedSecurityInfoW failed: 5

4. 当前采取的修复

新增文件:

  • C:\Users\ASUS-KL\.codex\managed_config.toml

内容:

[windows]
sandbox = "unelevated"

目的:

  • 利用 Codex 已识别的 managed 配置层覆盖 windows.sandbox
  • 避免其反复回到 elevated
  • 降低再次触发 admin sandbox 初始化的概率

5. 当前判断

  • 这是已定位根因的配置层修复,不是瞎试
  • 如果后续此弹窗再次出现,应优先复核:
    • C:\Users\ASUS-KL\.codex\managed_config.toml
    • C:\Users\ASUS-KL\.codex\.sandbox\sandbox.log
    • C:\Users\ASUS-KL\.codex\logs_2.sqlite

六、建议的后续路线

路线 A:继续降噪(推荐)

如果后续仍能肉眼看到黑框闪现,建议继续做:

  • 将最核心的常驻守护迁为 Windows Service
  • 优先迁移:
    • OpenClaw Node
    • Aliyun Reverse SSH
    • OpenClaw SSH supervisor
    • Atramenti Console Local Host 守护

理由:

  • 真正的服务进程比计划任务 + PowerShell 更稳
  • 更不容易出现登录态可见闪窗
  • 故障恢复链也更清晰

路线 B:继续做空间治理

当前 C 盘已经缓解,但还没彻底瘦身。可继续深挖:

  • C:\Users\ASUS-KL\AppData\Roaming
  • C:\ProgramData\Package Cache
  • C:\Windows\SoftwareDistribution\Download
  • 旧日志、浏览器自动化缓存、编译缓存

路线 C:Codex 客户端继续做最终验证

虽然已经写入 managed override,但如果用户后续仍反馈弹窗:

  • 直接按日志层继续查,不要再走“反复试试看”路线
  • 优先查最新启动后的配置读写日志和 sandbox.log

七、关键文件索引

文档与目标体系

  • E:\My Project\Obsidian\obsidian-vaults\第一库\服务器体系

Codex 配置与日志

  • C:\Users\ASUS-KL\.codex\config.toml
  • C:\Users\ASUS-KL\.codex\managed_config.toml
  • C:\Users\ASUS-KL\.codex\.codex-global-state.json
  • C:\Users\ASUS-KL\.codex\.sandbox\sandbox.log
  • C:\Users\ASUS-KL\.codex\logs_2.sqlite

OpenClaw 启动与守护

  • C:\Users\ASUS-KL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenClaw SSH Control.vbs
  • C:\Users\ASUS-KL\.openclaw\node-supervisor.vbs
  • C:\Users\ASUS-KL\.openclaw\node-supervisor.ps1
  • C:\Users\ASUS-KL\.openclaw\aliyun-reverse-ssh.vbs
  • C:\Users\ASUS-KL\.openclaw\aliyun-reverse-ssh.ps1
  • C:\Users\ASUS-KL\.openclaw\ssh-minimal\ssh-supervisor.ps1
  • C:\Users\ASUS-KL\.openclaw\ssh-minimal\ssh-healthcheck.ps1
  • C:\Users\ASUS-KL\.openclaw\ssh-minimal\ssh-healthcheck.vbs

Atramenti Console 本地守护

  • E:\My Project\Atramenti-Console\scripts\local-console-guard.vbs
  • E:\My Project\Atramenti-Console\scripts\local-console-guard.ps1
  • E:\My Project\Atramenti-Console\mcps\deploy-center\scripts\local-tools\golutra-tunnel.vbs
  • E:\My Project\Atramenti-Console\mcps\deploy-center\scripts\local-tools\golutra-tunnel.ps1
  • E:\My Project\Atramenti-Console\mcps\deploy-center\scripts\local-tools\cloud-mcp-tunnels.vbs
  • E:\My Project\Atramenti-Console\mcps\deploy-center\scripts\local-tools\cloud-mcp-tunnels.ps1
  • E:\My Project\Atramenti-Console\mcps\deploy-center\scripts\local-tools\workstation-task-watcher.vbs
  • E:\My Project\Atramenti-Console\mcps\deploy-center\scripts\local-tools\workstation-task-watcher.ps1

Server Control

  • E:\server-control\monitoring\Refresh-Monitor.vbs
  • E:\server-control\monitoring\Refresh-Monitor.ps1

八、当前状态标签

  • C 盘清理:已缓解
  • 黑框/终端弹窗根因:已定位
  • 启动链静默化:已执行
  • OpenClaw SSH 桥:健康
  • Codex admin sandbox 根因:已定位
  • Codex managed override:已写入
  • “黑框绝对不会再出现”:尚未做纯桌面观察层最终确认

建议把这份文档作为后续接手基线,而不是重新从零猜测。