AI Coding Agent 调用终端，本质上不是大模型直接操作操作系统，而是通过宿主运行时提供的工具协议完成。

典型流程是：模型先根据上下文判断需要执行命令，比如查看文件、搜索代码、跑测试、启动 dev server；然后输出一次结构化的工具调用，参数里包含命令、工作目录、超时时间、是否需要 TTY、权限模式等。运行时收到后，会先做权限校验和沙箱约束，再真正启动 shell 进程执行命令。

执行结果会以 observation 的形式返回给模型，通常包括 stdout、stderr、退出码、超时状态，长时间运行的命令还可能返回一个 session id，后续可以继续读取输出或写入 stdin。模型再基于这些结果决定下一步，例如修复代码、重新运行测试、终止服务进程，或者把结果总结给用户。

实际工程里，终端工具调用最常用于几类场景：用 rg 搜索代码，用 sed 或 cat 查看文件片段，用 npm test、npm run lint、npm run tsc 验证改动，用 git diff 确认修改范围。对于前端项目，还经常需要启动 dev server，再通过浏览器或截图工具验证页面是否真的渲染正常。

这里比较关键的是安全边界。Agent 不应该随意执行破坏性命令，比如删除文件、重置分支、修改系统配置；也不应该在没有必要时请求更高权限。好的 Agent 会优先在当前 workspace 内操作，控制命令范围，设置合理超时，并把终端结果作为事实依据，而不是只靠语言模型猜测。