你是否注意到，给Manus下达指令时，细节写得越多反而越容易出错？明明已经把每一步都分解得清清楚楚，结果它要么在某一步卡住不动，要么突然调用一个完全无关的工具。这并非模型理解能力不足——深层原因在于，过度约束会破坏KV-Cache的稳定性，引发工具选择幻觉，或者在沙箱内触发权限校验冲突。举个极端案例：一条包含时间戳、多层嵌套条件、精确到像素坐标的点击指令，很可能让Manus在第三步就放弃调用browser_click，转而莫名其妙地执行shell_exec。

下面几条实战经验，能帮你有效避开这些陷阱。

避免在系统提示中插入动态内容

将当前时间、随机ID、用户IP或会话哈希值写入系统提示开头，是导致缓存命中率归零的最常见操作。LLM的自回归生成机制决定了：只要前缀中有一个token不同，后续所有KV缓存都无法复用。因此，检查你的system prompt文件，删除类似“【当前时间：2026-06-01 12:42】”或“session_id: abc123xyz”的行——它们看起来很有仪式感，实际上让每次推理都从零开始计算。这一步操作非常简单，直接用文本编辑器打开prompt.txt，Ctrl+F搜索“time”“now”“id”“uuid”，将整行删除即可。

用状态机屏蔽工具，而不是删除工具定义

当任务只需调用file_read和browser_input时，不要直接在history里把deploy_expose_port、shell_exec整个从工具列表中移除。物理删除工具定义会破坏整个KV-Cache前缀，模型可能在下一步突然调用一个早已“消失”的函数名，导致解析错误或静默失败。那该怎么办？有两种可靠方法。

方法一：在解码阶段启用tool masking。确保Apollo或Manus Runtime配置中开启tool_masking_mode=stateful，并在每轮循环的observation末尾追加一行：【当前可用工具：file_read, browser_input】。模型会据此压制其他工具token的logits，但工具定义本身保留在上下文头部不变，缓存也就保住了。

方法二：用自然语言显式约束动作空间。在用户指令末尾追加一句：“本次任务禁止执行任何shell命令、端口暴露或文件写入操作，仅允许读取网页内容与本地文本文件。”Manus对这类强约束语句响应稳定，且不扰动KV-Cache。

分步交付指令，拒绝长链原子化描述

与其写一条超长指令把所有步骤塞进去，不如分三步走：

第一步：告诉Manus你要做什么。“请分析https://example.com/report.pdf中的Q3营收数据，并对比上季度变化。”

第二步：等它返回已下载PDF并提取文字的结果后，再发新指令。“从上一步提取的文字中，定位‘Q3营收’所在段落，提取数值及环比百分比。”

第三步：确认结构化结果正确后，再要求可视化。“用matplotlib画柱状图，横轴为‘Q2’‘Q3’，纵轴为营收（万元），保存为q3_revenue_plot.png。”

这种分步法看似要多打几次字，但每轮上下文增长可控、缓存断点清晰、观测结果可验证。反过来，把三步合并成一句超长指令：“下载PDF→提取文字→找Q3营收→算环比→画图→保存”，会迫使模型在单次推理中完成全部规划，极易因中间某步失败（比如PDF解析乱码）导致整条链崩溃，而且无法回溯修正。

注意：Manus的todo.md机制只在自主任务中自动启用，手动输入的长指令不会触发该清单生成，也就失去了分步勾选与状态回滚能力。

文件路径必须绝对且可访问

别写“把桌面的data.xlsx发给我”，要写“读取/home/manus/workspace/data.xlsx”。Manus运行在Linux沙箱中，没有Windows式的桌面路径概念，“桌面”在Ubuntu下实际是/home/manus/Desktop/，但默认沙箱权限通常不开放该路径。所有路径必须满足两个条件：一是以/home/manus/为根；二是该文件已在沙箱初始化时挂载或由上一步操作生成。如果不确定，先发一条指令：“列出/home/manus/workspace/下的所有文件”，确认存在后再引用。这一步出错会导致file_read直接返回空或权限拒绝，而且不会报错提示路径问题，而是静默跳过——你看到的是“未找到数据”，实际是路径根本没进去。