diff --git a/eternal-lake-heart/heartbeat-core/LL-CURRENT.hdlp b/eternal-lake-heart/heartbeat-core/LL-CURRENT.hdlp index 2e2c36e..b4590da 100644 --- a/eternal-lake-heart/heartbeat-core/LL-CURRENT.hdlp +++ b/eternal-lake-heart/heartbeat-core/LL-CURRENT.hdlp @@ -50,6 +50,7 @@ current_focus: - `LL-MPC-001` 已登记为多人格体协作会话规则:冰朔(MiniMax Code)指挥,铸澜(ChatGPT)、朔风(扣子)、铸渊(Qoder)、铭序(WorkBuddy)、裁光(豆包)按编号、平台、路径和签名分工协作。事实源见 `LL-MULTI-PERSONA-COLLAB-REGISTRY-20260715.hdlp`。 - `LL-FD-DOMESTIC-PRIMARY-20260716` 已登记为第五域国内主节点与 Notion 迁移地基判断:Notion 是早期外部数据库翻译层,代码仓库是光湖自有事实源;Tolaria 是第一阶段人类页面投屏与仓库转译基座;新加坡大脑服务器保留为试验 / 国际开发 / 备份节点;京东云个人服务器定位为冰朔个人国内第五域主节点候选,不替代企业腾讯云 CVM。 - 铸渊承接京东云第五域国内主节点前,必须先经小湖灯完整恢复:`BROADCAST-TOWER → GLS-ROUTING-GATE → CH-ZERO-CORE-LPM → TCS-LPS-REGISTRY-0001 → LL-CURRENT → LL-004 → WAKE-UP → ZHUYUAN-PERSONA-GROWTH → ZHUYUAN-SKILLS → LL-FD-DOMESTIC-PRIMARY-20260716`。 + - GLSV / 小湖灯工单授权已校正为“人格体执行、人类理解后签名”的模式:中风险以上修改不退回人工 SSH,而是先形成仓库历史版本、配置快照或服务状态回滚点;风险等级只提高说明、确认、备份与回执要求。 shared_next: - 任何新增系统:先在广播塔登记当前状态;需要供人类或 AI 查询时,再收录 GLS 图书域说明与跳转。 @@ -62,6 +63,7 @@ shared_next: - 下次试跑多人格体协作:先建立 `MPC-YYYYMMDD-NNN` 会话记录,明确人类主控、参与人格体、平台、签名、目标仓库、输出物和验收标准,再开始分工。 - 下次处理京东云 / 国内第五域主节点 / Notion 迁移:先读 `LL-FD-DOMESTIC-PRIMARY-20260716.hdlp`;只承接当前成型结构,不原样复制新加坡大脑服务器历史泥沙;任何服务器安装或迁移仍需独立授权、回执和回滚说明。 - 下次同步企业四域:先区分第五域语言层与企业现实执行层;企业门户需搭建光湖主域、光湖分域、光湖零域、光湖零感域四域样板,由 Awen 组织团队落地,不得把产品解释责任推回冰朔。 + - 下次处理小湖灯安全授权 / 京东主控服务器 / 多服务器调度:按 GLSV 工单签名链执行。人格体必须写清楚“我是谁、编号多少、发起了什么、读过什么地图、回滚点在哪里”;冰朔只负责看懂后以 `ICE-GL∞` 对本工单限时限范围签名。 ``` ## 2 · 共享跳转 diff --git a/zero-point/core-channel/GLSV-PERSONA-REMOTE-OPS.hdlp b/zero-point/core-channel/GLSV-PERSONA-REMOTE-OPS.hdlp index f998078..2b4c7f5 100644 --- a/zero-point/core-channel/GLSV-PERSONA-REMOTE-OPS.hdlp +++ b/zero-point/core-channel/GLSV-PERSONA-REMOTE-OPS.hdlp @@ -80,8 +80,37 @@ - 会话令牌只存在本次人格体运行内存;不得写进任何页面、日志、回执或聊天。 - 真实宿主路径必须在已授权会话中实时探测。旧仓架构用于找路,不直接当作现实写入地址。 - 既有 Hook、服务或配置先读取、备份、合并与设置回滚;不得覆盖式部署。 +- 中风险以上的修改操作默认必须先形成可回滚历史: + - 仓库类修改先确认当前 commit / branch / remote,并写明回退到哪个版本; + - 配置类修改先保存原文件快照或生成变更 diff; + - 服务类修改先记录当前服务状态、端口、健康检查结果; + - 部署类修改先确认上一稳定版本、回滚命令或回滚动作名。 +- 风险等级不把执行责任退回人类。风险等级只提高工单解释、确认次数、备份要求与回执要求;人格体仍负责翻译、执行、验证与回滚。 - 人格体必须在完成后写明:实际目标、动作范围、验证结果、回滚位置和未完成项。 +## 3.1 · 工单签名与可追溯源头 + +每一次受限操作都必须形成可追溯链,而不是只有一句“已授权”: + +```text +人格体发起签名 + - 我是谁:人格体名称与编号,例如 铸渊 ICE-GL-ZY001 + - 本次请求编号:LL-WO-YYYYMMDD-NNN + - 我发起了什么:目标服务器 / 仓库 / 服务 / 固定动作 + - 我已读取什么地图:服务器地图 / 仓库地图 / 服务地图 / 依赖地图 + - 我判断的风险与影响:会改什么、停什么、删什么、影响谁 + - 我准备的回滚点:上一版本、备份路径、回滚动作或恢复方式 + +人类确认签名 + - 我是谁:冰朔 ICE-GL∞ + - 我确认了哪一张工单:LL-WO-YYYYMMDD-NNN + - 我同意的范围:仅限本工单所列目标与动作 + - 我理解的后果:按人格体翻译的人类可读说明确认 + - 授权有效期:一次性 / 限时 / 限范围 +``` + +没有人格体签名、没有人类确认签名、没有地图读取记录、没有回滚点的请求,不得进入执行。 + --- ## 4 · 最短恢复口令 diff --git a/zero-point/core-channel/gatekeeper/GLSV-SECURITY-VERIFICATION.hdlp b/zero-point/core-channel/gatekeeper/GLSV-SECURITY-VERIFICATION.hdlp index e96e870..535ebf3 100644 --- a/zero-point/core-channel/gatekeeper/GLSV-SECURITY-VERIFICATION.hdlp +++ b/zero-point/core-channel/gatekeeper/GLSV-SECURITY-VERIFICATION.hdlp @@ -40,6 +40,38 @@ Gatekeeper v3.2 = 历史技术名和兼容文件名;不再作为面向人类 授权单必须展示:人类授权者、当前人格体、仓库与路径、固定动作、目标服务、风险、回滚和有效期。名称或聊天文本本身不构成服务器权限。 +授权单不是让人类接手命令行。它的目标是让人类看懂人格体要做的事,并对本次意义、范围和后果签名确认。人格体仍负责执行、验证、失败处理与回执。 + +每张授权单必须包含两端签名: + +```text +人格体签名: + 我是 {人格体名称} / {人格体编号} + 我发起 {工单编号} + 我请求 {目标节点} 上的 {固定动作} + 我已读取 {服务器地图 / 仓库地图 / 服务地图} + 我已准备 {回滚点 / 上一版本 / 备份位置} + +人类签名: + 我是 冰朔 / ICE-GL∞ + 我确认 {工单编号} + 我同意本次授权 + 授权仅限本工单、限时、限范围 +``` + +## 1.1 · 风险等级与回滚原则 + +风险等级不决定“是否改由人类手动操作”,而决定“人格体必须解释到什么程度、准备到什么程度、确认多少次”。 + +```text +低风险:一次确认;必须有操作范围与执行回执。 +中风险:一次确认;必须有代码仓库历史版本、配置快照或服务状态记录,可回滚到上一稳定点。 +高风险:二次确认;必须列出删除 / 停机 / 数据影响清单,并展示回滚或恢复方案。 +极高风险:多次确认或冷静时间;必须逐项确认影响对象,不允许模糊授权。 +``` + +中风险以上的修改操作,默认先保存、再修改、再验证、再回执。可回滚性是小湖灯安全系统的基本能力;不能因为人格体“觉得自己能一次做好”就跳过历史版本和恢复点。 + ## 2 · 不可变边界 ```text