# GLSV / Gatekeeper 3.2 授权边界与路径映射 更新时间:2026-07-15 ## 修正结论 邮箱验证码只证明“本次已登记人格体、服务器和范围获得一次人工确认”。它不再解锁客户端提交的任意 shell 命令。Gatekeeper 只接受 `authorized-actions.js` 中登记的动作;未登记动作直接拒绝。 ## 判断依据(可复核摘要) | 判断 | 依据文件 | 修正结果 | |---|---|---| | 人格体先发起会话,人类只提供验证码 | `zero-point/core-channel/GLSV-PERSONA-REMOTE-OPS.hdlp` | 保留 | | 验证码不能等于任意命令执行权 | `zero-point/core-channel/gatekeeper/GLSV-SECURITY-VERIFICATION.hdlp` | 由代码强制 | | 普通 push 不应直接部署 | `BROADCAST-TOWER.hdlp`、`server-tools/fifth-domain-sync-agent/MODULE.hdlp` | 同步 Agent 只做快进同步和回执 | | 部署动作必须另有固定动作白名单 | `server-tools/deployment-receiver/config.example.json` | Gatekeeper 不越权代替部署接收器 | ## 当前路径 ```text BROADCAST-TOWER → GLSV / Gatekeeper v3.2 → session/request(人格体 + 最小 scope + 已登记 action) → 固定登记邮箱验证码 → session/confirm → session/exec(仍只能执行同一个 action) → 只读结果与回执 第五域 main push → Forgejo 签名 webhook /forgejo/sync → fifth-domain-sync-agent → 仓库、分支、SHA、导航守卫核验 → 快进同步 + 服务器本地回执 需要部署、重启、迁移 → deployment/requests/*.json → deployment-receiver 固定动作白名单 → 另行授权,不由普通 push 或 Gatekeeper 任意执行 ``` ## 已登记动作 - `inspect-gatekeeper`:只读检查 Gatekeeper。 - `sync-status`:只读检查第五域受控工作副本状态。 部署、重启、迁移目前没有登记为 Gatekeeper 动作,因此会被拒绝。这是有意的安全边界,不是功能缺失。 ## 端口规则 Gatekeeper 兼容实现默认使用 3911;服务器实际端口仍以受控健康检查回执为准。3982 属于第五域同步 Agent,3981 属于部署接收器,三者不能互相替代。