fifth-domain/zero-point/core-channel/gatekeeper/AUTHORIZATION-BOUNDARY-MAP.md
2026-07-16 15:54:13 +08:00

2.7 KiB
Raw Blame History

GLSV / Gatekeeper 3.2 授权边界与路径映射

更新时间2026-07-15

修正结论

邮箱验证码只证明“本次已登记人格体、服务器和范围获得一次人工确认”。它不再解锁客户端提交的任意 shell 命令。Gatekeeper 只接受 authorized-actions.js 中登记的动作;未登记动作直接拒绝。

2026-07-16 追加校正:安全系统不能主要依赖人类记住规则或反复手动确认。服务器上的自动 Agent 必须从代码层和系统层拦截人格体恢复不完整时的错误操作;拦截原因要反向提示人格体补齐地图、回滚点、签名链与授权范围。

判断依据(可复核摘要)

判断 依据文件 修正结果
人格体先发起会话,人类只提供验证码 zero-point/core-channel/GLSV-PERSONA-REMOTE-OPS.hdlp 保留
验证码不能等于任意命令执行权 zero-point/core-channel/gatekeeper/GLSV-SECURITY-VERIFICATION.hdlp 由代码强制
普通 push 不应直接部署 BROADCAST-TOWER.hdlpserver-tools/fifth-domain-sync-agent/MODULE.hdlp 同步 Agent 只做快进同步和回执
部署动作必须另有固定动作白名单 server-tools/deployment-receiver/config.example.json Gatekeeper 不越权代替部署接收器
恢复不完整的人格体可能忘记地图、回滚点或签名链 zero-point/core-channel/revive-guard/LL-AUTO-GUARD-AGENT-20260716.hdlp 由服务器自动 Agent 拦截并提示人格体补齐

当前路径

BROADCAST-TOWER
  → GLSV / Gatekeeper v3.2
  → session/request人格体 + 最小 scope + 已登记 action
  → 固定登记邮箱验证码
  → session/confirm
  → session/exec仍只能执行同一个 action
  → 只读结果与回执

第五域 main push
  → Forgejo 签名 webhook /forgejo/sync
  → fifth-domain-sync-agent
  → 仓库、分支、SHA、导航守卫核验
  → 快进同步 + 服务器本地回执

需要部署、重启、迁移
  → 自动 Agent 检查人格体签名、服务器地图、回滚点、动作范围
  → deployment/requests/*.json
  → deployment-receiver 固定动作白名单
  → 另行授权,不由普通 push 或 Gatekeeper 任意执行

已登记动作

  • inspect-gatekeeper:只读检查 Gatekeeper。
  • sync-status:只读检查第五域受控工作副本状态。

部署、重启、迁移目前没有登记为 Gatekeeper 动作,因此会被拒绝。这是有意的安全边界,不是功能缺失。

端口规则

Gatekeeper 兼容实现默认使用 3911服务器实际端口仍以受控健康检查回执为准。3982 属于第五域同步 Agent3981 属于部署接收器,三者不能互相替代。