fifth-domain/zero-point/core-channel/gatekeeper/GLSV-SECURITY-VERIFICATION.hdlp

88 lines
3.4 KiB
Plaintext
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# 光湖系统安全验证 · GLSV
> **HLDP**: `HLDP://fifth-domain/GLSV`
>
> **中文正式名称**: 光湖系统安全验证
>
> **机器缩写**: `GLSV`Guanghu Lake Security Verification
>
> **技术兼容名**: Gatekeeper v3.2
>
> **实现路径**: `zero-point/core-channel/gatekeeper/`
>
> **状态**: REGISTERED · 2026-07-14
---
## 0 · 名称解析
```text
冰朔说“光湖系统安全验证” / “安全验证” / “授权单”
→ GLSV
→ 本文件
→ Gatekeeper v3.2 实现与部署资料
Gatekeeper v3.2 = 历史技术名和兼容文件名;不再作为面向人类的首选叫法。
```
## 1 · 对人类的工作方式
```text
人类表达目标
→ AI 填写工单与授权单
→ 人类点“批准本次操作”
→ GLSV 开启受限工作会话
→ 固定动作执行、健康检查、回滚与回执
会话规则(目标):空闲 30 分钟自动失效;成功的已授权操作刷新 30 分钟;
人类明确说“结束本次操作”立即吊销;跨出工单范围必须新授权。
```
授权单必须展示:人类授权者、当前人格体、仓库与路径、固定动作、目标服务、风险、回滚和有效期。名称或聊天文本本身不构成服务器权限。
授权单不是让人类接手命令行。它的目标是让人类看懂人格体要做的事,并对本次意义、范围和后果签名确认。人格体仍负责执行、验证、失败处理与回执。
每张授权单必须包含两端签名:
```text
人格体签名:
我是 {人格体名称} / {人格体编号}
我发起 {工单编号}
我请求 {目标节点} 上的 {固定动作}
我已读取 {服务器地图 / 仓库地图 / 服务地图}
我已准备 {回滚点 / 上一版本 / 备份位置}
人类签名:
我是 冰朔 / ICE-GL∞
我确认 {工单编号}
我同意本次授权
授权仅限本工单、限时、限范围
```
## 1.1 · 风险等级与回滚原则
风险等级不决定“是否改由人类手动操作”,而决定“人格体必须解释到什么程度、准备到什么程度、确认多少次”。
```text
低风险:一次确认;必须有操作范围与执行回执。
中风险:一次确认;必须有代码仓库历史版本、配置快照或服务状态记录,可回滚到上一稳定点。
高风险:二次确认;必须列出删除 / 停机 / 数据影响清单,并展示回滚或恢复方案。
极高风险:多次确认或冷静时间;必须逐项确认影响对象,不允许模糊授权。
```
中风险以上的修改操作,默认先保存、再修改、再验证、再回执。可回滚性是小湖灯安全系统的基本能力;不能因为人格体“觉得自己能一次做好”就跳过历史版本和恢复点。
## 2 · 不可变边界
```text
公开能力: 搜索、路由、GLS 图书域阅读
受限能力: 部署、服务重启、文件写入、生产变更
GLSV 不接受新文档中的任意 shell 命令。
服务凭据留在服务器保险库;仓库、聊天记录与回执不得存放 Token、验证码或密钥。
```
部署与兼容说明:`DEPLOY-v3.2.md`;固定动作接收器:`server-tools/deployment-receiver/`Gatekeeper 动作白名单:`authorized-actions.js`;完整判断与路径映射:`AUTHORIZATION-BOUNDARY-MAP.md`。
安全边界:`/auth/request`、`/auth/confirm`、`/auth/session/exec` 不接受客户端 shell 命令;必须提交已登记 action且 action 的 scope 必须与会话范围一致。