feat(data-exfil-warning): 資料外流警示 — 暴露動作需人類明示同意

新 SDD .agents/specs/data-exfil-warning/（richblack review 過）。觸發策略：只在「資料變成可被外部呼叫」時警示（webhook 部署 / recipe push），不管出站打別人 API（高頻低風險）。 - C 同意憑證（exposure-consent.ts）：ExposureConsent{confirmed_by_human, understood, confirmed_at, suppress_future}；同意=法律憑證，存 record 可審 - A API 層：webhook 部署 + recipe push 首次需 consent，缺→403；首次問記住（server 端） - B CLI（exposure-warning.ts）：仿 GCP 刪 project，要打資源名確認（比 y/n 硬）； --confirm-exposure（非互動）/ --suppress-warning（不再警示，本選擇也 log）；非 TTY 無旗標→拒絕（AI 不替人類確認暴露）；本機 config 記住已同意（不重問） - H hook：pre-bash 偵測 acr push/recipe push 無旗標→exit 2（creds push/run 不誤擋） - 警示是「保護措施入口」：提示 arcrun 可幫加認證/權限/限流（資安優勢）驗收：非 TTY 拒絕未送出(exit1)、hook 精準擋放、tsc 雙邊綠。 ⚠️ A+B 必須一起 deploy（API 層擋 + CLI 帶 consent），否則 push 中間狀態壞。 Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
2026-05-30 14:45:43 +08:00
parent 5178a6666f
commit 3e92d4acf6
11 changed files with 481 additions and 4 deletions
@@ -0,0 +1,60 @@
+// 資料外流警示 — 同意憑證機制（data-exfil-warning SDD §7 法律憑證 + §1b API 層）
+//
+// 觸發策略（richblack）：只在「資料變成可被外部呼叫」時要求同意（暴露面）。
+//   webhook 部署（workflow 變對外 endpoint）、recipe push 都算。
+//
+// 同意 = 法律憑證：留 log（誰、何時、同意了什麼），真出事時有「用戶明示知情同意」證據，
+//   避免 arcrun 訴訟風險。「以後不要警示」（suppress_future）本身也 log。
+//
+// 誠實限制：AI 能偽造 confirmed_by_human。本機制的價值是「法律歸責 + 可審」，不是技術防偽。
+
+/** 暴露同意憑證（人類明示知情同意把某資源開放/送出） */
+export interface ExposureConsent {
+  confirmed_by_human: true;       // 必須為 literal true
+  understood: string;            // 人類說明「我知道這會把什麼開放給誰」（非空）
+  confirmed_at: string;          // ISO timestamp
+  suppress_future?: boolean;     // 「以後不要對此資源警示」（本選擇也 log）
+}
+
+/**
+ * 判斷一個暴露動作是否已取得有效同意。
+ * @param consent  本次請求帶的同意憑證
+ * @param priorConsent  既有 record 裡存的同意（首次問、記住：§3）
+ * @returns null = 放行（已同意或已 suppress）；string = 拒絕原因
+ */
+export function checkExposureConsent(
+  consent: ExposureConsent | undefined,
+  priorConsent: ExposureConsent | undefined,
+): string | null {
+  // 既有同意且選了「以後不警示」→ 放行（首次問記住）
+  if (priorConsent?.suppress_future) return null;
+  // 既有有效同意（同資源已確認過）→ 放行
+  if (priorConsent?.confirmed_by_human === true) return null;
+
+  // 本次請求帶了有效同意 → 放行
+  if (
+    consent?.confirmed_by_human === true &&
+    typeof consent.understood === 'string' &&
+    consent.understood.trim() !== ''
+  ) {
+    return null;
+  }
+
+  return (
+    '此動作會把資源變成可被外部呼叫（暴露/送出資料）。需人類明示同意。\n' +
+    '請用 CLI 互動確認（acr 會說明風險並提供保護選項），或帶 exposure_consent。\n' +
+    'arcrun 可幫你保護：要求呼叫者帶 API Key / 設權限 / 限流。'
+  );
+}
+
+/**
+ * 正規化要存進 record 的同意憑證（法律憑證，可審）。
+ * 優先用本次新同意，否則沿用既有。
+ */
+export function resolveConsentForRecord(
+  consent: ExposureConsent | undefined,
+  priorConsent: ExposureConsent | undefined,
+): ExposureConsent | undefined {
+  if (consent?.confirmed_by_human === true) return consent;
+  return priorConsent;
+}
@@ -16,6 +16,8 @@
 import { Hono } from 'hono';
 import type { Bindings } from '../types';
 import { deriveRecipeHash } from '../lib/hash';
+import { checkExposureConsent, resolveConsentForRecord } from '../lib/exposure-consent';
+import type { ExposureConsent } from '../lib/exposure-consent';

 export const recipesRouter = new Hono<{ Bindings: Bindings }>();

@@ -38,6 +40,9 @@ export interface RecipeDefinition {
    key: string;
    inject_as: string;
  }>;
+  // 資料外流警示：recipe 定義一個資料去向（endpoint）。push 需人類明示同意（法律憑證）。
+  // SDD: data-exfil-warning §7（公私一視同仁）
+  exposure_consent?: ExposureConsent;
  created_at: number;
  updated_at: number;
 }
@@ -58,9 +63,15 @@ recipesRouter.post('/recipes', async (c) => {
  const hashId = await deriveRecipeHash(canonicalId);
  const now = Date.now();

-  // 讀取現有版本（保留 created_at）
+  // 讀取現有版本（保留 created_at + 既有同意憑證）
  const existing = await c.env.RECIPES.get(`recipe:${canonicalId}`, 'json') as RecipeDefinition | null;

+  // 資料外流警示：recipe 定義資料去向（endpoint）。首次 push 需人類明示同意（公私一視同仁）。
+  const consentError = checkExposureConsent(body.exposure_consent, existing?.exposure_consent);
+  if (consentError !== null) {
+    return c.json({ success: false, error: consentError, requires: 'exposure_consent' }, 403);
+  }
+
  const recipe: RecipeDefinition = {
    canonical_id: canonicalId,
    hash_id: hashId,
@@ -72,6 +83,7 @@ recipesRouter.post('/recipes', async (c) => {
    body: body.body,
    auth_service: body.auth_service,
    credentials_required: body.credentials_required,
+    exposure_consent: resolveConsentForRecord(body.exposure_consent, existing?.exposure_consent),
    created_at: existing?.created_at ?? now,
    updated_at: now,
  };
@@ -28,6 +28,8 @@ import { writeExecutionVerdict } from '../actions/execution-logger';
 import type { GraphNode } from '../types';
 import { extractCronExpr } from '../lib/cron-match';
 import { recordTelemetry } from '../lib/telemetry';
+import { checkExposureConsent, resolveConsentForRecord } from '../lib/exposure-consent';
+import type { ExposureConsent } from '../lib/exposure-consent';

 export const webhooksNamedRouter = new Hono<{ Bindings: Bindings }>();

@@ -40,6 +42,9 @@ type NamedWorkflowRecord = {
  // 若首節點是 cron 零件，extract cron_expr 存進來供 scheduled() 比對
  // 對應 SDD: arcrun.md 三-A P1 #3
  cron_expr?: string;
+  // 資料外流警示：部署 webhook = 把 workflow 變對外可呼叫 endpoint（暴露面）。
+  // 存人類明示同意憑證（法律憑證，可審）。SDD: data-exfil-warning §7
+  exposure_consent?: ExposureConsent;
 };

 function kvKey(apiKey: string, name: string): string {
@@ -63,6 +68,7 @@ webhooksNamedRouter.post('/webhooks/named', async (c) => {
    graph?: Record<string, unknown>;
    config?: Record<string, unknown>;
    description?: string;
+    exposure_consent?: ExposureConsent;
  } | null;

  if (!body?.name || !body.graph) {
@@ -74,6 +80,15 @@ webhooksNamedRouter.post('/webhooks/named', async (c) => {
    return c.json({ error: 'workflow name 只能包含英文字母、數字、底線和連字號' }, 400);
  }

+  // 資料外流警示：部署 webhook = 把 workflow 變對外可呼叫 endpoint（暴露面）。
+  // 首次部署某 workflow 需人類明示同意；已同意（含 suppress_future）則放行（§3 首次問記住）。
+  const priorRaw = await c.env.WEBHOOKS.get(kvKey(apiKey, name));
+  const priorRecord = priorRaw ? (JSON.parse(priorRaw) as NamedWorkflowRecord) : null;
+  const consentError = checkExposureConsent(body.exposure_consent, priorRecord?.exposure_consent);
+  if (consentError !== null) {
+    return c.json({ error: consentError, requires: 'exposure_consent' }, 403);
+  }
+
  // 偵測首節點是 cron 零件 → 抽 cron_expr 存進 record + 建輕量 index 給 scheduled()
  const cronExpr = extractCronExpr(body.graph);

@@ -84,6 +99,8 @@ webhooksNamedRouter.post('/webhooks/named', async (c) => {
    description: typeof body.description === 'string' ? body.description : '',
    created_at: new Date().toISOString(),
    cron_expr: cronExpr ?? undefined,
+    // 法律憑證：存人類明示同意（本次新同意或沿用既有）
+    exposure_consent: resolveConsentForRecord(body.exposure_consent, priorRecord?.exposure_consent),
  };

  const start = Date.now();