fix(data-exfil-warning): 移除 CLI 旗標後門 + 修 hook 誤判（閉環修正）

richblack 2026-05-30：arcrun 是 AI 的工具，AI 自己能加旗標 = 自己批准自己 = 閘門虛設（違 DECISIONS §7 執行者不能驗證自己）。 - 移除 --confirm-exposure / --suppress-warning（CLI lib/commands/index.ts） - 唯一通過 = 人類 TTY 互動輸入資源名；「以後不再問」改互動中詢問；非 TTY 一律拒絕「交給人類」 - hook 移除旗標放行捷徑 + 錨定指令開頭（修誤判：commit message 含字串不再被擋）驗證：真執行=2、cd&&執行=2、commit/echo含字串=0、creds/run/ls=0；非TTY→RC1「交給人類」；CLI build 綠。 self-hosted 誠實限制：AI 直接動其 CF KV 仍可假造，無100%防法，閘門價值=拉高門檻+留痕究責。 Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
2026-05-30 17:15:45 +08:00
parent 1b36b091a5
commit 51d40ee515
4 changed files with 45 additions and 59 deletions
@@ -82,23 +82,25 @@ fi
 # 資料外流警示（data-exfil-warning SDD R2）：AI 動手把資料變成可被外部呼叫前先擋
 # `acr push`（部署 webhook）/ `acr recipe push`（定義資料去向）= 暴露面動作。
 # 不含 `acr creds push`（上傳加密 credential 是保護，非暴露）。
-# 已帶 --confirm-exposure / --suppress-warning（人類已明示）→ 放行。
+#
+# 信任修正（2026-05-30）：無「旗標放行」捷徑——AI 自己能加的旗標 = 自己批准自己。
+# 這類動作一律擋，必須由人類在終端機親自執行（CLI 會跳互動、要人類輸入資源名確認）。
 # ─────────────────────────────────────────────────────────────────────────────
-if echo "$CMD" | grep -qE "\bacr[[:space:]]+(recipe[[:space:]]+)?push\b" \
-   && ! echo "$CMD" | grep -qE "\bacr[[:space:]]+creds[[:space:]]+push\b"; then
-  if ! echo "$CMD" | grep -qE "\-\-(confirm-exposure|suppress-warning)"; then
-    cat >&2 <<'EOF'
+# 只在「指令本身就是執行 acr push / acr recipe push」時擋（錨定到指令開頭，
+# 允許前置 cd .. && 或環境變數）。避免誤判 git commit -m "...acr push..." 這類
+# 「字串裡剛好提到 acr push」的情況（commit message / echo / grep 不該被擋）。
+if echo "$CMD" | grep -qE "(^|&&|;|\|)[[:space:]]*(cd[[:space:]][^&;|]*(&&|;)[[:space:]]*)?([A-Za-z_]+=[^[:space:]]*[[:space:]]+)*acr[[:space:]]+(recipe[[:space:]]+)?push\b" \
+   && ! echo "$CMD" | grep -qE "acr[[:space:]]+creds[[:space:]]+push\b"; then
+  cat >&2 <<'EOF'
 ❌ BLOCKED：資料外流警示（arcrun data-exfil-warning）
 原因：acr push / acr recipe push 會把資料/workflow 變成「可被外部呼叫」（暴露面）。
-      這種動作不該由 AI 自行執行——需人類明示知情同意（法律憑證）。
+      這種動作你（AI）不能自行執行，也沒有旗標捷徑——需人類明示知情同意（法律憑證）。
 正確做法：
-  - 由人類在終端機親自執行（會跳互動警示、要你輸入資源名確認、並提供保護選項）
-  - 或人類確認後加 --confirm-exposure（你已知悉暴露風險）
-  - 確定要公開且不再提醒：--suppress-warning
+  - 把這件事交給人類：請人類在終端機親自執行（CLI 會跳互動、要人類輸入資源名確認）
+  - 人類第一次確認後 server 會記住，之後同資源不用再確認
 參考：.agents/specs/data-exfil-warning/
 EOF
-    exit 2
-  fi
+  exit 2
 fi

 exit 0