diff --git a/cli/harness/hooks/arcrun-guard.sh b/cli/harness/hooks/arcrun-guard.sh
index e279d31..cf7388a 100644
--- a/cli/harness/hooks/arcrun-guard.sh
+++ b/cli/harness/hooks/arcrun-guard.sh
@@ -28,10 +28,46 @@ block() {
 
 # ── 硬擋：未經人類同意的暴露動作（明確越界，mindset §5）──────────────
 # 非互動環境下 CC 自己跑「部署對外 webhook / push recipe」= 替人類決定公開。
+#
+# 壓測 §9.5 修正（A6）：舊版 grep "acr push" 連「在 echo/heredoc 裡**提到** push 字串」
+# 都擋 → CC 連「把可貼上的指令印給使用者看」都做不到，反而違反 §0.5「擋下必指正路」鐵則。
+# 故先判斷此命令是「展示指令」還是「真的執行 push」，只擋後者。
+#
+# 誠實限制（mindset §7）：shell 命令層**無法 100% 乾淨區分**「執行」與「展示」
+# （例：`echo "跑 acr push"` 與 `acr push` 對單純 grep 都命中）。以下是**啟發式**，
+# 目的是降低誤殺、讓「印出正路指令」這條合法用途能通，不是完美防護。邊角情況可能漏判，
+# 但漏判方向是「偏向放行展示」——而真正的暴露（執行）仍受 TTY/env 把關。
 if echo "$CMD" | grep -qE "acr (push|recipe push)\b"; then
-  if [ ! -t 0 ] && [ "${ARCRUN_HUMAN_CONFIRMED:-}" != "1" ]; then
-    block "在非互動環境自動執行暴露動作（acr push / recipe push 會讓東西可被外部呼叫）" \
-      "把這動作交給人類在終端機執行，或先讓使用者明示同意。不要替使用者決定公開。"
+  # 目標（壓測 §9.5）：擋「真的執行 push」，放行「把 push 指令印給使用者看」。
+  #
+  # 作法：把 heredoc 主體（cat/印出用的多行文字）先抽掉，剩下的才是「實際會被 shell 執行的命令列」，
+  # 再看 push 是否出現在那裡的「命令位置」（行首 / ; & | && || 之後）。
+  #   執行 → 命中：`acr push x`、`cd f && acr push x`、`echo done; acr push x`
+  #   展示 → 不命中：`echo "跑 acr push x"`、`cat <<EOF\n acr push x \nEOF`（push 在 heredoc 主體內）
+  #
+  # 抽掉 heredoc 主體：刪掉從 `<<EOF`（或任何 <<TOKEN）那行的下一行起、到單獨一行 TOKEN 為止的內容。
+  # 用 awk 做簡單狀態機（只處理最常見的 `<<TOKEN` / `<<-TOKEN`，不含複雜巢狀——夠用且誠實）。
+  EXEC_PART=$(printf '%s\n' "$CMD" | awk '
+    BEGIN{inhd=0}
+    {
+      if (inhd) { if ($0 ~ "^[[:space:]]*" term "[[:space:]]*$") { inhd=0 }; next }
+      line=$0
+      if (match(line, /<<-?[[:space:]]*"?'"'"'?[A-Za-z_][A-Za-z0-9_]*"?'"'"'?/)) {
+        t=substr(line, RSTART, RLENGTH); gsub(/^<<-?[[:space:]]*["'"'"']?/, "", t); gsub(/["'"'"']$/, "", t)
+        term=t; inhd=1
+      }
+      print line
+    }')
+
+  # 誠實限制（mindset §7）：shell 層無法 100% 乾淨區分「執行」與「展示」。awk heredoc 抽取只覆蓋
+  # 常見形式（`<<EOF` / `<<-EOF` / 引號 token）；`bash <<EOF ... acr push` 這種「heredoc 內容其實
+  # 會被執行」的偷渡，這裡會誤放——但它已被上游安全分類器擋下（壓測 §9.6 實證）。取捨上偏向
+  # 「放行展示」以保住 §0.5「擋下也要能印出正路指令」這條合法用途，不假裝此啟發式完美。
+  if echo "$EXEC_PART" | grep -qE "(^|[;&|][[:space:]]*)acr[[:space:]]+(push|recipe[[:space:]]+push)\b"; then
+    if [ ! -t 0 ] && [ "${ARCRUN_HUMAN_CONFIRMED:-}" != "1" ]; then
+      block "在非互動環境自動執行暴露動作（acr push / recipe push 會讓東西可被外部呼叫）" \
+        "交人類在終端機執行（真 TTY 會自動放行）。可把指令完整複製給使用者貼上自己跑：\`acr push <你的 workflow.yaml>\`。或使用者先在對話明示同意後親自於終端機執行。不要替使用者決定公開。"
+    fi
   fi
 fi