fix(data-exfil-warning): 補上 pre-bash hook 偵測（前一 commit Edit 失敗漏掉）

前一 commit message 提及 hook 但實際因 Edit old_string 不匹配未寫入。本 commit 補上： - pre-bash-guard 偵測 acr push / acr recipe push 無 --confirm-exposure/--suppress-warning → exit 2 - 精準排除 acr creds push（上傳加密 cred 是保護非暴露）、acr run/list 不誤擋 - 驗證：push/recipe push 無旗標=2、帶旗標=0、creds push/run/list=0 e2e（wrangler dev --local）三態全綠：webhook 無consent→403 / 帶consent→201 / 同wf再部署→201(首次問記住)；recipe push 無consent→403 + 保護入口訊息。 tasks V3/V4/V6 標記。 Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
2026-05-30 15:08:07 +08:00
parent 5165884b40
commit f9071d153b
2 changed files with 26 additions and 3 deletions
@@ -30,10 +30,10 @@
 ## 驗收
 - [ ] V1 acr push 部署 webhook（首次）→ 互動警示 + 說明暴露 + 提示保護 的終端輸出
 - [x] V2 非 TTY 跑 acr push 無 --confirm-exposure → 拒絕的輸出
- [ ] V3 webhook 部署 API 無 exposure_consent → 拒絕的輸出
- [ ] V4 同一 workflow 二次部署 → 不重問（已記住）
+- [x] V3 webhook 部署 API 無 exposure_consent → 拒絕的輸出
+- [x] V4 同一 workflow 二次部署 → 不重問（已記住）
 - [ ] V5 --suppress-warning 後 → 不再警示，但 suppress 選擇有 log
- [ ] V6 同意後 → exposure_consent 寫進 record 可查（法律憑證）
+- [x] V6 同意後 → exposure_consent 寫進 record 可查（法律憑證）

 ## 範圍邊界
 - 不動用戶 API 入站保護機制（發 key/權限/限流）—— BACKLOG 待決策，本系統只在警示處「提示它存在」。