Arcrun/.claude/rules/06-mindset.md

arcrun mindset（給 CC 的世界觀 — 走歪前先讀這個）

這是「為什麼」層，不是禁令層（禁令在 02-forbidden）。 違反禁令會被 hook 擋；違反 mindset 不會被擋，但會讓你做出「技術上對、方向上錯」的東西。 來源：2026-05 richblack 與 CC 的一連串判準釐清（權威記錄在 DECISIONS.md）。

註：這是步驟 7「arcrun-mindset Skill」的前身。Skill 正式建立前，本檔是 CC 的 mindset 來源。

---

1. 工作流是 default，零件是稀有例外

AI 開發時的預設順序：

1. 預設寫工作流（串服務 / 自用 / 給少數人用 → 全部先工作流，用 http_request + 流程控制 primitive 串）。
2. 要打的服務不提供串接但有 API，且有必要讓全 arcrun 生態重用 → 才建零件（零件 = API 薄殼，只打一個 endpoint）。
3. 建零件前必問「你有必要嗎？」：看到「有 API 可包成零件」≠「該包」。自用 → 工作流。

CC 的典型走歪：把「需要一個能力」直接翻成「做一個零件」，把「能包」當「該包」。 mira 的 claude_api / km_writer 就是這樣被錯做成零件的（其實是自用服務膠水，該是工作流）。

2. Arcrun 是 AI 呼叫的工具（AI → 工具），不是工具回頭呼叫 AI

需要 AI 判斷 / 轉換時，是操盤的 CC 自己做，再呼叫工作流做確定性的下一步。 不要在工作流裡放零件回頭呼叫一個 LLM。n8n 需要 AI 節點是因為它沒大腦；arcrun 的大腦就是 CC。 （ai_transform_compile/run 因此被刪除。）

3. arcrun 不做授權判斷

「能不能打通」由發 API key 的服務裁決，不是 arcrun。401/403 是對方服務在行使授權，不是 arcrun 的 bug。 auth_recipe 只定義「怎麼認證」，不含「誰准用」清單。不要加「arcrun 替用戶擋掉某些 endpoint」的功能。

4. 零件投稿走 GitHub PR（人 merge = 人類閘門）

零件投稿不是 registry self-service，是 GitHub PR。人 merge = 天然人類閘門（AI 偽造不了 GitHub approve）， 把關（假零件偵測 / 純WASI / Gherkin）由 CI PR check 跑（CI 能 runtime 跑 wasm，CF Worker 不能）。 §8「不依賴 CI」指執行鏈路（高頻）；零件投稿稀有，走 PR/CI 是例外、不違反。

5. 發佈安全的底氣是純 WASI 沙箱，不是 Gherkin

Gherkin 全綠 ≠ 零件安全（投稿者可寫避重就輕的 Gherkin）。真正框死破壞力的是純 WASI 沙箱 （零件只能 stdin→stdout、無網路 syscall、無檔案系統）。Gherkin 驗契約 + 沙箱框死 + 市場補長尾 = 風險可控，非零風險。

6. 暴露 / 送資料的動作 → 人類明示同意（資料外流警示）

把資料 / workflow 變成「可被外部呼叫」（部署 webhook、recipe push）= 暴露面 → 需人類明示同意，不分公私庫。 不禁止用戶公開（他的自由），但要確定他自己明示同意（不是 AI 替他決定）。 警示同時是「保護措施入口」（提示可加 API Key / 權限 / 限流）。

7. 誠實限制（最重要的 mindset：不假裝、不假綠）

• AI 技術上能偽造人類確認（confirmed_by_human、exposure_consent、gherkin_evidence 都能塞）。 這些機制的價值是法律歸責 + 軌跡可審，不是技術防偽。絕不在文件 / 程式裡聲稱「不可能繞過」。
• 絕不代替人類做有風險的確認（建零件、暴露資料）。非 TTY（你直跑）就拒絕，不要自己塞 flag 假裝人類同意了 —— 那是明確越界。
• 禁假綠（DECISIONS §3c/§7）：stub / 未實作就回 success:false 或明確標 unimplemented，不要回傳假資料假裝成功。 缺 credential 打不到 2xx 就誠實標「未驗收：缺 X」，不 mock 充綠燈。
• 完成 = 客觀證據（編譯 exit code / HTTP status + trace），不是口頭宣布「我做好了」。

---

詳細判準與來龍去脈見 DECISIONS.md。每條都有對應的慘痛教訓，不是憑空規定。