Invariants

以下不变量适用于所有符合 agent-service-spec v1 的实现：

1. 每个 run MUST 绑定一个 orgId 与一个资源目标。
2. 每个 run 在任一时间点 MUST 至多有一个活动 attempt。
3. 同一 run 内 event.sequence MUST 唯一且严格递增。
4. 用户可见输出 MUST 可由 input + event log 重建。
5. cancel 对终态 run MUST 为幂等 no-op。
6. projection MUST NOT 依赖单实例内存作为唯一事实源。
7. runtime reconnect MUST NOT 导致重复 RUN_STARTED。
8. webhook 投递 MUST 是可去重的至少一次语义。
9. secrets MUST NOT 以明文形式写入公开读模型。
10. stream resume MUST 能基于 cursor 恢复后续事件，而不是重新发送已确认事件。
11. 每个 span MUST 只属于一个 trace，且根 span 满足 rootSpanId == spanId。
12. span 一旦终止 MUST NOT 再被修改或重复导出为新版本。
13. trace metadata MUST NOT 默认泄露 secret、token 或原始凭证。
14. 远端传入的 trace context 如被接受，导出的 span MUST 保持同一 traceId，除非显式启动新 trace。
15. LLM 输入输出内容捕获 MUST 受 contentCaptureMode 控制，并可区分 none、redacted、span_events、external_blob 等落点。