Security Model

主体

• End User
  • 通过 console 或外部 API 发起控制面和读面请求
• Service Principal
  • 平台内部服务之间的调用主体
• Runtime Principal
  • 运行中 runtime 的短期身份
• Provider Principal
  • provider 侧的会话身份

租户隔离

• 所有资源和 run MUST 绑定 orgId
• 控制面、读面、runtime session MUST 做租户边界校验
• runtime MUST NOT 读取不属于当前 run / org 的 secret 或 KV

Secret 模型

• 规范中的 secret 以 SecretRef 表达，而不是直接持久化明文
• 控制面 MUST 只存可审计引用或密文
• runtime 只能通过受控 session API 按需获取 secret 值
• secret 获取 MUST 具备 TTL、审计日志与最小权限范围

Session 令牌

• runtime attach 令牌 MUST 是短期令牌
• attach 成功后得到的 session 身份 MUST 可撤销、可过期、可审计
• reconnect / recover MUST 绑定到现有 session 或其可验证续期

输出与日志

• 对外日志和 webhook MUST 支持敏感信息脱敏
• 错误对象 MUST NOT 无条件回传 secret、token、provider credential
• 二进制 artifact 下载 SHOULD 使用短期签名 URL 或受控代理
• tracing metadata MUST NOT 默认携带 secret、token、原始凭证或大体量敏感 payload
• 如 span metadata 允许业务自定义字段，平台 SHOULD 提供采样、脱敏和字段白名单机制
• LLM 输入输出、system prompt、tool arguments / results 的原始内容 MUST 受显式 capture policy 控制，不得默认全量持久化
• baggage MUST NOT 用于传播 secret、access token 或大 payload；平台 SHOULD 对 key 和长度做白名单治理
• 通过 external_blob 捕获的 tracing 内容 MUST 复用 artifact / blob 的鉴权与审计能力