# 安全与鉴权（Auth）

本文件定义代理在处理鉴权、安全、敏感数据相关任务时的边界与要求。

## 1. 基本原则

- **最小权限**：只使用完成任务所需的最低权限与最少数据。
- **默认保守**：不确定是否敏感时按敏感处理。
- **不扩散秘密**：任何 secret 只在必要范围内出现。

## 2. 凭证与敏感信息

- 不要在代码、日志、注释或文档中写入明文密钥、Token、密码。
- 如需示例，使用占位符：`<TOKEN>`、`<PASSWORD>`。
- 避免把敏感信息打印到标准输出或错误日志。

## 3. 鉴权逻辑修改

- 修改鉴权/权限控制时必须说明：
  - 变更动机
  - 风险评估
  - 兼容性/回滚方案
- 默认保持旧行为兼容，除非明确要求破坏性变更。

## 4. 依赖与第三方

- 禁止无理由新增依赖，尤其是网络、加密、认证相关依赖。
- 若必须新增，需在 PR 说明理由、替代方案与安全影响。

## 5. 审计与合规

- 任何涉及用户数据/权限边界的改动需可审计：代码清晰、注释说明“为什么”。
- 发现潜在安全漏洞时，优先修复或明确标注 `FIXME(name): security risk ...`。