8910ae6cd6
Round 7 adversarial audit (через superpowers:brainstorming skill) выявил 13 классов которые 9 предыдущих раундов не покрывали: - 2 FATAL: F5 Read-leak parent_random_id через Glob+Read (R-NEW-4 обнулён), F6 subagent tool_result.content exfil - 4 CRITICAL: C12 system DNS/config (/etc/hosts/~/.ssh/registry) вне §3.1, C13 || true exit-code spoof (per-token vs per-chain), C14 subagent state exfil, C15 §5.2 multi-language gap (PHP/Ruby/Go test runners) - 5 SERIOUS: S22 Skill(claude-md-management) exemption backdoor, S23 Workflow args parameter payload, S24 path-equivalence (Unicode NFC/NFD + Windows 8.3 + hardlinks), S25 MCP filesystem/redis write tools classification, S26 stop-keywords morphology gaps - 2 EDGE: E31 gate-error reason disclosure (probing pattern), E32 LLM-judge cache cross-session persistence 18 spec edits: header bump + TL;DR + Changes v3.8→v3.9 table + §3.1 system paths + parent-sentinel→restricted + §3.4 PostToolUse Task scanner + §3.6.2 normative-content second-layer gate + §4.5 stop-keywords expanded + §4.7 cache per-session + §5 MCP classification + §5.1 chain ANY-mutating + PostToolUse rev-parse verify + §5.1.2 PowerShell mirror + §5.2 multi-language scan + §6.3 redacted reason mode + §9 13 closures + §10.2 gate-config v3.9 fields + §11 v3.9 history entry. Spec: 2554 → 2964 строк (+410 lines). Budget: 45-60h (v3.8) → 53-72h (v3.9). Закрыто 118 holes total через 10 раундов adversarial audit. cspell-words.txt +18 терминов (exfiltration/exfil/NFD/RCE/syscall/Inodes/PROGRA/ resolv/nsswitch/ics/HKCU/HKLM/fsutil/unstar/mvn/popen/брэйншторм/стопаем). Generalisable formula R7 (новая): для каждого следующего audit задавать 3 вопроса до enumeration — какие safe tools/paths/chains дают visibility/leverage; какие границы scope подразумеваются но не enforce'ятся; где per-token vs per-chain formulation gap есть в композиции. §0 cross-refs не меняются — spec-only, не tooling-канон / не ADR / не off-phase подкатегория. Methodology: superpowers:brainstorming skill + AskUserQuestion scope choice (user выбрал «Полное v3.9 closure всех 13»). Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>