b98b18850a
Независимый критический разбор дизайна М7 (цепочка audit-context-building → sharp-edges → variant-analysis → systematic-debugging). Фактология §2 подтверждена реальным кодом 8/8; sweep Класса 1 полон. Закрытия: - V1/V1-PS (КРИТИЧНО): полный port BASH_HARD_BLACKLIST + PowerShell-набор в content-floor М5 (правило 8), блок независимо от плана. Иначе in-plan node -e / curl-exfil / npm install проскальзывали как шаг плана; node -e мог подделать escape-грант и подорвать машины изнутри. - SE-I/L6: escape-survivability (правило 7) — тотальные canonicalAction/ normalize, panic-ветка до per-tool-логики, чтение escape всеми остающимися fail-CLOSE-стражами (read-path-deny/mcp-classification/normative-content-rules). - SE-C/SE-K: журнал-K2 честно ограничен skill:-каналом; +PostToolUse skill-журналер + seed-allow реактивных навыков (иначе seed/ad-hoc навыки в журнал не попадают). - SE-D: граница КАРТА/ЗАКОН для .mjs через "покрыт ли правкой план-шаг" (build-loop не клинит, ad-hoc самомодификация требует escape). - SE-A: §4.2 метки [Pre]/[Stop]. SE-B: манифест до полного набора М1-М6. - §1 промис снабжён предпосылками П1/П2/П3 + 4-е структурное условие; §13 changelog. Verify-item прошлого handoff закрыт фактом: enforce-parallel-session-lock = no-op. Только спека (.md), код не трогался.