后端审计

本页整理旧 docs/后端审计.md 的结论，作为上线前安全检查入口，而不是替代逐条漏洞修复记录。

当前结论

旧审计记录显示，已经修掉了一批高风险问题，尤其是：

• 路径穿越
• SSRF
• 默认关闭鉴权
• 计费预检缺失
• session / task 用户隔离问题

这说明后端安全边界已经明显收紧，但并不代表可以停止审计。

已修复的高优先问题

基础安全边界

• 默认鉴权已从不安全默认改为安全默认
• URL 导航增加了安全校验
• task 相关 handler 加强了 task_id 校验

用户隔离

• task handler 增加了更严格的 user_id 防御
• session live / pointer 权限边界收紧
• legacy 无主 plan 的访问策略收紧

业务安全

• 计费预检补齐
• API key 权限收紧
• perception 路由补上了更严格的限制

仍应持续关注的方向

旧审计里剩余的重点主要包括：

• admin handler 的兜底认证
• rate limit
• body size limit
• 错误响应一致性
• 审计日志覆盖面
• 缓存级别的租户隔离

对开发流程的要求

以后新增接口时，至少要检查：

1. 是否依赖中间件兜底，还是 handler 自己也做了防御
2. 是否存在资源存在性泄露
3. 是否有 body size / rate limit / auth default
4. 是否会跨用户或跨租户暴露 session / task / evidence

与文档站其他页面的关系

安全不是一个独立角落问题，它和这些页面强相关：

• 策略与权限
• 运行时模型
• 后端开发

建议的使用方式

把这页当成：

• 上线前 checklist 入口
• 新接口评审时的提醒页
• 查历史安全修复方向的索引页

而不是把所有漏洞细节只保存在 issue 或聊天记录里。