信任与安全
信任与安全
没有人应该安装一个无法信任的技能。Deep Work Plan 生来就是可被验证的,而非依赖信念:开源、以 Markdown 为核心、非破坏性,且在运行之前就可以逐行核查。本页直白地说明它做了什么、没做什么,以及如何对两者都加以确认。
你所信任的内容
开源且采用 MIT 许可
网站和技能均公开且可 diff。你可以在运行前阅读每一行,并将任意副本与某个 tag 发布时的源代码进行比对。
以 Markdown 为核心——无网络调用,无遥测
该技能没有 CLI、没有 HTTP API,也没有认证流程。它不发起任何网络调用,也不发送任何遥测数据;它唯一的本地辅助程序只读取 git 和环境元数据。你的代码仓库中没有任何信息会离开你的机器。
非破坏性设计
该技能唯一与安全相关的操作就是修改你的代码仓库——而且它是协调式的,而非覆盖式的。它会检测已有内容,提出一份计划,并在替换任何内容之前征求确认。计划输出存放在被 gitignore 的 .dwp/ 目录中。
不涉及任何密钥
该方法论从不将密钥提交到版本控制,并将工作状态保存在版本控制之外。接入过程追加 .gitignore 而非重写它,每一处改动都设计为以小巧、可读的 diff 呈现供审阅。
可验证的来源
每个发布版本都会为已发布的技能文件发布校验和,因此你可以在信任之前确认下载的副本与已发布内容相符。
运行前先验证
在完成核查之前,请将该技能视为不可信的。每个发布版本都会附带一份涵盖所有已发布技能文件的 SHA256SUMS 文件。下载你打算安装的版本所对应的文件,然后验证你的副本是否匹配——非零退出码意味着某个文件不匹配,此时应立即停止。
git clone https://github.com/DailybotHQ/deepworkplan-skill.git
cd deepworkplan-skill
# Download the checksums for the release you intend to install (replace vX.Y.Z):
curl -fsSL -o SHA256SUMS \
https://github.com/DailybotHQ/deepworkplan-skill/releases/download/vX.Y.Z/SHA256SUMS
./setup.sh --verify # non-zero exit means a file does not match — stop发布版本有校验和,但未经签名——签名(cosign 或维护者 GPG)是已记录的下一步计划,而非当前的承诺。由于一切都是公开的,你也可以将任意文件与仓库在其 tag 处的内容进行比对。
报告漏洞
发现了安全问题?请通过 GitHub 的私密漏洞报告功能,在相关仓库——技能或网站(详见下方链接的安全政策)——上私密报告,而非公开提交 issue,因为公开提交会在修复完成前暴露问题。
信任资源
诚实的局限性
- 发布版本有校验和,但尚未经过密码学签名——签名已在计划之中,尚未完成。
- Deep Work Plan 对你的代码仓库运行一个自主编码代理。请审阅它提出的计划和 diff;该方法论正是为这种审阅而设计的,而非取代它。
- 这里的信任声明仅描述官方来源。已偏离仓库的经修改或第三方副本不附带这些保证——请先验证。
放心采用
阅读方法论和规范,将代理指向 init 端点,并在运行之前验证安装。