* 三套独立实现：攻击者需要同时投毒三处，且供应链不同，成本高。

    * 共享核心：攻击者只需投毒一处，成本低。

    这不是口号，是成本模型。

    成本模型一旦公开，统一就失去道德制高点。

    ---

    ### 十一、同源一致的真实事故：一次“全绿的错”

    为了让决策不依赖猜测，机要监把影子对照实现提示的那张“字段缺失”证明卡拿进依赖投毒试验场做复现。

    他们构造了一个“恶意等价证明”：

    证明卡形式上满足大多数字段，唯独缺失一个“候选池边界条款哈希域”的子字段。

    正确的解析应判定失败，因为缺失意味着边界条款不在承诺域内。

    可ProofKit的规范化规则把该字段视为“可选”，缺失时用默认值补齐。

    三实现一致通过。

    影子对照实现失败。

    这是一场“全绿的错”。

    最可怕的是：

    如果没有影子对照实现，没有这次异常，所有人会继续相信那片绿海。

    这张证明卡不需要真正造成灾难，才能证明危险。

    它本身就是灾难：它证明“全绿可能是错”。

    江砚当场冻结ProofKit在关键路径中的使用，发布紧急回滚：

    可证索引：ANTI-UNI-ACT-01

    摘要：关键路径共享依赖剥离；三实现回退独立解析；发布独立性恢复证明卡；将ProofKit默认值补齐行为写入L2反例。

    L2反例卡的不可做结论写得很硬：

    可证索引：L2-ANTI-UNI-01

    不可做：校验器关键路径不得对缺失字段做默认补齐；任何“可选字段”必须进入规约试验场自证不降低承诺域完整性。

    这张反例卡进入引用前置后，未来任何“容错补齐”都会先撞上它。

    ---

    ### 十二、规约劫持：他们转向投毒“规范”，让独立实现也一起错

    当共享核心被剥离，敌人不会就此停手。

    他们会换一个更高层的控制点：规范。

    如果三实现都遵循同一份规范，而规范被投喂，三实现即便代码不同，也可能一起错。

    这叫“规约劫持”。

    敌人很可能提出：

    > “你看，独立实现会产生差异。

    > 不如把证明卡规范写得更明确、更严谨、更统一。”

    听起来仍是好事。

    但规范如果被某一圈层操控，就能把开关写进规则。

    江砚对此的应对是：把规范治理也纳入守望链旁系。

    ---

    ### 十三、规约治理协议：规范变更也要试验场与反例

    可证索引：SPEC-GOV-01

    名称：规约治理协议

    SPEC-GOV-01A：规范变更门槛

    * 任何涉及承诺域、混合算法、快照字段、边界条款的变更，视为**险

    * **险规范变更必须进入规约试验场

    * 必须给出操控成本不下降证明与反例对照

    SPEC-GOV-01B：规约试验场

    * 用现有证明卡集与恶意形变集测试新规范

    * 验证：旧证明兼容性、攻击面是否扩大、字段缺失是否可能被容错

    * 验证：独立实现是否仍能保持差异熵（避免被规范逼成同源行为）

    SPEC-GOV-01C：规范共创抽签团


    -->>(第5/7页)（本章未完，请点击下一页继续阅读）