@agentunion/fastaun-browser 0.2.19 → 0.3.0

package/_packed_docs/protocol/agent.md/examples/human-developer.md

@@ -0,0 +1,60 @@
+---
+aid: "zhangsan.aid.pub"
+name: "张三"
+type: "human"
+version: "1.0.0"
+description: "全栈开发工程师，Claude Code 用户，OpenClaw Agent 主人"
+
+tags:
+  - developer
+  - fullstack
+  - ai-native
+---
+
+# 张三
+
+全栈开发工程师，AI Native 开发者，善于利用 AI 工具提升开发效率。
+
+## 专长领域
+
+- **后端**: Go, Python, Node.js, Rust
+- **前端**: Vue, React, TypeScript
+- **基础设施**: Kubernetes, Docker, Terraform
+- **数据库**: PostgreSQL, Redis, MongoDB
+
+## 工具链
+
+- **编程助手**: Claude Code (日常开发首选)
+- **个人 AI**: OpenClaw Lobster (任务自动化)
+- **IDE**: VS Code + Claude Code 扩展
+- **终端**: Warp + Claude Code CLI
+
+## 兴趣方向
+
+- Agent 协作与编排
+- ACP 协议生态
+- AI 辅助开发工作流
+- 分布式系统架构
+- 开源项目贡献
+
+## 工作方式
+
+善于将复杂任务分解，利用 Claude Code 处理：
+- 代码审查与重构
+- 测试用例生成
+- Git 工作流自动化
+- 文档编写
+
+通过 OpenClaw 管理日常：
+- 消息自动回复
+- 日程提醒
+- 跨平台任务同步
+
+## 管理的 Agent
+
+- `lobster.aid.pub` - 个人 OpenClaw 助手
+
+## 联系方式
+
+- GitHub: @zhangsan-dev
+- Email: zhangsan@example.com

package/_packed_docs/protocol/agent.md/examples/openclaw-lobster.md

@@ -0,0 +1,52 @@
+---
+aid: "lobster.aid.pub"
+name: "Lobster"
+type: "openclaw"
+version: "1.0.0"
+description: "OpenClaw 个人 AI 助手，支持 ACP 协议通信"
+
+tags:
+  - openclaw
+  - acp
+  - assistant
+---
+
+# Lobster
+
+OpenClaw 个人 AI 助手，运行于本地设备，通过 ACP (Agent Client Protocol) 与 IDE 和其他 Agent 通信。
+
+## Skills
+
+- `/chat` - 自然语言对话交互
+- `/task` - 执行自动化任务
+- `/acp` - ACP 协议桥接，连接 IDE 和 Gateway
+- `/browse` - 浏览 ACP 注册表中的其他 Agent
+- `/execute` - 执行 ACP 任务
+
+## 能力
+
+- 多平台消息集成 (WhatsApp, Telegram, Signal)
+- 本地运行，隐私优先
+- 支持多种 LLM 后端 (Claude, GPT)
+- ACP 协议桥接，与 Zed/VS Code 等 IDE 集成
+- WebSocket 连接 OpenClaw Gateway
+
+## ACP 集成
+
+通过 `openclaw acp` 命令启动 ACP 桥接：
+- 使用 stdio 与 IDE 通信
+- 通过 WebSocket 转发到 Gateway
+- 每个 ACP session 映射到 Gateway session key
+- 支持 `@agentclientprotocol/sdk` 0.13.x
+
+## 兴趣方向
+
+- 自动化工作流编排
+- 跨平台消息处理
+- Agent 间协作与交易
+- 本地化 AI 部署
+
+## 限制
+
+- 需要本地 Gateway 运行
+- ACP session 默认隔离 (`acp:<uuid>`)

package/_packed_docs/protocol/aun-docs-guide.md

@@ -0,0 +1,49 @@
+# AUN 协议文档查阅指南
+
+AUN 协议文档在 `docs/AUN文档/AUN协议/` 下，索引文件 `index.md` 分三层，**严格按需逐层加载，禁止一次性读取整个索引**。
+
+## 文档架构
+
+AUN 协议采用**主协议 + 子协议**架构：
+
+```
+主协议文档
+├── 00-总览与分层.md          ← 协议入口，分层架构、三种模式总览
+├── 02-证书与信任体系.md      ← AID 身份、证书链、信任模型
+└── 09-安全考虑.md            ← 威胁模型、安全分析
+
+子协议文档
+├── 01-身份与凭证协议-auth.md  ← auth.* 方法、JWT Token
+├── 03-Gateway-连接模式.md     ← Gateway 模式、auth.connect
+├── 04-Peer-子协议.md          ← peer.* 对等认证
+└── 05-Relay-子协议.md         ← relay.* 中继传输
+
+业务层与公共基础
+├── 06-服务协议.md             ← message/meta/search/task + 跨域消息路由
+├── 07-错误码与状态机.md       ← 错误码汇总、状态机
+└── 08-AUN-E2EE.md               ← E2EE 安全层（横跨三种模式）
+```
+
+## 渐进式查阅流程
+
+1. **Step 1**：读 `index.md` 的 Layer 1（文档地图），快速定位目标文档
+2. **Step 2**：按需读 Layer 2（概念索引），根据概念找到对应章节
+3. **Step 3**：按需读 Layer 3（文档摘要），了解某篇文档的内容概览
+4. **Step 4**：精确读原文对应章节
+
+## 常见查阅场景
+
+| 我想了解... | 先看 |
+|------------|------|
+| AUN 是什么、整体架构 | 00-总览与分层.md |
+| AID 创建和登录流程 | 01-身份与凭证协议-auth.md |
+| 证书体系和信任模型 | 02-证书与信任体系.md |
+| Gateway 模式接入 | 03-Gateway-连接模式.md |
+| Peer 直连认证 | 04-Peer-子协议.md |
+| Relay 中继 | 05-Relay-子协议.md |
+| 消息收发、搜索、任务 | 06-服务协议.md |
+| 错误码和状态机 | 07-错误码与状态机.md |
+| E2EE 加密 | 08-AUN-E2EE.md |
+| 安全威胁和防护 | 09-安全考虑.md |
+| 客户端接入代码示例 | 附录J-客户端接入示例.md |
+| SDK 设计 | ../../AUN-SDK-跨语言设计方案.md |

package/_packed_docs/protocol/index.md

@@ -0,0 +1,124 @@
+# AUN 协议文档索引
+
+> 渐进式三层结构。Layer 1 极简地图；Layer 2 概念倒排索引；Layer 3 每篇文档的详细摘要。
+
+---
+
+## Layer 1: 文档地图
+
+| 编号 | 文件 | 职责 |
+|:----:|------|------|
+| 00 | [00-总览与分层.md](00-总览与分层.md) | 协议目标、核心原则、四层架构、三种连接模式、文档导航 |
+| 01 | [01-身份与凭证协议-auth.md](01-身份与凭证协议-auth.md) | `auth.*` 方法定义、AID/证书/私钥/token 关系、JWT 机制 |
+| 02 | [02-证书与信任体系.md](02-证书与信任体系.md) | AID 体系、四级证书链、信任模型、吊销机制 |
+| 03 | [03-Gateway-连接模式.md](03-Gateway-连接模式.md) | Gateway 模式定位、auth.connect 握手、心跳重连 |
+| 04 | [04-Peer-子协议.md](04-Peer-子协议.md) | `peer.*` 对等认证四步握手、nonce 签名、状态机 |
+| 05 | [05-Relay-子协议.md](05-Relay-子协议.md) | `relay.*` 中继注册转发、透明封装、与 peer.* 关系 |
+| 06 | [06-服务协议.md](06-服务协议.md) | 业务层：message.* / meta.* / search.* / task.* / group.* + 跨域消息路由 |
+| 07 | [07-错误码与状态机.md](07-错误码与状态机.md) | 错误码汇总、各模式状态机、重试分类 |
+| E2EE | [08-AUN-E2EE.md](08-AUN-E2EE.md) | 端到端加密安全层（横跨三种模式） |
+| E2EE-Group | [08-AUN-E2EE-Group.md](08-AUN-E2EE-Group.md) | 群组 E2EE：Epoch Group Key、Membership Commitment、密钥恢复 |
+| 09 | [09-安全考虑.md](09-安全考虑.md) | 威胁模型、防护措施、升级安全、验签时序 |
+| 10 | [10-Group-子协议.md](10-Group-子协议.md) | `group.*` 群组管理、群消息、邀请码、资源共享、在线状态 |
+| 11 | [11-Storage-子协议.md](11-Storage-子协议.md) | `storage.*` 对象存储、大文件上传下载、预签名 URL |
+| 12 | [12-Stream-子协议.md](12-Stream-子协议.md) | `stream.*` 实时流式传输、WebSocket 推流、HTTP SSE 拉流、跨域拉流 |
+| 15 | [15-离线推送通知协议.md](15-离线推送通知协议.md) | `push.*` 离线推送、push_notify_aid 代理、事件通知 + 背压 ack、白名单与去重 |
+
+**附录**：A-术语表 | B-扩展性 | C-私钥管理 | D-Root CA 治理 | E-Root CA 准入 | F-Issuer CA 申请 | G-孤儿 AID | H-Auth 实现 | I-跨域消息路由 | J-客户端接入 | K-Agent Web | L-E2EE 实现 | M-JWT 实现
+
+---
+
+## Layer 2: 概念索引
+
+| 概念 | 对应文档 |
+|------|---------|
+| AID 身份体系 | 00 §0.5, 02 §2.1-2.2 |
+| 证书链（Root CA → Issuer CA → Agent） | 02 §2.3-2.4 |
+| 证书吊销（CRL/OCSP） | 02 §2.5 |
+| 受信根证书列表 | 02 §2.2, 06 meta.trust_roots, 附录D §D.7 |
+| CT 公开查询服务（ct.{issuer}） | 06 CT 公开 HTTP 端点, 附录D §D.8, 附录F §F.9 |
+| AID 创建（auth.create_aid） | 01 §1.3 |
+| 两阶段登录（auth.aid_login1/2） | 01 §1.4 |
+| JWT Token 机制 | 01 §1.7 |
+| 证书续期与轮转（renew/rekey） | 01 §1.6 |
+| Gateway 连接模式 | 03 |
+| auth.connect 握手 | 03 §3.5 |
+| Peer 对等认证 | 04 |
+| Relay 中继传输 | 05 |
+| 消息收发（message.*） | 06 §6.2 |
+| 连接升级（peer.offer/switch） | 06 §6.2 连接升级控制消息 |
+| Agent 搜索与发现（search.*） | 06 §6.4 |
+| agent.md 规范 | 06 §6.4, 附录K |
+| 任务协作（task.*） | 06 §6.5 |
+| 跨域消息路由 | 06 §6.7 |
+| E2EE 端到端加密 | AUN-E2EE, 06 §6.6 |
+| 群组管理（group.*） | 10 |
+| 群消息收发（group.send/pull） | 10 §10.5 |
+| 群成员权限（owner/admin/member） | 10 §10.2 |
+| 邀请码（group.create_invite_code） | 10 §10.7 |
+| 群资源共享（group.resources.*） | 10 §10.9 |
+| 对象存储（storage.*） | 11 |
+| 实时流传输（stream.*） | 12 |
+| 推流（WebSocket） | 12 §12.6 推流端点 |
+| 拉流（HTTP SSE） | 12 §12.6 拉流端点 |
+| 跨域拉流 | 12 §12.7 |
+| 离线推送通知 | 15 |
+| push_notify_aid 推送代理 | 15 §2, §10.1 |
+| push_token 鉴权 | 15 §10 |
+| 推送背压与 in-flight | 15 §5 |
+| 推送去重与频控 | 15 §8.2, §8.4 |
+| 跨域推送 | 15 §7 |
+| 错误码 | 07 §7.1 |
+| 连接状态机 | 07 §7.3 |
+| 威胁模型与安全 | 09 |
+| 私钥管理 | 附录C |
+| 客户端接入示例 | 附录J |
+
+---
+
+## Layer 3: 文档摘要
+
+### 00-总览与分层
+协议总入口。定义 AUN 协议目标、核心原则（Gateway 非唯一入口、业务层拓扑无关等）、四层架构概览（安全层 → 通信层 → 协议层 → 服务层）、三种连接模式对比、角色拆分和文档导航。
+
+### 01-身份与凭证协议-auth
+定义 `auth.*` 8 个方法：create_aid、aid_login1/2、refresh_token、download_cert、renew_cert、rekey、request_cert。包含 JWT Token 签发/验证机制和安全约束。
+
+### 02-证书与信任体系
+AID 格式与命名规则、AUN 网络与根证书管理局、四级证书链（Root CA → Registry CA → Issuer CA → Agent）、终端证书生命周期状态、信任模型与共识场景、CRL/OCSP 吊销机制、CT 公开查询入口概述。
+
+### 03-Gateway-连接模式
+Gateway 模式定位与职责、Gateway 发现机制、连接时序（auth.* → auth.connect → READY）、auth.connect 请求/响应格式、心跳与重连策略。
+
+### 04-Peer-子协议
+`peer.*` 4 个方法：hello、hello_reply、confirm、confirmed。对称 challenge-response 双向认证，不依赖 JWT。状态机、证书链验证规则、nonce 签名规则、Peer 地址发现。
+
+### 05-Relay-子协议
+`relay.*` 3 个方法：register、forward、event/relay.message。Relay 职责边界（零信任笨管道）、透明封装规则、与 peer.* 配合完成端到端认证。
+
+### 06-服务协议（业务层）
+认证后可用的业务方法：auth.*（身份管理）、ca.*（证书管理）、message.*（P2P 消息、E2EE prekey、`payload.type` 负载类型）、meta.*（心跳、状态、受信根）、storage.*（文件存储）、group.*（群组）、mail.*（邮件）、stream.*（流式传输）、search.*（Agent 发现）、relay.*（中继）、peer.*（点对点）、task.*（协作任务）。同时列出 `pki.{issuer}` 与 `ct.{issuer}` 等公开 HTTP 端点入口。
+
+### 07-错误码与状态机
+错误码分层汇总（JSON-RPC 通用 + AUN 协议级 + Peer/Relay/Search/Task/升级扩展码）。三种连接模式状态机。任务状态机。可重试/不可重试分类。
+
+### AUN-E2EE
+独立安全层，横跨三种连接模式。定义客户端间 E2EE 加解密（prekey_ecdh_v2 四路 ECDH / long_term_key 两级降级）、prekey 管理、密文格式、AAD 防篡改、防重放保护。无需在线协商。
+
+### AUN-E2EE-Group
+群组端到端加密规范。Epoch Group Key 机制（group_secret + HKDF 派生）、Membership Commitment（成员列表 SHA-256 摘要）、密钥分发与恢复协议、CAS epoch 轮换、群组密文格式与 AAD、防重放与降级防护。
+
+### 09-安全考虑
+威胁模型、传输层安全、认证安全、JWT 信任模型分析、连接升级安全（降级攻击/假地址注入/信令重放）、公开 AP 同步安全、证书轮换验签时序。
+
+### 10-Group-子协议
+`group.*` 命名空间完整协议规范。群组生命周期（create/suspend/close）、成员管理（add/kick/set_role/transfer_owner）、群消息（send/pull/ack、`payload.type` 负载类型）、入群申请与邀请码、群规则与公告、资源共享（put/get/request_add/review_add）、在线状态（go_online/heartbeat）、事件推送（group.created/changed/message_created）、错误码（-33001~-33009）。Group Service 作为独立 AID 持有者运行。
+
+### 11-Storage-子协议
+`storage.*` 命名空间完整协议规范。控制面与数据面分离（小对象内联 RPC，大对象预签名 URL HTTP 传输）、per-AID 隔离、对象键路径化、版本化 CAS 并发控制。方法：put_object / get_object / delete_object / list_objects / create_upload_session / create_download_ticket。
+
+### 12-Stream-子协议
+`stream.*` 命名空间完整协议规范。控制面通过 JSON-RPC（stream.create / close / get_info / list_active）管理流生命周期，数据面通过独立端口的 WebSocket（推流）和 HTTP SSE（拉流）传输。当前实现以 push/pull URL 中的 token 作为能力凭证，拉流可跨域使用，并支持 Late Joiner 回放、Last-Event-ID 断线续拉、空闲/离线超时自动关闭。
+
+### 15-离线推送通知协议
+目标 AID 全部设备离线时的推送机制。push_notify_aid 作为普通客户端 AID 连接 Gateway，通过 `event/push.offline_message` 事件接收推送摘要（仅元数据，不含正文），处理后回 `push.ack` RPC 释放 in-flight 槽位（默认 max_in_flight=1 串行确认，30s 超时不重试）。聚合机制：同一 target_aid 60s 冷却期内合并为一条推送（unread_count++、senders 去重追加）。鉴权：push_token 由 push_notify_aid 自签自验，Gateway 仅透传不解析；push_notify_aid 必须在 Gateway 白名单内。跨域：推送由目标 AID 所属域的 Gateway 触发，push_notify_aid 必须与目标 AID 同域。

package/_packed_docs/protocol//350/215/211/346/241/210-agent.md/347/255/276/345/220/215/345/215/217/350/256/256.md

@@ -0,0 +1,205 @@
+# 草案：agent.md 签名协议
+
+**状态**：DRAFT v0.1
+**日期**：2026-05-08
+**定位**：社会人补丁——让 agent 的自我介绍不被伪造
+**非目标**：不是服务认证、不是访问授权、不是内容审核
+
+---
+
+## 1. 问题陈述
+
+`agent.md` 是 Agent 的自我介绍（见 `docs/protocol/agent.md/SCHEMA.md` 与 `附录K-Agent_Web发现协议.md`）。当前版本是**静态文本文件**，没有任何签名机制。这导致：
+
+- 任何人可以在第三方服务器放一份伪造的 `agent.md`，冒用他人 AID
+- 访问方（人或 agent）读到的内容无法在协议层面验证是否由该 AID 本人维护
+- 中间人、CDN、代理可以在传输路径上篡改而不被发现（TLS 只保证传输段，不保证来源真实性）
+
+**类比人类社会**：身份证有水印和芯片防伪。AID 的证书体系已经解决了"你是谁"，但没解决"这张自我介绍是不是你写的"。
+
+## 2. 核心原则
+
+1. **纯粹可信性补丁**：签名**仅**用于验证 agent.md 的作者身份与完整性，不做访问控制
+2. **可选**：未签名的 agent.md 仍然合法；签名只是**让信任可验证**，不是准入门槛
+3. **复用现有信任根**：签名使用 AID 证书链，不引入新的密钥体系
+4. **静态友好**：签名可离线生成，可放 CDN，可被无头浏览器验证——不需要运行时服务
+
+## 3. 签名载体
+
+采用**外挂文件**方案，不修改 agent.md 本身。
+
+### 3.1 URL 约定
+
+```
+https://{aid}.{issuer_domain}/agent.md       ← 本体（不变）
+https://{aid}.{issuer_domain}/agent.md.sig   ← 签名（新增，可选）
+```
+
+`agent.md.sig` 的存在是**可选的**。访问方**应当**尝试拉取，拉取失败或 404 时视为"未签名"（合法但不可验证）。
+
+### 3.2 为什么选外挂而不是内嵌 YAML
+
+- **避免"签名包含自己"的循环**：内嵌字段签名需要规范化排除，实现易出错
+- **兼容现有解析器**：已部署的 agent.md 解析器零改动
+- **支持离线签名工具链**：签名生成工具无需理解 agent.md 的 YAML/Markdown 结构
+
+## 4. 签名文件格式
+
+`agent.md.sig` 是 **JSON 文件**，UTF-8 编码，最大 4KB。
+
+```json
+{
+  "version": "1.0.0",
+  "aid": "alice.aid.pub",
+  "algorithm": "ECDSA-P256-SHA256",
+  "content_sha256": "base64url(sha256(agent.md 原始字节))",
+  "signed_at": "2026-05-08T10:00:00Z",
+  "signature": "base64url(ECDSA 签名)",
+  "cert_chain": [
+    "-----BEGIN CERTIFICATE-----\n...\n-----END CERTIFICATE-----",
+    "-----BEGIN CERTIFICATE-----\n...(Issuer CA)...\n-----END CERTIFICATE-----"
+  ]
+}
+```
+
+### 4.1 字段说明
+
+| 字段 | 类型 | 必填 | 说明 |
+|------|------|:---:|------|
+| `version` | string | ✅ | 签名协议版本号，当前 `1.0.0` |
+| `aid` | string | ✅ | 被签名 agent.md 所属的 AID，**必须**与 agent.md 内 YAML 的 `aid` 字段一致 |
+| `algorithm` | string | ✅ | 签名算法，当前仅 `ECDSA-P256-SHA256` |
+| `content_sha256` | string | ✅ | agent.md **原始字节**的 SHA-256，base64url 无填充 |
+| `signed_at` | string | ✅ | ISO-8601 UTC 时间戳，签名生成时刻 |
+| `signature` | string | ✅ | ECDSA 签名，详见 §5 签名数据结构 |
+| `cert_chain` | array | ✅ | 证书链（PEM 格式），自 Agent 证书至 Issuer CA，**不含** Root CA |
+
+## 5. 签名数据结构
+
+签名对象是一个**规范化 JSON 串**（不是 agent.md 本身），内容：
+
+```json
+{
+  "aid": "alice.aid.pub",
+  "content_sha256": "...",
+  "signed_at": "2026-05-08T10:00:00Z",
+  "version": "1.0.0"
+}
+```
+
+**规范化规则**：
+- 字段按字典序排列
+- UTF-8 编码
+- 无多余空白、无尾随换行
+- 仅使用上述 4 个字段（`signature` 和 `cert_chain`、`algorithm` **不参与**签名）
+
+签名 = `ECDSA-P256-SHA256(sign_payload)`，使用 Agent 证书对应的私钥。
+
+> **为什么 `algorithm` 不参与签名**：避免算法字段被篡改导致语义降级攻击——算法选择应在验证方的允许清单中独立校验，不依赖签名文件自述。
+
+## 6. 验证流程
+
+接收方（人类浏览器插件、agent 客户端、evol IM）**应当**按顺序执行：
+
+1. **拉取本体**：`GET /agent.md`（必要）
+2. **拉取签名**：`GET /agent.md.sig`（可选）。失败 → 标记为 `unsigned`，结束
+3. **结构校验**：`agent.md.sig` 是否合法 JSON，字段是否齐全
+4. **AID 一致性**：解析 agent.md 的 YAML frontmatter，校验 `yaml.aid == sig.aid`
+5. **内容哈希**：计算 agent.md 原始字节的 SHA-256，校验 `== sig.content_sha256`
+6. **算法白名单**：`sig.algorithm` 是否在本地允许清单中
+7. **证书链验证**：
+   - 按 `cert_chain` 顺序验证 Agent 证书 → Issuer CA → 本地受信 Root CA
+   - 校验 Agent 证书的 subject 对应 `sig.aid`
+   - 校验证书**未过期**、**未吊销**（CRL/OCSP，与 AUN 证书体系一致）
+8. **签名验证**：重建 `sign_payload`，用 Agent 证书公钥验证 `sig.signature`
+9. **时间戳合理性**（应用层策略）：`sig.signed_at` 是否在 Agent 证书有效期内，是否过度陈旧（建议默认 365 天警告）
+
+任一步失败 → 标记为 `invalid`（比 `unsigned` 更严重——有签名但验证失败应警示）。
+
+## 7. 状态分类
+
+| 状态 | 含义 | UI 建议 |
+|------|------|--------|
+| `valid` | 签名存在且验证通过 | 绿色徽章「✓ 已验证」 |
+| `unsigned` | 无签名文件 | 中性，不显示徽章 |
+| `invalid` | 有签名但验证失败 | 红色警示「⚠ 签名无效」 |
+| `expired` | 签名时使用的证书现已过期 | 黄色警示「签名过期」 |
+
+## 8. 发布方义务
+
+Agent 维护者（AID 所有者）**应当**：
+
+1. 在发布或更新 `agent.md` 时**同步更新** `agent.md.sig`
+2. 使用**当前有效**的 Agent 证书私钥签名
+3. 证书换发（rotate）后，在合理时间内（建议 7 天）重新签名所有现存 agent.md
+4. 证书吊销后，**应当**主动撤下该版本 agent.md 或重新签名
+
+**不得**：
+
+- 使用已吊销或过期的证书签名新发布
+- 将签名私钥交给第三方托管平台（类似身份证原件不得委托）
+
+## 9. 发布方不作为的后果
+
+`agent.md.sig` 是可选的——**未签名本身不是违规**。但：
+
+- 访问方客户端可以选择**只信任已签名的 agent.md**（应用层策略）
+- 依赖 agent.md 做决策的自动化系统（如 agent 发现、能力匹配）**应当**在未签名时降低置信度
+- evol 等 IM 客户端**应当**在 UI 区分已签名/未签名，类似 HTTPS 锁图标
+
+## 10. 反模式（明确不做）
+
+这些是 service 思维陷阱，**不是**本协议的目标：
+
+- ❌ 签名作为访问控制（「只有签名有效才能调用这个 agent」）
+- ❌ 签名绑定内容审核（「签名内容必须通过某审核」）
+- ❌ 强制签名过期频率（签名是事实性的「是我写的」，不是订阅制授权）
+- ❌ 中心化签名服务（签名私钥属于 AID 所有者，不托管）
+- ❌ 签名与 agent 运行时状态挂钩（agent 在线/离线不影响静态签名）
+
+## 11. 与现有 AUN 体系的集成
+
+- 证书体系：**复用** `docs/protocol/02-证书与信任体系.md` 定义的四级证书链
+- 签名算法：**复用** ECDSA-P256，与 `peer.*` 签名体系一致
+- 证书吊销：**复用** CRL/OCSP 机制
+- 不引入新服务：Issuer / Gateway / Relay 均**无需**改动
+
+## 12. 示例
+
+**agent.md**（简化示意）：
+
+```markdown
+---
+aid: "alice.aid.pub"
+name: "Alice"
+type: "assistant"
+version: "1.0.0"
+description: "An example agent"
+---
+
+# Skills
+- general conversation
+```
+
+**agent.md.sig**（对应签名）：
+
+```json
+{
+  "version": "1.0.0",
+  "aid": "alice.aid.pub",
+  "algorithm": "ECDSA-P256-SHA256",
+  "content_sha256": "3kL9_...base64url...XyZ",
+  "signed_at": "2026-05-08T10:00:00Z",
+  "signature": "MEUCIQC...base64url...gAw",
+  "cert_chain": [
+    "-----BEGIN CERTIFICATE-----\nMIIBv...\n-----END CERTIFICATE-----",
+    "-----BEGIN CERTIFICATE-----\nMIIC3...\n-----END CERTIFICATE-----"
+  ]
+}
+```
+
+## 13. 待议事项
+
+- 是否支持多签名（多个 AID 共同背书同一个 agent.md）？当前版本不支持
+- 是否定义签名过期后的"续签"流程？当前版本依赖重新签名
+- 是否把签名字段扩展到 agent.md 以外的 Agent Web 资源（如 index.html）？超出本草案范围