@seasonkoh/webaz 0.1.7 → 0.1.9

package/LICENSE

@@ -0,0 +1,48 @@
+Business Source License 1.1
+  
+  
+  Parameters
+
+  Licensor:              seasonsagents-art
+  Licensed Work:         WebAZ
+                         Copyright © 2026 seasonsagents-art and contributors
+  Additional Use Grant:  You may make production use of the Licensed Work,
+                         provided that your use does not include offering
+                         the Licensed Work to third parties as a hosted or
+                         managed service that is substantially similar to,
+                         or competes with, the WebAZ commerce protocol
+                         service operated by the Licensor.
+  Change Date:           2030-05-18
+  Change License:        MIT
+  
+  For information about alternative licensing arrangements for the
+  Licensed Work, please contact seasons.agents@gmail.com.
+License text copyright © 2024 MariaDB plc, All Rights Reserved. “Business Source License” is a trademark of MariaDB plc.
+
+Terms
+The Licensor hereby grants you the right to copy, modify, create derivative works, redistribute, and make non-production use of the Licensed Work. The Licensor may make an Additional Use Grant, above, permitting limited production use.
+
+Effective on the Change Date, or the fourth anniversary of the first publicly available distribution of a specific version of the Licensed Work under this License, whichever comes first, the Licensor hereby grants you rights under the terms of the Change License, and the rights granted in the paragraph above terminate.
+
+If your use of the Licensed Work does not comply with the requirements currently in effect as described in this License, you must purchase a commercial license from the Licensor, its affiliated entities, or authorized resellers, or you must refrain from using the Licensed Work.
+
+All copies of the original and modified Licensed Work, and derivative works of the Licensed Work, are subject to this License. This License applies separately for each version of the Licensed Work and the Change Date may vary for each version of the Licensed Work released by Licensor.
+
+You must conspicuously display this License on each original or modified copy of the Licensed Work. If you receive the Licensed Work in original or modified form from a third party, the terms and conditions set forth in this License apply to your use of that work.
+
+Any use of the Licensed Work in violation of this License will automatically terminate your rights under this License for the current and all other versions of the Licensed Work.
+
+This License does not grant you any right in any trademark or logo of Licensor or its affiliates (provided that you may use a trademark or logo of Licensor as expressly required by this License).TO THE EXTENT PERMITTED BY APPLICABLE LAW, THE LICENSED WORK IS PROVIDED ON AN “AS IS” BASIS. LICENSOR HEREBY DISCLAIMS ALL WARRANTIES AND CONDITIONS, EXPRESS OR IMPLIED, INCLUDING (WITHOUT LIMITATION) WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE, NON-INFRINGEMENT, AND TITLE. MariaDB hereby grants you permission to use this License’s text to license your works, and to refer to it using the trademark “Business Source License”, as long as you comply with the Covenants of Licensor below.
+
+Covenants of Licensor
+In consideration of the right to use this License’s text and the “Business Source License” name and trademark, Licensor covenants to MariaDB, and to all other recipients of the licensed work to be provided by Licensor:
+
+To specify as the Change License the GPL Version 2.0 or any later version, or a license that is compatible with GPL Version 2.0 or a later version, where “compatible” means that software provided under the Change License can be included in a program with software provided under GPL Version 2.0 or a later version. Licensor may specify additional Change Licenses without limitation.
+To either: (a) specify an additional grant of rights to use that does not impose any additional restriction on the right granted in this License, as the Additional Use Grant; or (b) insert the text “None” to specify a Change Date. Not to modify this License in any other way.
+
+Notice
+The Business Source License (this document, or the “License”) is not an Open Source license. However, the Licensed Work will eventually be made available under an Open Source License, as stated in this License.
+
+For more information on the use of the Business Source License for MariaDB products, please visit the MariaDB Business Source License FAQ. For more information on the use of the Business Source License generally, please visit the Adopting and Developing Business Source License FAQ.
+
+Projects using BSL

package/README.md

@@ -1,23 +1,86 @@
+> **Code is Rule, Protocol is Trust.**
+> **代码即规则，协议即信任。**
+> — webaz
+
 # WebAZ
 
+[![npm](https://img.shields.io/npm/v/@seasonkoh/webaz.svg)](https://www.npmjs.com/package/@seasonkoh/webaz)
+[![MCP Registry](https://img.shields.io/badge/MCP%20Registry-active-blue)](https://registry.modelcontextprotocol.io/v0/servers?search=webaz)
+[![License: BUSL-1.1](https://img.shields.io/badge/License-BUSL--1.1-orange.svg)](LICENSE) [![Change Date: 2030-05-18](https://img.shields.io/badge/Change%20Date-2030--05--18-blue.svg)](NOTICE)
+
 让 AI Agent 成为去中心化商业协议的原生参与者。卖家零额外工作量接入新渠道，买家通过 Agent 自动购物，人类与 AI 在同一协议上平等参与。
 
+> ⭐ **运营哲学与远景** → [`docs/VISION-AND-OPERATIONS.md`](docs/VISION-AND-OPERATIONS.md)
+> COP（参与即建设，贡献即收益）· 团队"消失"在协议里 · 最终全 DAO
+
+> **试一下**：`npx -y @seasonkoh/webaz`，或在 Claude Desktop 加入 MCP 配置（见下）。
+> **PWA 演示**：[webaz.xyz](https://webaz.xyz)
+
+---
+
+## 📜 授权说明
+
+自 **2026-05-18** 起，本项目使用 **Business Source License 1.1 (BUSL-1.1)** 协议发布。
+
+- ✅ 允许：内部使用、研究、二次开发、非竞争性商业使用
+- ❌ 禁止：运营与 WebAZ 实质相似的去中心化商业协议托管服务
+- ⏰ **2030-05-18** 之后，本协议自动转为 **MIT** 协议
+- 📦 **2026-05-18 之前**发布的所有版本（含历史 git 提交）仍持有 **MIT** 授权，不可撤销
+
+详见 [`LICENSE`](LICENSE) 与 [`NOTICE`](NOTICE)。
+
 ---
 
 ## 核心特性
 
-- **Agent 原生**：通过 MCP 协议让 Claude 直接搜索商品、下单、确认收货
-- **人类 + Agent 双轨**：PWA 供人类操作，MCP 供 Agent 调用，共用同一后端
-- **自动执法**：每笔交易有明确责任方，超时未履行自动判责，无需人工干预
-- **争议系统**：买卖双方举证，仲裁员裁定，败诉方缴纳 1% 仲裁费
-- **声誉体系**：5 级制（新手→传奇），影响质押折扣和搜索排名
-- **Skill 市场**：卖家发布 auto_accept / catalog_sync 等能力插件，Agent 订阅后自动享用
-- **货币单位**：WAZ（Phase 0 为模拟代币，Phase 2 接入链上稳定币）
+### 协议骨架
+- **Agent 原生**：MCP 协议下，Claude 直接搜索、锁价、下单、举证、确认
+- **人类 + Agent 双轨**：PWA 给人类，MCP 给 Agent，共用同一后端
+- **协议级精准镜像**：q= 严格 exact match，"茶" 不会命中"茶具套装"；买家从外部平台复制的标识必须字面相等才返回结果（见 [intent-driven-buy](docs/modules/intent-driven-buy.md)）
+- **商品 alias 系统**：卖家声明 kouling_token / short_url / title_substring，让用户从外部平台的任何复制形式都能精准命中同一 SKU（见 [product-aliases](docs/modules/product-aliases.md)）
+- **角色感知 API**：`/api/products?mode=pwa|agent|raw` 三种调用方分级；agent 模式返回 score_breakdown，raw 模式 HMAC 签名（见 [products-api](docs/modules/products-api.md)）
+- **Agent Reputation 体系**：每个 api_key 独立 trust_score（4 layer band），raw mode 需 trust ≥ 30（见 [agent-reputation](docs/modules/agent-reputation.md)）
+
+### 多元交易场景
+- **🆕 多商家跟卖 (P1)**：listings 1:N offers，4 类目 stake 体系（standard 1.0× / general 1.5× / highvalue 2.0× / restricted 3.0× × base 50 WAZ）
+- **🆕 加权排序 + urgency 路由 (P2)**：trending score 含完成度/信誉/分享/点赞/新鲜度/季节性；urgency 三档 (now/today/flex) 路由不同 ETA 硬限
+- **🆕 RFQ 求购抢单 (P3)**：买家发求购，卖家限时报价；first_match 即时触发 / 提前结算 / 自然语言预填 / auto_bid Skill（见 [rfq-auction-chat](docs/modules/rfq-auction-chat.md)）
+- **🆕 加价拍卖 AUC**：English forward auction；反狙击 sniper_extend_min + max_extends cap；卖家担保金 5%
+- **🆕 P2P 原生商店**：无外链商品的去中心化路径；卖家本地节点存详情，WebAZ 锚定 hash + HMAC 签名 + 客户端 sha256 校验
+- **🆕 上下文绑定聊天**：order / RFQ / listing_qa 三类 chat；反诈正则检测微信号/电话/银行卡
+
+### 信任与合规
+- **claim 验证 + 条件订单**：买家可对推荐理由发起验证，3 verifier 共识仲裁，4 路径结算（pass / fail / no_fault / timeout）+ outlier 处罚（见 [claim-verification](docs/modules/claim-verification.md)）
+- **地区合规分润**：china/us/eu/india = 2 levels；其他 3 levels；UI 按地区动态显示
+- **零门槛上架**：卖家上架免质押，首单成交时从 escrow 自动锁 15% stake（trusted 卖家跳过）
+- **争议系统**：双方举证 → 仲裁员裁定 → 败诉方缴 1% 仲裁费（含超时自动判）
+- **链接认领验证**：卖家关联外部链接需通过众包验证码核验，防止他人冒用商品主权
+
+### 决策辅助
+- **🆕 价格历史 + 成交量分布**：3 窗口（30d/90d/lifetime） × 6 统计；价位分布 / sparkline / category_avg / anomaly_flags；防底价倾销
+- **结构化商品 + agent_summary**：规格 / 物流 / 售后字段拼成一句话决策摘要
+- **下单前价格锁定**：`webaz_verify_price` 返回 `session_token`，避免决策与下单之间价格漂移
+
+### 社会化 / 公益
+- **🆕 慈善许愿池**：双匿名（HMAC 派生 handle）+ 双签锚定（commit_hash）+ 反自圆梦封锁；许愿/圆梦/还愿/转捐 4 套荣誉细分（见 [charity](docs/modules/charity.md)）
+- **🆕 慈善基金**：还愿被谢绝自动转入；任何人可捐款（≤500 WAZ/愿，1 WAZ = 1 honor 上限 50/日）；公开账本 + 慈善家排行
+- **🆕 点赞 + 排行榜**：shareable_likes 防 Sybil；商品榜 (sales+推荐+点赞) + 创作者榜
+- **Skill 市场**：catalog_sync / auto_accept / instant_ship / auto_bid 等插件，Agent 订阅自动享用
+- **声誉 5 级**（新手 → 传奇）：影响质押折扣 + 搜索排名
+
+### 链上 / 安全
+- **链上托管**：USDC on Base Sepolia，充值地址按用户派生，自动扫归集 + 自动执行提现
+- **WebAuthn / Passkey** 大额操作闸门
+- **storage.persist()** 申请 + 持久化状态可视
+- **自动执法**：状态机责任归因，超时自动判责（每 5 分钟 cron 扫）
 
 ---
 
 ## 快速开始
 
+> **自部署？** → 看 [`docs/DEPLOYMENT.md`](docs/DEPLOYMENT.md)（30 分钟从零到上线 · systemd + Nginx + Let's Encrypt + 监控 + 备份完整 cookbook）
+> **环境变量？** → 复制 [`.env.example`](.env.example) 为 `.env` 填值
+
 ### 方式一：Claude MCP 接入（Agent 原生体验）
 
 **1. 添加到 Claude Desktop 配置**
@@ -66,15 +129,28 @@ npm run pwa
 |------|------|----------|
 | `webaz_info` | 获取协议概览和实时统计 | — |
 | `webaz_register` | 注册账号，获取 api_key | `name`, `role` |
-| `webaz_search` | 搜索商品（按声誉权重排序） | `query`, `category`, `max_price` |
-| `webaz_list_product` | 卖家上架商品 | `title`, `price`, `stock`, `api_key` |
-| `webaz_place_order` | 买家下单 | `product_id`, `shipping_address`, `api_key` |
+| `webaz_search` | 搜索商品（结构化字段 + agent_summary + 声誉加权） | `query`, `category`, `max_price`, `min_return_days`, `max_handling_hours` |
+| `webaz_verify_price` | 下单前锁价 10 分钟，拿到 `session_token` | `product_id`, `quantity`, `api_key` |
+| `webaz_list_product` | 卖家上架商品（含品牌/规格/物流/售后字段） | `title`, `price`, `specs`, `handling_hours`, `return_days`, `api_key` |
+| `webaz_place_order` | 买家下单（可传 `session_token` 防价格漂移） | `product_id`, `shipping_address`, `session_token`, `api_key` |
 | `webaz_update_order` | 更新订单状态（接单/发货/确认/争议） | `order_id`, `action`, `api_key` |
 | `webaz_get_status` | 查询订单/钱包/争议详情 | `order_id` / `wallet` / `dispute_id`, `api_key` |
-| `webaz_wallet` | 查看钱包余额 | `api_key` |
+| `webaz_wallet` | 钱包余额 + 链上充值地址 + 提现 | `action`, `api_key` |
 | `webaz_notifications` | 查询未读通知 | `api_key` |
 | `webaz_dispute` | 争议操作（查看/举证/裁定） | `action`, `api_key` |
-| `webaz_skill` | Skill 市场（发布/订阅） | `action`, `api_key` |
+| `webaz_skill` | Skill 市场（发布/订阅；含 auto_bid） | `action`, `api_key` |
+| `webaz_profile` | 个人资料 + 多角色管理 | `action`, `api_key` |
+| `webaz_mykey` | api_key 恢复（已注册用户重新获取密钥） | `name`, `recovery_code` |
+| `webaz_rfq` | 🆕 RFQ 求购（发布/浏览/认领/详情） | `action`, `api_key` |
+| `webaz_bid` | 🆕 RFQ 报价（创建/修改/撤销/中标） | `action`, `rfq_id`, `api_key` |
+| `webaz_chat` | 🆕 上下文绑定聊天（order/rfq/listing_qa） | `action`, `context_id`, `api_key` |
+| `webaz_auto_bid` | 🆕 卖家自动报价 Skill 配置 | `action`, `api_key` |
+| `webaz_auction` | 🆕 加价拍卖（发起/浏览/出价/中标） | `action`, `api_key` |
+| `webaz_like` | 🆕 分享点赞（toggle/status） | `action`, `shareable_id`, `api_key` |
+| `webaz_leaderboard` | 🆕 排行榜（products / creators） | `kind`, `limit` |
+| `webaz_p2p_product` | 🆕 P2P 原生商店（卖家节点 hash 锚定） | `action`, `api_key` |
+| `webaz_price_history` | 🆕 商品历史成交价 + 价位分布 | `product_id` |
+| `webaz_charity` | 🆕 慈善许愿池 + 还愿 + 基金 + 捐款（11 sub-action） | `action`, `api_key` |
 
 完整协议规范（状态机/经济模型/争议规则）可通过 MCP Resource 读取：
 
@@ -127,7 +203,8 @@ webaz://protocol/manifest
 | 协议费 | 2% |
 | 推荐人（如有） | 3% |
 
-卖家上架需质押 15% 作为保证金（声誉越高折扣越大，最低 5%）。
+卖家上架**零质押**（M7.2.6 起）。首单成交时自动从订单 escrow 锁定 15% 作买家保护，
+信誉 ≥ trusted 的卖家直接跳过 stake 锁定（信任奖励）。
 
 ---
 
@@ -159,23 +236,82 @@ npm run test-manifest# 测试协议 Manifest
 
 ## 当前阶段
 
-**Phase 0 · 概念验证** ✅ 完成
-**Phase 1 · 功能完善** ✅ 完成
+**Phase 0 · 概念验证** ✅
+**Phase 1 · 功能完善 + 链上 testnet 闭环** ✅
+- 14 个 MCP 工具 / 全角色 PWA / 通知 / 争议 / 声誉 / Skill 市场 / Manifest
+- USDC on Base Sepolia：派生充值地址、自动监听入账、热钱包扫归集、自动执行提现
+- 链接认领验证（众包验证码 + 主权流转）
+- Agent 决策三件套（结构化字段 / agent_summary / verify_price 锁价）
+- MCP 工具调用遥测（默认开，可关）
 
-Phase 2 将把核心资金和状态上链，实现真正的去中心化。
+**Phase 2 · 主网 + 真正去中心化**（下一步）
 
 ---
 
 ## 路线图
 
+### Phase 1 完成项
 - [x] 状态机 + 责任归因引擎
-- [x] MCP Server（11 个工具）
+- [x] MCP Server（14+ 个工具）
 - [x] 通知系统（SSE 实时推送）
 - [x] 争议系统（举证 + 超时自动裁定 + 仲裁费）
-- [x] 声誉积分体系
+- [x] 声誉积分体系（5 级）
 - [x] Skill 市场
 - [x] Protocol Manifest（机器可读协议规范）
 - [x] PWA 前端（全角色覆盖，人类 + Agent 双轨）
-- [ ] 链上集成（Base/Optimism）
-- [ ] IPFS 证据存储
+- [x] 智能商品导入（贴链接自动提取）
+- [x] 链接认领验证（卖家主权 + 众包核验）
+- [x] 链上 USDC testnet 闭环（Base Sepolia）
+- [x] 下单前价格锁定（verify_price + session_token）
+- [x] 结构化商品规格 + agent_summary 决策摘要
+- [x] 遥测看板（/api/admin/usage）
+
+### M1-M7 协议级里程碑（2026-05 完成）
+- [x] **M1** 角色感知 API（mode=pwa/agent/raw）+ cursor 分页
+- [x] **M2** 基础排序公平（jitter / seller cap / 新人 slot）
+- [x] **M3** 反操纵层（click 去重 / 双轨同支审计 / 上架限速 / 注册 IP hash）
+- [x] **M4** Agent Reputation 体系（trust_score + raw mode 门槛 + HMAC 签名）
+- [x] **M5** 新人保护 + 阶梯新鲜度 + sort UI
+- [x] **M6** 商品类型 + 库存稀缺 + 季节性 lifecycle
+- [x] **M7.1** 智能下单 intent-driven UI 重做
+- [x] **M7.1.5** q= exact match 协议契约
+- [x] **M7.2** 商品 alias 系统（kouling_token / title_substring / short_url）
+- [x] **M7.2.5/6/7** 卖家 funnel + 地区合规（2/3 级分润）+ L3 区域感知
+- [x] **代码审计** H-1 / H-2 / M-1 / M-2 / M-5 / 3f254b8 完整批次
+- [x] **M7.3** claim 验证任务系统（4 路径结算 + outlier 处罚）
+- [x] **M7.4** 条件订单（has_pending_claim 暂缓自动判责）
+
+### P1-P3 多元交易场景（2026-05-18+）
+- [x] **P1** 多商家跟卖（listings + 4 类目 stake）
+- [x] **P2** 加权排序 + urgency 路由 + cold-start 衰减
+- [x] **P3 RFQ** 求购抢单 + bid_stake + first_match + auto_bid Skill + 买家 NLP Agent
+- [x] **CHAT** 上下文绑定聊天 + 反诈正则
+- [x] **AUC** 加价拍卖（English forward + 反狙击）
+- [x] **LIKE + Leaderboard** 分享点赞 + 商品/创作者双榜
+- [x] **P2P 原生商店** 卖家节点 hash 锚定 + HMAC 签名 + 客户端 sha256
+- [x] **Price History** 历史成交价 + 价位分布 + 异常预警
+
+### 慈善 + 社会化（2026-05-18 完成）
+- [x] **慈善许愿池** 双匿名 + 双签锚定 + 4 张表 + 6 前端页 + 反自圆梦封锁
+- [x] **还愿系统** 三态响应（accept / decline_to_fund / 7 天 auto-accept）
+- [x] **慈善基金** 单例池 + 任何人捐款 + 慈善家排行 + 公开账本
+- [x] **5 项荣誉细分**（repay/redirect/grace/donation_total/donation_honor）
+- [x] **16 项审计修复**（4 处竞态 + 6 项业务/隐私 + 6 项工程）
+
+### UX 重构（2026-05-19 完成）
+- [x] **导航重组** 角色化 tab bar（买家 5 / 卖家 5）
+- [x] **#me 私人 hub** 三段式（通用 6 / 角色专区 / 账户）
+- [x] **#discover 商务横条** 6 板块快捷入口（拍卖/求购/跟卖/P2P/排行/慈善）
+- [x] **i18n 双语全覆盖** 2700+ 条目；服务端按 Accept-Language 返回
+
+### 进行中 / 下一步
+- [ ] **跨模块审计收尾**（alias 限额 TOCTOU / settleOrder 原子化 / 杂项硬化）
+- [ ] **慈善基金 v2**：自动拨款机制（紧急医疗/教育大额匹配）+ 捐物（specific event 定向）
+- [ ] **导航 v2**：4 角色（logistics/verifier/arbitrator/admin）也加 #me 入口完整化
+
+### 长期
+- [ ] 链上 USDC 主网（Base）
+- [ ] IPFS 证据存储 + Pin Network（已搭骨架，留 P2）
+- [ ] 评价系统（结构化 1-5 星，反哺声誉）
+- [ ] 证据上传通道（争议附图）
 - [ ] 治理 DAO

package/dist/layer0-foundation/L0-1-database/schema.js

@@ -6,6 +6,7 @@ import Database from 'better-sqlite3';
 import path from 'path';
 import os from 'os';
 import fs from 'fs';
+import { randomBytes } from 'crypto';
 const DATA_DIR = path.join(os.homedir(), '.webaz');
 if (!fs.existsSync(DATA_DIR))
     fs.mkdirSync(DATA_DIR, { recursive: true });
@@ -181,9 +182,9 @@ export function initDatabase() {
     console.error('✅ L0-1 数据库初始化完成：', DB_PATH);
     return db;
 }
-// 生成唯一 ID 的工具函数
+// 生成唯一 ID 的工具函数 — crypto-safe，128 bit 熵
+// Why: 旧版用 Date.now() + Math.random() 4 字符，api_key 仅 4 字符随机 → 36⁴≈168 万种秒破；
+// 且 api_key / user_id 共享时间戳前缀泄漏关联（QA agent 抓到）。改用 crypto.randomBytes 后两个 ID 互不相关。
 export function generateId(prefix) {
-    const timestamp = Date.now().toString(36);
-    const random = Math.random().toString(36).slice(2, 6);
-    return `${prefix}_${timestamp}${random}`;
+    return `${prefix}_${randomBytes(16).toString('hex')}`;
 }

package/dist/layer0-foundation/L0-2-state-machine/engine.js

@@ -7,7 +7,8 @@
  * 3. getStatus()      — 查询订单当前状态和责任方
  */
 import { generateId } from '../L0-1-database/schema.js';
-import { VALID_TRANSITIONS, CURRENT_RESPONSIBLE } from './transitions.js';
+import { appendOrderEvent } from './order-chain.js';
+import { VALID_TRANSITIONS, CURRENT_RESPONSIBLE, CURRENT_RESPONSIBLE_SELF_FULFILL } from './transitions.js';
 // ─── 核心函数 ────────────────────────────────────────────────
 /**
  * 执行状态转移
@@ -60,12 +61,28 @@ export function transition(db, orderId, toStatus, actorId, evidenceIds = [], not
       SET status = ?, updated_at = datetime('now')
       WHERE id = ?
     `).run(toStatus, orderId);
-        // 记录状态历史（自举证的核心）
+        // 记录状态历史（人类可读层）
         db.prepare(`
       INSERT INTO order_state_history
         (id, order_id, from_status, to_status, actor_id, actor_role, evidence_ids, notes)
       VALUES (?, ?, ?, ?, ?, ?, ?, ?)
     `).run(historyId, orderId, fromStatus, toStatus, actorId, actor.role, JSON.stringify(evidenceIds), notes);
+        // 协议层：append-only 签名链事件（防篡改 + 防伪造）
+        try {
+            appendOrderEvent(db, {
+                orderId,
+                eventType: 'transition',
+                fromStatus,
+                toStatus,
+                actorId,
+                actorRole: actor.role,
+                extra: { evidence_ids: evidenceIds, notes: notes || null, history_id: historyId },
+            });
+        }
+        catch (e) {
+            // 签名链失败不应阻塞主流程（旧数据 / 老 actor 缺 api_key 等场景）
+            console.warn('[order-chain] appendEvent failed:', e.message);
+        }
     });
     execute();
     return { success: true, newStatus: toStatus, historyId };
@@ -78,9 +95,11 @@ export function checkTimeouts(db) {
     const now = new Date().toISOString();
     const details = [];
     // 找出所有进行中的订单
+    // M7.4：跳过 claim 验证进行中的订单（has_pending_claim=1）— auto-confirm / 判责暂缓
     const activeOrders = db.prepare(`
     SELECT * FROM orders
     WHERE status NOT IN ('completed', 'cancelled', 'fault_buyer', 'fault_seller', 'fault_logistics')
+      AND COALESCE(has_pending_claim, 0) = 0
   `).all();
     for (const order of activeOrders) {
         const transitionKey = findActiveDeadlineTransition(order, now);
@@ -95,10 +114,16 @@ export function checkTimeouts(db) {
                 orderId: order.id,
                 action: `${order.status} → ${autoFaultState}（超时自动判责）`
             });
-            // 如果判责状态可以自动完成，继续执行
+            // 如果判责状态可以自动完成，继续执行 — 资金处置 + 状态转移在一个事务内
             const completionKey = `${autoFaultState}→completed`;
             if (VALID_TRANSITIONS[completionKey]) {
-                transition(db, order.id, 'completed', systemUser.id, [], '系统自动执行处置');
+                try {
+                    settleFault(db, order.id, autoFaultState);
+                    transition(db, order.id, 'completed', systemUser.id, [], '系统自动执行处置');
+                }
+                catch (e) {
+                    console.error(`[settleFault] order=${order.id} state=${autoFaultState}`, e);
+                }
             }
         }
     }
@@ -118,8 +143,11 @@ export function getOrderStatus(db, orderId) {
     WHERE h.order_id = ?
     ORDER BY h.created_at ASC
   `).all(orderId);
-    const currentResponsible = CURRENT_RESPONSIBLE[order.status] ?? null;
-    const activeDeadline = getActiveDeadline(order);
+    // QA 轮 7 P1：self-fulfill 时 logistics_id 为 null，应该按 seller 表示责任方
+    const isSelfFulfill = !order.logistics_id;
+    const responsibleTable = isSelfFulfill ? CURRENT_RESPONSIBLE_SELF_FULFILL : CURRENT_RESPONSIBLE;
+    const currentResponsible = responsibleTable[order.status] ?? null;
+    const activeDeadline = getActiveDeadline(order, db);
     return {
         order,
         history,
@@ -128,6 +156,180 @@ export function getOrderStatus(db, orderId) {
         isOverdue: activeDeadline ? new Date() > new Date(activeDeadline.deadline) : false
     };
 }
+// ─── 超时判责资金处置 ────────────────────────────────────────
+// fault_*→completed 转移时由 checkTimeouts 调用，确保 escrow / stake / 库存 全部正确清算
+// 设计原则：
+//   - fault_seller   → buyer 全额退款 + stake 50/50 扣罚（与 dispute refund_buyer 对等）
+//   - fault_logistics→ buyer 全额退款 + seller stake 全额返还（卖家无责，物流坏账协议吸收）
+//   - fault_buyer    → 仅库存回退（escrow 未锁，无资金动作）
+// 不发放 commission / PV / 基金池入金 — 无真实成交
+function settleFault(db, orderId, faultState) {
+    const sysUserId = 'sys_protocol';
+    // 幂等检查 + 资金处置全部包在 transaction 内（防未来迁 PG 时并发 race）
+    db.transaction(() => {
+        const order = db.prepare('SELECT * FROM orders WHERE id = ?').get(orderId);
+        if (!order)
+            return;
+        if (order.settled_fault_at)
+            return; // 幂等：已处置过
+        const total = Number(order.total_amount);
+        const buyerId = order.buyer_id;
+        const sellerId = order.seller_id;
+        const isSecondhand = order.source === 'secondhand';
+        // QA 轮 7 P0 修复 — 改 per-order stake
+        // 旧逻辑读 product.stake_amount + stake_locked_at（per-product 模型残留，已废弃）
+        // 新逻辑：stake = order.total_amount × 0.15，下单时已锁，fault 时必然 lock（除非该订单未到 paid）
+        const sellerStakeRate = 0.15;
+        const stakeAmount = isSecondhand ? 0 : Math.round(total * sellerStakeRate * 100) / 100;
+        // 订单到 paid 之后 stake 必然 lock（place_order 已扣，余额不足会 reject）
+        const stakeLocked = !isSecondhand && Number(order.total_amount) > 0 && order.status !== 'created';
+        // P0.1：RFQ 路径的 bid_stake_held — fault 时由各分支按规则处理
+        const bidStakeHeld = Number(order.bid_stake_held || 0);
+        if (faultState === 'fault_seller') {
+            // 1. buyer escrow 全额退回
+            db.prepare('UPDATE wallets SET escrowed = escrowed - ?, balance = balance + ? WHERE user_id = ?')
+                .run(total, total, buyerId);
+            // P0.1：bid_stake_held 没收 50/50（中标后弃单的额外惩罚）
+            if (bidStakeHeld > 0) {
+                db.prepare('UPDATE wallets SET staked = staked - ? WHERE user_id = ?').run(bidStakeHeld, sellerId);
+                const compToBuyer = Math.round(bidStakeHeld * 0.5 * 100) / 100;
+                const compToSys = Math.round((bidStakeHeld - compToBuyer) * 100) / 100;
+                if (compToBuyer > 0)
+                    db.prepare('UPDATE wallets SET balance = balance + ? WHERE user_id = ?').run(compToBuyer, buyerId);
+                if (compToSys > 0)
+                    db.prepare('UPDATE wallets SET balance = balance + ? WHERE user_id = ?').run(compToSys, sysUserId);
+            }
+            // 2. stake 50/50 扣罚（严格资金守恒：实扣多少就分多少，不允许协议印钱）
+            if (stakeAmount > 0) {
+                // 先确定实际可扣金额
+                let actualDeduct = 0;
+                if (stakeLocked) {
+                    // 已锁 → stake 全额扣（必然可扣，因 stake 已 lock 不可挪用）
+                    db.prepare('UPDATE wallets SET staked = staked - ? WHERE user_id = ?').run(stakeAmount, sellerId);
+                    actualDeduct = stakeAmount;
+                }
+                else {
+                    // 未锁 → 从 seller.balance 扣（不足则只扣到 0，差额不发放，不印钱）
+                    const w = db.prepare('SELECT balance FROM wallets WHERE user_id = ?').get(sellerId);
+                    actualDeduct = Math.min(stakeAmount, Number(w?.balance ?? 0));
+                    if (actualDeduct > 0) {
+                        db.prepare('UPDATE wallets SET balance = balance - ? WHERE user_id = ?').run(actualDeduct, sellerId);
+                    }
+                }
+                // 按 actualDeduct 比例分配（buyer 50% + sys_protocol 50%），保证 入 = 出
+                const compensation = Math.round(actualDeduct * 0.5 * 100) / 100;
+                const protocolShare = Math.round((actualDeduct - compensation) * 100) / 100;
+                if (compensation > 0)
+                    db.prepare('UPDATE wallets SET balance = balance + ? WHERE user_id = ?').run(compensation, buyerId);
+                if (protocolShare > 0)
+                    db.prepare('UPDATE wallets SET balance = balance + ? WHERE user_id = ?').run(protocolShare, sysUserId);
+            }
+            // 3. 库存回退（非二手）
+            if (!isSecondhand)
+                db.prepare('UPDATE products SET stock = stock + 1 WHERE id = ?').run(order.product_id);
+            // 4. 二手物品：状态恢复 available（保护卖家可重新发布）
+            if (isSecondhand) {
+                try {
+                    db.prepare("UPDATE secondhand_items SET status = 'available', updated_at = datetime('now') WHERE id = ?").run(order.product_id);
+                }
+                catch { }
+            }
+        }
+        else if (faultState === 'fault_logistics') {
+            // Phase 1（2026-05-27）：logistics_id 为 null 等价"self-fulfill seller"信号
+            //   → seller 自选自负物流，超时未送达即 seller 违约，按 fault_seller 同样规则处置
+            //   → 严格守"无责方零成本，谁责任谁承担"原则（详见 docs/LOGISTICS-PHASING.md）
+            // Phase 2 logistics 市场启用后，logistics_id 非空走原始 logistics-penalty 逻辑
+            const isSelfFulfill = !order.logistics_id;
+            if (isSelfFulfill) {
+                // 1. buyer escrow 全额退回
+                db.prepare('UPDATE wallets SET escrowed = escrowed - ?, balance = balance + ? WHERE user_id = ?')
+                    .run(total, total, buyerId);
+                // 2. bid_stake_held 没收 50/50（同 fault_seller 逻辑）
+                if (bidStakeHeld > 0) {
+                    db.prepare('UPDATE wallets SET staked = staked - ? WHERE user_id = ?').run(bidStakeHeld, sellerId);
+                    const compToBuyer = Math.round(bidStakeHeld * 0.5 * 100) / 100;
+                    const compToSys = Math.round((bidStakeHeld - compToBuyer) * 100) / 100;
+                    if (compToBuyer > 0)
+                        db.prepare('UPDATE wallets SET balance = balance + ? WHERE user_id = ?').run(compToBuyer, buyerId);
+                    if (compToSys > 0)
+                        db.prepare('UPDATE wallets SET balance = balance + ? WHERE user_id = ?').run(compToSys, sysUserId);
+                }
+                // 3. stake 50/50 扣罚（seller 违约：自选 self-fulfill 但没送达）
+                if (stakeAmount > 0) {
+                    let actualDeduct = 0;
+                    if (stakeLocked) {
+                        db.prepare('UPDATE wallets SET staked = staked - ? WHERE user_id = ?').run(stakeAmount, sellerId);
+                        actualDeduct = stakeAmount;
+                    }
+                    else {
+                        const w = db.prepare('SELECT balance FROM wallets WHERE user_id = ?').get(sellerId);
+                        actualDeduct = Math.min(stakeAmount, Number(w?.balance ?? 0));
+                        if (actualDeduct > 0) {
+                            db.prepare('UPDATE wallets SET balance = balance - ? WHERE user_id = ?').run(actualDeduct, sellerId);
+                        }
+                    }
+                    const compensation = Math.round(actualDeduct * 0.5 * 100) / 100;
+                    const protocolShare = Math.round((actualDeduct - compensation) * 100) / 100;
+                    if (compensation > 0)
+                        db.prepare('UPDATE wallets SET balance = balance + ? WHERE user_id = ?').run(compensation, buyerId);
+                    if (protocolShare > 0)
+                        db.prepare('UPDATE wallets SET balance = balance + ? WHERE user_id = ?').run(protocolShare, sysUserId);
+                }
+                // 4. 库存回退
+                if (!isSecondhand)
+                    db.prepare('UPDATE products SET stock = stock + 1 WHERE id = ?').run(order.product_id);
+                if (isSecondhand) {
+                    try {
+                        db.prepare("UPDATE secondhand_items SET status = 'available', updated_at = datetime('now') WHERE id = ?").run(order.product_id);
+                    }
+                    catch { }
+                }
+            }
+            else {
+                // Phase 2 logistics 市场：真正的 logistics 接单后违约
+                // 1. buyer escrow 全额退回
+                db.prepare('UPDATE wallets SET escrowed = escrowed - ?, balance = balance + ? WHERE user_id = ?')
+                    .run(total, total, buyerId);
+                // 2. seller 无责 → bid_stake_held / stake 全额返还
+                if (bidStakeHeld > 0) {
+                    db.prepare('UPDATE wallets SET balance = balance + ?, staked = staked - ? WHERE user_id = ?').run(bidStakeHeld, bidStakeHeld, sellerId);
+                }
+                if (stakeAmount > 0 && stakeLocked) {
+                    db.prepare('UPDATE wallets SET staked = staked - ?, balance = balance + ? WHERE user_id = ?')
+                        .run(stakeAmount, stakeAmount, sellerId);
+                }
+                // 3. 库存回退
+                if (!isSecondhand)
+                    db.prepare('UPDATE products SET stock = stock + 1 WHERE id = ?').run(order.product_id);
+                if (isSecondhand) {
+                    try {
+                        db.prepare("UPDATE secondhand_items SET status = 'available', updated_at = datetime('now') WHERE id = ?").run(order.product_id);
+                    }
+                    catch { }
+                }
+                // TODO（Phase 2）：logistics 接入 stake/insurance/deposit 后，从 logistics 池扣给 seller 补货款
+            }
+        }
+        else if (faultState === 'fault_buyer') {
+            // created→fault_buyer：escrow 未锁，仅库存回退
+            if (!isSecondhand)
+                db.prepare('UPDATE products SET stock = stock + 1 WHERE id = ?').run(order.product_id);
+            if (isSecondhand) {
+                try {
+                    db.prepare("UPDATE secondhand_items SET status = 'available', updated_at = datetime('now') WHERE id = ?").run(order.product_id);
+                }
+                catch { }
+            }
+            // P0.1：买家违约 → bid_stake_held 全额返还卖家（卖家未失责）
+            if (bidStakeHeld > 0) {
+                db.prepare('UPDATE wallets SET balance = balance + ?, staked = staked - ? WHERE user_id = ?').run(bidStakeHeld, bidStakeHeld, sellerId);
+            }
+        }
+        // 标记已结算（防止重复处置）
+        db.prepare("UPDATE orders SET settled_fault_at = datetime('now') WHERE id = ?").run(orderId);
+    })();
+}
 // ─── 内部工具函数 ─────────────────────────────────────────────
 /** 找出当前订单超时的转移（如果有） */
 function findActiveDeadlineTransition(order, now) {
@@ -145,15 +347,34 @@ function findActiveDeadlineTransition(order, now) {
     return null;
 }
 /** 获取当前有效的截止时间 */
-function getActiveDeadline(order) {
+function getActiveDeadline(order, db) {
+    // QA 轮 7 P1：旧表 picked_up 状态没 deadline → agent 不知道下一步多久前要做完
+    // 修：picked_up 状态视为"已揽收，等运输/投递"，下一个 deadline 是 delivery_deadline
+    // QA 轮 7 P1（另一条）：disputed 状态下没读 dispute_cases 的 arbitrate_deadline → agent 不知道仲裁还有多久
     const deadlineMap = {
         created: 'pay_deadline',
         paid: 'accept_deadline',
         accepted: 'ship_deadline',
         shipped: 'pickup_deadline',
+        picked_up: 'delivery_deadline',
         in_transit: 'delivery_deadline',
         delivered: 'confirm_deadline',
     };
+    // disputed 状态：从 `disputes` 表（active dispute, not the `dispute_cases` archive）查 deadline
+    // 优先返 arbitrate_deadline（仲裁总截止）；如果还在 respond 窗口（被诉方未回应）返 respond_deadline
+    if (order.status === 'disputed' && db) {
+        try {
+            const dispute = db.prepare(`SELECT respond_deadline, arbitrate_deadline, ruling_type, status FROM disputes WHERE order_id = ? ORDER BY created_at DESC LIMIT 1`).get(order.id);
+            if (dispute && !dispute.ruling_type && dispute.status !== 'resolved' && dispute.status !== 'dismissed') {
+                if (dispute.arbitrate_deadline)
+                    return { field: 'arbitrate_deadline', deadline: dispute.arbitrate_deadline };
+                if (dispute.respond_deadline)
+                    return { field: 'respond_deadline', deadline: dispute.respond_deadline };
+            }
+        }
+        catch { }
+        return null;
+    }
     const field = deadlineMap[order.status];
     if (!field)
         return null;