@spacebar_ai/moldclaw-core 2026.3.14 → 2026.3.16

package/docs/SEC1_IMPLEMENTATION/RECURSIVE_QA/wave1-security.md

@@ -0,0 +1,368 @@
+# Wave 1: 보안 검수
+
+**검수일**: 2026-03-22
+**검수자**: Claude (sec1-qa-security subagent)
+**대상 버전**: moldclaw-core SEC-1 구현
+
+## 발견 사항 요약
+
+| ID      | 심각도 | 파일                                | 설명                                                  |
+| ------- | ------ | ----------------------------------- | ----------------------------------------------------- |
+| SEC-001 | MEDIUM | sec1-utils.ts                       | Path Traversal 취약 - `__SECURE__` 이후 문자열 미검증 |
+| SEC-002 | LOW    | sec1-placeholder.ts                 | 타이밍 공격 이론적 가능성 - 정규표현식 비교 사용      |
+| SEC-003 | LOW    | resolve.ts                          | 환경변수 이름에 특수문자 검증 부재                    |
+| SEC-004 | INFO   | resolve.ts                          | 에러 메시지에 파일 경로 노출                          |
+| SEC-005 | INFO   | 전체                                | 메모리 클리어 메커니즘 부재 (JavaScript 한계)         |
+| SEC-006 | LOW    | sec1-placeholder.ts / sec1-utils.ts | 중복 구현으로 인한 불일치 가능성                      |
+
+---
+
+## 상세 분석
+
+### SEC-001: Path Traversal 취약 - `__SECURE__` 이후 문자열 미검증 [MEDIUM]
+
+**위치**: `src/secrets/sec1-utils.ts`
+
+**문제 코드**:
+
+```typescript
+export function isSec1Placeholder(value: unknown): boolean {
+  if (typeof value !== "string") {
+    return false;
+  }
+  return value.startsWith(SEC1_PREFIX); // __SECURE__ 이후 문자열 미검증
+}
+
+export function extractSec1Identifier(value: string): string | null {
+  if (!isSec1Placeholder(value)) {
+    return null;
+  }
+  const identifier = value.slice(SEC1_PREFIX.length);
+  return identifier.length > 0 ? identifier : null; // 식별자 검증 없음
+}
+```
+
+**공격 시나리오**:
+
+1. 공격자가 config에 `__SECURE__../../etc/passwd` 또는 `__SECURE__$(whoami)` 같은 값을 주입
+2. `extractSec1Identifier()`가 `../../etc/passwd` 또는 `$(whoami)`를 반환
+3. 이 식별자가 파일 경로나 환경변수 이름으로 사용될 경우 보안 문제 발생
+
+**영향**:
+
+- `sec1-utils.ts`의 `extractSec1Identifier`가 반환한 값이 직접 파일 경로나 환경변수 조회에 사용되면 Path Traversal 또는 환경변수 주입 공격 가능
+- 현재 코드 분석 결과, `extractSec1Identifier`가 직접 위험한 방식으로 사용되는 경로는 발견되지 않았으나 잠재적 위험 존재
+
+**권장 조치**:
+
+```typescript
+// 안전한 식별자 패턴만 허용
+const SAFE_IDENTIFIER_PATTERN = /^[A-Z][A-Z0-9_]{0,63}$/;
+
+export function extractSec1Identifier(value: string): string | null {
+  if (!isSec1Placeholder(value)) {
+    return null;
+  }
+  const identifier = value.slice(SEC1_PREFIX.length);
+  if (!identifier || !SAFE_IDENTIFIER_PATTERN.test(identifier)) {
+    return null; // 안전하지 않은 식별자 거부
+  }
+  return identifier;
+}
+```
+
+---
+
+### SEC-002: 타이밍 공격 이론적 가능성 [LOW]
+
+**위치**: `src/secrets/sec1-placeholder.ts`
+
+**문제 코드**:
+
+```typescript
+const SEC1_PLACEHOLDER_PATTERN = /^__SECURE__$/i;
+
+export function isSecurePlaceholder(value: unknown): boolean {
+  // ...
+  return SEC1_PLACEHOLDER_PATTERN.test(trimmed); // 정규표현식 사용
+}
+```
+
+**분석**:
+
+- 정규표현식 매칭은 입력 길이에 따라 실행 시간이 달라질 수 있음
+- 그러나 이 경우 실제 공격 가능성은 **극히 낮음**:
+  - `__SECURE__` 자체는 시크릿이 아닌 플레이스홀더
+  - 실제 시크릿 값 비교에는 사용되지 않음
+  - 네트워크 지연이 타이밍 차이보다 훨씬 큼
+
+**결론**: 이론적 문제이나 실제 공격 벡터 없음. 수정 우선순위 낮음.
+
+**참고**: 시크릿 값 자체의 비교가 필요한 경우, `crypto.timingSafeEqual()` 사용 권장:
+
+```typescript
+import { timingSafeEqual } from "node:crypto";
+
+function safeCompare(a: string, b: string): boolean {
+  const bufA = Buffer.from(a);
+  const bufB = Buffer.from(b);
+  if (bufA.length !== bufB.length) {
+    // 길이 비교도 타이밍 공격에 노출될 수 있으나 여기서는 허용
+    return false;
+  }
+  return timingSafeEqual(bufA, bufB);
+}
+```
+
+---
+
+### SEC-003: 환경변수 이름에 특수문자 검증 부재 [LOW]
+
+**위치**: `src/secrets/resolve.ts`
+
+**문제 코드**:
+
+```typescript
+async function resolveEnvRefs(params: {
+  refs: SecretRef[];
+  // ...
+}): Promise<ProviderResolutionOutput> {
+  // ...
+  for (const ref of params.refs) {
+    if (allowlist && !allowlist.has(ref.id)) {
+      throw refResolutionError({
+        /* ... */
+      });
+    }
+    const envValue = params.env[ref.id]; // ref.id 검증 없이 직접 사용
+    // ...
+  }
+}
+```
+
+**잠재적 문제**:
+
+- 환경변수 이름에 `\0` (null byte)나 `=` 같은 문자가 포함될 경우 예상치 못한 동작 가능
+- JavaScript의 `process.env` 객체 접근은 일반적으로 안전하나, 시스템 호출 레벨에서 문제 발생 가능
+
+**공격 시나리오**:
+
+```typescript
+// 이론적 공격 - 환경변수 이름에 특수문자
+ref.id = "SECRET\0_KEY"; // null byte injection
+ref.id = "SECRET=malicious"; // assignment injection
+```
+
+**권장 조치**:
+
+```typescript
+const SAFE_ENV_VAR_NAME = /^[A-Za-z_][A-Za-z0-9_]*$/;
+
+function validateEnvVarName(name: string): void {
+  if (!SAFE_ENV_VAR_NAME.test(name)) {
+    throw new Error(`Invalid environment variable name: contains unsafe characters`);
+  }
+}
+```
+
+---
+
+### SEC-004: 에러 메시지에 파일 경로 노출 [INFO]
+
+**위치**: `src/secrets/resolve.ts`
+
+**문제 코드**:
+
+```typescript
+async function readFileStatOrThrow(pathname: string, label: string) {
+  const stat = await safeStat(pathname);
+  if (!stat.ok) {
+    throw new Error(`${label} is not readable: ${pathname}`); // 전체 경로 노출
+  }
+}
+
+await assertSecurePath({
+  targetPath: filePath,
+  label: `secrets.providers.${params.providerName}.path`,
+  // ...
+});
+// 에러 발생 시: "secrets.providers.my-provider.path is outside trustedDirs: /home/user/.secrets/api-key"
+```
+
+**영향**:
+
+- 에러 메시지가 로그에 기록되거나 사용자에게 표시될 경우 내부 파일 시스템 구조 노출
+- 시크릿 값 자체는 노출되지 않음
+
+**권장 조치**:
+
+- 프로덕션 환경에서는 상세 경로를 마스킹하거나 로그 레벨로 제어
+- 현재 구현에서 시크릿 값 누출은 없으므로 우선순위 낮음
+
+---
+
+### SEC-005: 메모리 클리어 메커니즘 부재 [INFO]
+
+**위치**: 전체 SEC-1 구현
+
+**분석**:
+JavaScript/TypeScript의 특성상:
+
+- 문자열은 불변(immutable)이며 직접 덮어쓸 수 없음
+- 가비지 컬렉터가 메모리를 해제하기 전까지 시크릿이 힙에 남아있음
+- `structuredClone()` 사용으로 시크릿의 복사본이 추가로 생성됨
+
+**영향**:
+
+- 메모리 덤프나 core dump에서 시크릿 추출 가능 (공격자가 시스템 접근권 필요)
+- Node.js 런타임의 구조적 한계이므로 완전한 해결은 어려움
+
+**완화 방안**:
+
+```typescript
+// 제한적이나 Buffer 사용으로 일부 완화 가능
+const secretBuffer = Buffer.from(secret);
+// 사용 후
+secretBuffer.fill(0); // 메모리 덮어쓰기
+
+// 또는 WeakRef 사용으로 빠른 GC 유도
+```
+
+**결론**: JavaScript 런타임 한계. 고보안 환경에서는 Rust/C++로 작성된 네이티브 모듈 사용 고려.
+
+---
+
+### SEC-006: 중복 구현으로 인한 불일치 가능성 [LOW]
+
+**위치**: `src/secrets/sec1-placeholder.ts` vs `src/secrets/sec1-utils.ts`
+
+**문제**:
+두 파일에 SEC-1 플레이스홀더 감지 로직이 중복 구현되어 있음:
+
+| 파일                | 함수                    | 로직                                     |
+| ------------------- | ----------------------- | ---------------------------------------- |
+| sec1-placeholder.ts | `isSecurePlaceholder()` | 정규표현식 `^__SECURE__$` (정확히 일치)  |
+| sec1-utils.ts       | `isSec1Placeholder()`   | `startsWith("__SECURE__")` (접두사 일치) |
+
+**불일치 시나리오**:
+
+```typescript
+const value = "__SECURE__DISCORD_TOKEN";
+
+isSecurePlaceholder(value); // false (정확히 __SECURE__만 매칭)
+isSec1Placeholder(value); // true  (__SECURE__ 접두사 매칭)
+```
+
+**영향**:
+
+- 어떤 함수를 사용하느냐에 따라 동작이 달라질 수 있음
+- `sec1-placeholder.ts`의 `isSecurePlaceholderExtended()`가 확장 패턴을 처리하긴 하나, 이름이 혼란스러움
+
+**권장 조치**:
+
+- 단일 진실 공급원(Single Source of Truth) 확립
+- 하나의 모듈로 통합하고 다른 파일에서 re-export
+- 명확한 함수 명명: `isExactPlaceholder()` vs `isPlaceholderPrefix()`
+
+---
+
+## 긍정적 보안 설계 요소
+
+### ✅ allowlist 기반 환경변수 접근
+
+```typescript
+const allowlist = params.providerConfig.allowlist ? new Set(params.providerConfig.allowlist) : null;
+
+if (allowlist && !allowlist.has(ref.id)) {
+  throw refResolutionError({
+    /* ... */
+  });
+}
+```
+
+- 환경변수 provider에 allowlist 설정 가능
+- 허용되지 않은 환경변수 접근 차단
+
+### ✅ 파일 권한 검증
+
+```typescript
+async function assertSecurePath(params: { /* ... */ }): Promise<string> {
+  // 파일 권한 검사
+  const writableByOthers = perms.worldWritable || perms.groupWritable;
+  const readableByOthers = perms.worldReadable || perms.groupReadable;
+  if (writableByOthers || (!params.allowReadableByOthers && readableByOthers)) {
+    throw new Error(`${params.label} permissions are too open: ${effectivePath}`);
+  }
+  // 소유자 검사
+  if (process.platform !== "win32" && typeof process.getuid === "function") {
+    if (stat.uid !== process.getuid()) {
+      throw new Error(`must be owned by the current user`);
+    }
+  }
+}
+```
+
+- 파일 시크릿 provider가 너무 개방된 권한 거부
+- 현재 사용자 소유 파일만 허용
+
+### ✅ trustedDirs 제한
+
+```typescript
+if (params.trustedDirs && params.trustedDirs.length > 0) {
+  const trusted = params.trustedDirs.map((entry) => resolveUserPath(entry));
+  const inTrustedDir = trusted.some((dir) => isPathInside(dir, effectivePath));
+  if (!inTrustedDir) {
+    throw new Error(`${params.label} is outside trustedDirs`);
+  }
+}
+```
+
+- exec provider의 명령어가 신뢰 디렉토리 내에 있는지 검증
+- Path Traversal 방어
+
+### ✅ 실행 타임아웃
+
+```typescript
+const timeoutTimer = setTimeout(() => {
+  timedOut = true;
+  child.kill("SIGKILL");
+}, params.timeoutMs);
+```
+
+- exec provider에 타임아웃 적용
+- DoS 공격 완화
+
+### ✅ 출력 크기 제한
+
+```typescript
+if (outputBytes > params.maxOutputBytes) {
+  child.kill("SIGKILL");
+  reject(new Error(`output exceeded maxOutputBytes`));
+}
+```
+
+- exec provider 출력 크기 제한
+- 메모리 고갈 공격 방어
+
+---
+
+## 권장 조치 우선순위
+
+| 우선순위 | ID                        | 조치                                                            |
+| -------- | ------------------------- | --------------------------------------------------------------- |
+| 1        | SEC-001                   | `extractSec1Identifier`에 안전한 식별자 패턴 검증 추가          |
+| 2        | SEC-006                   | SEC-1 플레이스홀더 로직을 단일 모듈로 통합                      |
+| 3        | SEC-003                   | 환경변수 이름 검증 추가 (선택적 - allowlist가 있으면 낮은 위험) |
+| -        | SEC-002, SEC-004, SEC-005 | 수정 불필요 또는 JavaScript 한계                                |
+
+---
+
+## 결론
+
+SEC-1 구현의 전반적인 보안 수준은 **양호**합니다.
+
+- 시크릿이 로그나 에러 메시지에 직접 노출되는 경로는 발견되지 않았습니다.
+- 파일 및 exec provider에 대한 보안 검증이 잘 구현되어 있습니다.
+- 발견된 이슈 대부분은 LOW/INFO 수준이며, 직접적인 공격 벡터 없이 방어적 개선 성격입니다.
+
+**SEC-001**만 MEDIUM으로 분류했으나, 현재 코드에서 `extractSec1Identifier`의 결과가 위험하게 사용되는 경로는 확인되지 않았습니다. 그러나 향후 코드 변경 시 문제가 될 수 있으므로 방어적 수정을 권장합니다.

package/docs/SEC1_IMPLEMENTATION/RECURSIVE_QA/wave2-critic-consolidated.md

@@ -0,0 +1,195 @@
+# Wave 2: 크리틱 통합 보고서
+
+**검수일**: 2026-03-22  
+**검수자**: SEC-1 Wave 2 Critic Subagent  
+**대상**: Wave 1 보고서 4건 (code-quality 미존재, security, docs, channels)
+
+---
+
+## 핵심 의문 검증 결과
+
+### ❓ 의문 1: `sec1-placeholder.ts` vs `sec1-utils.ts` 불일치가 런타임 버그를 유발하는가?
+
+**결론: ❌ 아니오 - 의도된 디자인**
+
+| 모듈                  | 함수                    | 패턴                                     | 용도                            |
+| --------------------- | ----------------------- | ---------------------------------------- | ------------------------------- |
+| `sec1-placeholder.ts` | `isSecurePlaceholder()` | Exact match: `/^__SECURE__$/i`           | Tauri 앱 마이그레이션용         |
+| `sec1-utils.ts`       | `isSec1Placeholder()`   | Prefix match: `startsWith("__SECURE__")` | 확장 형식 `__SECURE__<ID>` 지원 |
+
+**검증 코드 분석**:
+
+```typescript
+// sec1-placeholder.ts - Tauri 앱에서 Credential Store로 마이그레이션 시 "__SECURE__" 자체를 플레이스홀더로 사용
+// sec1-utils.ts - CLI에서 "__SECURE__DISCORD_TOKEN" 형태로 어떤 환경변수를 사용할지 명시
+
+// 예: "__SECURE__DISCORD_TOKEN"
+isSecurePlaceholder("__SECURE__DISCORD_TOKEN"); // false (정확히 __SECURE__만)
+isSec1Placeholder("__SECURE__DISCORD_TOKEN"); // true  (__SECURE__로 시작)
+```
+
+**실제 사용 패턴**:
+
+- `runtime-config-collectors-channels.ts`: `isSec1Placeholder` 사용 (prefix match) ✅
+- `sec1-placeholder.ts`의 `resolveWithSecureFallback()`: 내부적으로 `isSecurePlaceholder` 사용하지만, config 값이 정확히 `__SECURE__`일 때 fallback ✅
+
+**이유**: 두 모듈은 다른 시나리오를 위해 설계됨. 버그가 아닌 **의도된 다형성**.
+
+---
+
+### ❓ 의문 2: Path Traversal 위험(SEC-001)이 실제 공격 가능한가?
+
+**결론: ❌ 아니오 - 현재 공격 벡터 없음**
+
+**`extractSec1Identifier` 사용처 분석**:
+
+```bash
+$ grep -rn "extractSec1Identifier" --include="*.ts"
+# 결과: 테스트 코드(sec1-utils.test.ts)에서만 사용
+# 프로덕션 코드에서 이 함수를 호출하는 곳 없음!
+```
+
+**프로덕션 코드의 실제 흐름**:
+
+1. `isSec1Placeholder()` → boolean 반환 (조건 분기에만 사용)
+2. `resolveWithSecureFallback()` → config 값이 placeholder면 `process.env[envVar]` 사용
+3. `envVar`는 **코드에 하드코딩된 문자열** (e.g., `"DISCORD_BOT_TOKEN"`)
+
+**공격 시나리오 불가 이유**:
+
+```typescript
+// 실제 코드에서:
+resolveWithSecureFallback(config.discord.token, "DISCORD_BOT_TOKEN");
+//                                              ↑ 하드코딩된 값
+
+// 공격자가 config에 "__SECURE__../../etc/passwd" 를 넣어도:
+// 1. isSec1Placeholder() → true 반환
+// 2. 환경변수 조회 시 하드코딩된 "DISCORD_BOT_TOKEN" 사용
+// 3. extractSec1Identifier()는 호출되지 않음
+```
+
+**SEC-001 재평가**: **이론적 위험** → **수정 불필요 (방어적 개선 선택적)**
+
+---
+
+### ❓ 의문 3: 환경변수 이름 불일치(DISCORD_TOKEN vs DISCORD_BOT_TOKEN)가 실제 문제인가?
+
+**결론: ❌ 아니오 - 실제 불일치 없음**
+
+**코드 분석 결과**:
+| 파일 | 사용된 변수 | 용도 |
+|------|-----------|------|
+| `plugin-auto-enable.ts` | `DISCORD_BOT_TOKEN` | 프로덕션 코드 |
+| `io.ts` | `DISCORD_BOT_TOKEN` | 프로덕션 코드 |
+| `sec1-*.test.ts` | `DISCORD_TOKEN` | 테스트용 예시 |
+| 문서 | 혼용 | 문서 오류 |
+
+**실제 상황**:
+
+- 프로덕션 코드: 일관되게 `DISCORD_BOT_TOKEN` 사용
+- 테스트 코드: `DISCORD_TOKEN`은 SEC-1 메커니즘 테스트용 (실제 Discord 연동과 무관)
+- 문서: `DISCORD_TOKEN` 언급은 **문서 오류** (ENV_MAP_DRAFT.md)
+
+**DOC-003 재평가**: 코드 수정 불필요, **문서만 수정** 필요
+
+---
+
+## 유효한 이슈 (수정 필요)
+
+| ID      | 원래 심각도 | 재평가 심각도 | 설명                                                                 | 수정 방안                          |
+| ------- | ----------- | ------------- | -------------------------------------------------------------------- | ---------------------------------- |
+| DOC-001 | HIGH        | **MEDIUM**    | 두 SEC-1 모듈 차이점 미설명                                          | SEC1.md에 "두 모듈 구분" 섹션 추가 |
+| DOC-002 | HIGH        | **LOW**       | Case sensitivity 미설명                                              | SEC1.md에 권장 형식 명시           |
+| DOC-004 | MEDIUM      | **MEDIUM**    | STRATEGY.md 체크리스트 미완료                                        | 체크리스트 `[x]`로 업데이트        |
+| DOC-005 | MEDIUM      | **LOW**       | API 레퍼런스 불완전                                                  | 누락된 함수 추가                   |
+| DOC-003 | MEDIUM      | **LOW**       | ENV_MAP_DRAFT.md 환경변수 이름                                       | `DISCORD_BOT_TOKEN`으로 수정       |
+| CH-002  | MEDIUM      | **INFO**      | `normalizeSecretStringValue` vs `hasConfiguredSecretInputValue` 상충 | 주석으로 의도 명확화 (의도된 동작) |
+| CH-004  | LOW         | **LOW**       | SEC-1 환경변수 미설정 시 silent failure                              | warning 메시지 추가 권장           |
+
+---
+
+## 오탐/기각된 이슈
+
+| 원래 ID          | 기각 사유                                                                                                                 |
+| ---------------- | ------------------------------------------------------------------------------------------------------------------------- |
+| SEC-001 (MEDIUM) | `extractSec1Identifier()`가 프로덕션 코드에서 사용되지 않음. 환경변수 조회 시 하드코딩된 문자열 사용. **공격 벡터 없음**. |
+| SEC-002 (LOW)    | 타이밍 공격 가능성 - 플레이스홀더는 시크릿이 아님. **실제 공격 가치 없음**.                                               |
+| SEC-003 (LOW)    | 환경변수 이름 특수문자 - JavaScript `process.env` 객체 접근은 안전. 실제 문제 사례 없음.                                  |
+| SEC-004 (INFO)   | 에러 메시지에 경로 노출 - 시크릿 누출 아님. 일반적인 디버깅 정보.                                                         |
+| SEC-005 (INFO)   | 메모리 클리어 부재 - JavaScript 런타임 한계. 수정 불가.                                                                   |
+| SEC-006 (LOW)    | 두 모듈 간 불일치 - **의도된 디자인** (다른 시나리오용). 오탐.                                                            |
+| CH-001 (MEDIUM)  | `hasConfiguredSecretInputValue`와 `coerceSecretRef` 불일치 - SEC-1은 SecretRef 시스템 외부에서 처리됨. **의도된 분리**.   |
+| CH-003 (LOW)     | prefix vs exact match 불일치 - **의도된 다형성** (위 분석 참조).                                                          |
+| DOC-006 (LOW)    | "DRAFT" 문서 상태 - 파일명 변경은 선택적. 내용 동기화만 필요.                                                             |
+| DOC-007 (LOW)    | Tauri IPC 예제 검증 불가 - 문서에 "이론적 가이드"임을 이미 암시.                                                          |
+| DOC-008 (MEDIUM) | 함수명 불일치 - 실제로는 두 함수 모두 존재 (다른 모듈에). 문서에 위치 명시로 해결.                                        |
+
+---
+
+## 통합된 이슈
+
+| 새 ID               | 원래 ID들                         | 통합 이유                                                         |
+| ------------------- | --------------------------------- | ----------------------------------------------------------------- |
+| **CONSOLIDATED-01** | SEC-006, CH-003, DOC-001, DOC-002 | 모두 "두 SEC-1 모듈 간 차이"에 대한 이슈. **문서화로 일괄 해결**. |
+| **CONSOLIDATED-02** | DOC-003, DOC-008, DOC-005         | 모두 "문서와 코드 간 불일치". **문서 업데이트로 일괄 해결**.      |
+
+---
+
+## 수정 우선순위
+
+### 🔴 Priority 1: 즉시 수정 (10분)
+
+1. **DOC-004**: STRATEGY.md 체크리스트를 완료 상태로 업데이트
+   - 이유: 현재 상태가 오해를 유발함 (구현 완료인데 미완료로 표시)
+
+### 🟡 Priority 2: 이번 릴리스 전 (30분)
+
+2. **CONSOLIDATED-01 (문서화)**:
+   - SEC1.md에 "두 가지 SEC-1 유틸리티" 섹션 추가
+   - Case sensitivity 권장 사항 명시 (`__SECURE__` 대문자 사용 권장)
+   - 의도된 동작임을 명확히 설명
+
+3. **CONSOLIDATED-02 (문서 정리)**:
+   - ENV_MAP_DRAFT.md의 `DISCORD_TOKEN` → `DISCORD_BOT_TOKEN` 수정
+   - API 레퍼런스에 누락된 함수 추가
+   - 함수 위치 명시 (어느 모듈에서 import하는지)
+
+### 🟢 Priority 3: 선택적 개선 (필요시)
+
+4. **CH-004**: SEC-1 환경변수 미설정 시 warning 메시지
+   - 현재: silent failure
+   - 개선: "SEC-1 placeholder found but environment variable X is not set" 경고
+   - 이유: 디버깅 편의성 향상
+
+5. **CH-002 (주석 개선)**:
+   - `normalizeSecretStringValue`와 `hasConfiguredSecretInputValue`의 관계 주석 명확화
+   - "이 두 함수는 다른 목적을 가짐" 설명 추가
+
+---
+
+## 결론
+
+**Wave 1 보고서 검증 요약**:
+
+| 보고서                | 총 이슈  | 유효 | 오탐 | 통합               |
+| --------------------- | -------- | ---- | ---- | ------------------ |
+| wave1-security.md     | 6        | 0    | 6    | -                  |
+| wave1-docs.md         | 8        | 4    | 2    | 2 (→ CONSOLIDATED) |
+| wave1-channels.md     | 6        | 2    | 3    | 1 (→ CONSOLIDATED) |
+| wave1-code-quality.md | (미존재) | -    | -    | -                  |
+
+**핵심 발견**:
+
+1. **SEC-1 보안 이슈는 모두 오탐** - 실제 공격 벡터 없음
+2. **두 모듈 간 차이는 의도된 설계** - 다른 시나리오를 위한 것
+3. **실제 수정 필요 사항은 대부분 문서화**
+
+**권장 조치**:
+
+- 코드 수정 없이 **문서 업데이트만으로 대부분 해결 가능**
+- SEC-1 구현의 **전반적인 품질은 양호**
+- Wave 1에서 과대평가된 이슈들이 있었으나, 방어적 관점에서 좋은 검토였음
+
+---
+
+_Generated by SEC-1 Wave 2 Critic Subagent_

package/docs/SEC1_IMPLEMENTATION/RECURSIVE_QA/wave3-fix-report.md

@@ -0,0 +1,105 @@
+# Wave 3: 문서 수정 완료
+
+**수정일**: 2026-03-22  
+**수정자**: SEC-1 Wave 3 Fix Subagent  
+**참조**: wave2-critic-consolidated.md
+
+---
+
+## 수정된 파일
+
+| 파일                                        | 변경 사항                                                                                    |
+| ------------------------------------------- | -------------------------------------------------------------------------------------------- |
+| `docs/SEC1_IMPLEMENTATION/STRATEGY.md`      | 체크리스트 항목 11개 모두 `[ ]` → `[x]`로 업데이트 (구현 완료 반영)                          |
+| `docs/SEC1.md`                              | "두 가지 SEC-1 유틸리티 모듈" 섹션 추가 - `sec1-placeholder.ts` vs `sec1-utils.ts` 차이 설명 |
+| `docs/SEC1_IMPLEMENTATION/ENV_MAP_DRAFT.md` | `DISCORD_TOKEN` → `DISCORD_BOT_TOKEN` 수정 (프로덕션 코드와 일치)                            |
+
+---
+
+## 상세 변경 내역
+
+### 1. STRATEGY.md 체크리스트 업데이트 (Priority 1)
+
+**Before:**
+
+```markdown
+- [ ] `secure-marker-env-map.ts` 생성
+- [ ] `secure-marker.ts` 구현
+      ...
+```
+
+**After:**
+
+```markdown
+- [x] `secure-marker-env-map.ts` 생성
+- [x] `secure-marker.ts` 구현
+      ...
+```
+
+**이유**: 구현이 완료되었으나 문서가 미완료 상태로 표시되어 혼란 유발
+
+---
+
+### 2. SEC1.md 두 모듈 차이 설명 추가 (Priority 2)
+
+**추가된 섹션**: "두 가지 SEC-1 유틸리티 모듈"
+
+**내용 요약**:
+| 모듈 | 함수 | 매칭 방식 | 대소문자 | 용도 |
+|------|------|----------|----------|------|
+| `sec1-placeholder.ts` | `isSecurePlaceholder()` | Exact match | Case-insensitive | Tauri 앱 |
+| `sec1-utils.ts` | `isSec1Placeholder()` | Prefix match | Case-sensitive | CLI 확장 |
+
+**이유**: Wave 2 크리틱에서 두 모듈 간 차이가 "의도된 디자인"임을 확인. 문서에 명시하여 혼란 방지.
+
+---
+
+### 3. ENV_MAP_DRAFT.md 환경변수명 수정 (Priority 3)
+
+**Before:**
+
+```markdown
+| `channels.discord.token` | `DISCORD_TOKEN` | |
+| `channels.discord.accounts.*.token` | `DISCORD_TOKEN` | 또는 `DISCORD_TOKEN_{ACCOUNT_ID}` |
+```
+
+**After:**
+
+```markdown
+| `channels.discord.token` | `DISCORD_BOT_TOKEN` | |
+| `channels.discord.accounts.*.token` | `DISCORD_BOT_TOKEN` | 또는 `DISCORD_BOT_TOKEN_{ACCOUNT_ID}` |
+```
+
+**이유**: 프로덕션 코드(`plugin-auto-enable.ts`, `io.ts`)에서 `DISCORD_BOT_TOKEN` 사용. 문서 일치 필요.
+
+---
+
+## 해결된 이슈
+
+| Wave 2 이슈 ID                        | 상태    |
+| ------------------------------------- | ------- |
+| DOC-004 (STRATEGY.md 체크리스트)      | ✅ 해결 |
+| CONSOLIDATED-01 (두 모듈 차이 문서화) | ✅ 해결 |
+| DOC-003 (ENV_MAP 환경변수명)          | ✅ 해결 |
+
+---
+
+## 커밋 메시지 제안
+
+```
+docs(sec1): Wave 3 문서 수정 - 체크리스트 완료, 모듈 차이 설명, 환경변수명 일치
+
+- STRATEGY.md: 구현 완료된 체크리스트 항목 모두 [x]로 업데이트
+- SEC1.md: sec1-placeholder.ts vs sec1-utils.ts 차이점 섹션 추가
+  - Tauri 앱용 exact match vs CLI용 prefix match 설명
+  - 대소문자 처리 차이 명시
+- ENV_MAP_DRAFT.md: DISCORD_TOKEN → DISCORD_BOT_TOKEN 수정
+  - 프로덕션 코드와 환경변수명 일치
+
+Resolves: DOC-004, CONSOLIDATED-01, DOC-003
+Ref: wave2-critic-consolidated.md
+```
+
+---
+
+_Generated by SEC-1 Wave 3 Fix Subagent_