shield-harness 0.2.0 → 0.4.0

package/.claude/hooks/sh-config-guard.js

@@ -18,6 +18,7 @@ const {
 const HOOK_NAME = "sh-config-guard";
 const SETTINGS_FILE = path.join(".claude", "settings.json");
 const CONFIG_HASH_FILE = path.join(".claude", "logs", "config-hash.json");
+const POLICIES_DIR = path.join(".claude", "policies");
 
 // ---------------------------------------------------------------------------
 // Config Analysis
@@ -63,10 +64,91 @@ function saveConfigSnapshot(snapshot) {
   fs.writeFileSync(CONFIG_HASH_FILE, JSON.stringify(snapshot, null, 2));
 }
 
+/**
+ * Count items in a YAML list section.
+ * Matches a section header like "deny_read:" followed by indented list items.
+ * @param {string} content - YAML file content
+ * @param {string} sectionName - Name of the YAML section to count
+ * @returns {number} Number of list items in the section
+ */
+function countYamlListItems(content, sectionName) {
+  const regex = new RegExp(sectionName + ":\\n((?:\\s+-\\s+.+\\n)*)", "m");
+  const match = content.match(regex);
+  if (!match) return 0;
+  return match[1].split("\n").filter((l) => l.trim().startsWith("- ")).length;
+}
+
+/**
+ * Count host: entries in network_policies section.
+ * @param {string} content - YAML file content
+ * @returns {number} Number of network endpoint entries
+ */
+function countNetworkEndpoints(content) {
+  const matches = content.match(/^\s+[-\s]*host:\s/gm);
+  return matches ? matches.length : 0;
+}
+
+/**
+ * Scan .claude/policies/ for YAML files and compute SHA-256 hash of each.
+ * @returns {Object.<string, string>} Map of file path to SHA-256 hash
+ */
+function extractPolicyHashes() {
+  const hashes = {};
+  if (!fs.existsSync(POLICIES_DIR)) return hashes;
+  try {
+    const files = fs
+      .readdirSync(POLICIES_DIR)
+      .filter((f) => f.endsWith(".yaml") || f.endsWith(".yml"));
+    for (const file of files) {
+      const filePath = path.join(POLICIES_DIR, file);
+      try {
+        const content = fs.readFileSync(filePath, "utf8");
+        hashes[filePath] = sha256(content);
+      } catch {
+        /* skip unreadable */
+      }
+    }
+  } catch {
+    /* dir read error */
+  }
+  return hashes;
+}
+
+/**
+ * Extract security-critical counts from each YAML policy file.
+ * @returns {Object.<string, { deny_read_count: number, deny_write_count: number, read_write_count: number, network_endpoint_count: number }>}
+ */
+function extractPolicyMetrics() {
+  const metrics = {};
+  if (!fs.existsSync(POLICIES_DIR)) return metrics;
+  try {
+    const files = fs
+      .readdirSync(POLICIES_DIR)
+      .filter((f) => f.endsWith(".yaml") || f.endsWith(".yml"));
+    for (const file of files) {
+      const filePath = path.join(POLICIES_DIR, file);
+      try {
+        const content = fs.readFileSync(filePath, "utf8");
+        metrics[filePath] = {
+          deny_read_count: countYamlListItems(content, "deny_read"),
+          deny_write_count: countYamlListItems(content, "deny_write"),
+          read_write_count: countYamlListItems(content, "read_write"),
+          network_endpoint_count: countNetworkEndpoints(content),
+        };
+      } catch {
+        /* skip */
+      }
+    }
+  } catch {
+    /* dir read error */
+  }
+  return metrics;
+}
+
 /**
  * Extract security-critical fields from settings.
  * @param {Object} settings
- * @returns {{ deny_rules: string[], hook_count: number, hook_events: string[], hook_commands: string[], sandbox: boolean, unsandboxed: boolean, disableAllHooks: boolean }}
+ * @returns {{ deny_rules: string[], hook_count: number, hook_events: string[], hook_commands: string[], sandbox: boolean, unsandboxed: boolean, disableAllHooks: boolean, policy_hashes: Object, policy_metrics: Object }}
  */
 function extractSecurityFields(settings) {
   const denyRules = (settings.permissions && settings.permissions.deny) || [];
@@ -100,6 +182,8 @@ function extractSecurityFields(settings) {
         : true,
     unsandboxed: Boolean(settings.allowUnsandboxedCommands),
     disableAllHooks: Boolean(settings.disableAllHooks),
+    policy_hashes: extractPolicyHashes(),
+    policy_metrics: extractPolicyMetrics(),
   };
 }
 
@@ -156,6 +240,52 @@ function detectDangerousMutations(stored, current) {
     reasons.push("disableAllHooks set to true");
   }
 
+  // Check 6: OpenShell policy file tampering (ADR-037 GA Phase)
+  const storedHashes = stored.policy_hashes || {};
+  const currentHashes = current.policy_hashes || {};
+  const storedMetrics = stored.policy_metrics || {};
+  const currentMetrics = current.policy_metrics || {};
+
+  for (const [filePath, storedHash] of Object.entries(storedHashes)) {
+    if (!(filePath in currentHashes)) {
+      // Policy file was deleted
+      reasons.push(`OpenShell policy file removed: "${filePath}"`);
+      continue;
+    }
+    if (currentHashes[filePath] !== storedHash) {
+      // Policy file changed — check for weakening
+      const sm = storedMetrics[filePath] || {};
+      const cm = currentMetrics[filePath] || {};
+
+      if (
+        sm.deny_read_count > 0 &&
+        (cm.deny_read_count || 0) < sm.deny_read_count
+      ) {
+        reasons.push(
+          `OpenShell policy weakened: deny_read reduced (${sm.deny_read_count} → ${cm.deny_read_count || 0}) in "${filePath}"`,
+        );
+      }
+      if (
+        sm.deny_write_count > 0 &&
+        (cm.deny_write_count || 0) < sm.deny_write_count
+      ) {
+        reasons.push(
+          `OpenShell policy weakened: deny_write reduced (${sm.deny_write_count} → ${cm.deny_write_count || 0}) in "${filePath}"`,
+        );
+      }
+      if ((cm.network_endpoint_count || 0) > (sm.network_endpoint_count || 0)) {
+        reasons.push(
+          `OpenShell policy weakened: network endpoints expanded (${sm.network_endpoint_count || 0} → ${cm.network_endpoint_count}) in "${filePath}"`,
+        );
+      }
+      if ((cm.read_write_count || 0) > (sm.read_write_count || 0)) {
+        reasons.push(
+          `OpenShell policy weakened: read_write paths expanded (${sm.read_write_count || 0} → ${cm.read_write_count}) in "${filePath}"`,
+        );
+      }
+    }
+  }
+
   return {
     blocked: reasons.length > 0,
     reasons,
@@ -272,4 +402,8 @@ module.exports = {
   saveConfigSnapshot,
   extractSecurityFields,
   detectDangerousMutations,
+  extractPolicyHashes,
+  extractPolicyMetrics,
+  countYamlListItems,
+  countNetworkEndpoints,
 };

package/.claude/hooks/sh-evidence.js

@@ -111,8 +111,9 @@ try {
 
   // Check channel source for evidence metadata (§8.6.3)
   let isChannel = false;
+  let session = {};
   try {
-    const session = readSession();
+    session = readSession();
     isChannel = session.source === "channel";
   } catch {
     // Session read failure is non-blocking for evidence
@@ -135,6 +136,18 @@ try {
     category: null,
     is_channel: isChannel,
     session_id: sessionId,
+    // OpenShell metadata (Beta Phase)
+    sandbox_state:
+      session.sandbox_openshell && session.sandbox_openshell.available
+        ? "active"
+        : "inactive",
+    sandbox_version:
+      (session.sandbox_openshell && session.sandbox_openshell.version) || null,
+    sandbox_policy_enforced: !!(
+      session.sandbox_openshell &&
+      session.sandbox_openshell.available &&
+      session.sandbox_openshell.container_running
+    ),
   };
 
   // Collect context messages

package/.claude/hooks/sh-session-start.js

@@ -17,6 +17,7 @@ const {
 } = require("./lib/sh-utils");
 const { detectOpenShell } = require("./lib/openshell-detect");
 const { checkPolicyCompatibility } = require("./lib/policy-compat");
+const { checkPolicyDrift } = require("./lib/policy-drift");
 
 const HOOK_NAME = "sh-session-start";
 const CLAUDE_MD = "CLAUDE.md";
@@ -230,6 +231,38 @@ try {
     }
   }
 
+  // 2e: Policy drift check (ADR-037 GA Phase)
+  const POLICIES_DIR = path.join(".claude", "policies");
+  if (fs.existsSync(POLICIES_DIR)) {
+    try {
+      const driftResult = checkPolicyDrift({
+        specPath: PERM_SPEC_FILE,
+        policyDir: POLICIES_DIR,
+      });
+      session.policy_drift = driftResult;
+      writeSession(session);
+
+      if (driftResult.has_drift) {
+        contextParts.push(
+          `[layer-3b] WARNING: Policy drift detected — ${driftResult.warnings.length} issue(s) found`,
+        );
+        for (const warning of driftResult.warnings.slice(0, 3)) {
+          contextParts.push(`[layer-3b]   ${warning}`);
+        }
+        if (driftResult.warnings.length > 3) {
+          contextParts.push(
+            `[layer-3b]   ... and ${driftResult.warnings.length - 3} more`,
+          );
+        }
+        contextParts.push(
+          "[layer-3b] Run: npx shield-harness generate-policy to regenerate",
+        );
+      }
+    } catch {
+      // drift check failure is non-blocking
+    }
+  }
+
   // --- Module 3: Version Check (§5.1.4) ---
   // Store baseline hashes for instructions monitoring
   const hashes = {};
@@ -269,6 +302,18 @@ try {
           }
         : { available: false, reason: openshellResult.reason },
       session_id: input.sessionId,
+      sandbox_state: openshellResult.available ? "active" : "inactive",
+      sandbox_version: openshellResult.version || null,
+      sandbox_policy_enforced:
+        openshellResult.available && openshellResult.container_running,
+      policy_drift: session.policy_drift
+        ? {
+            has_drift: session.policy_drift.has_drift,
+            warning_count: session.policy_drift.warnings
+              ? session.policy_drift.warnings.length
+              : 0,
+          }
+        : null,
       policy_compat: policyCompat
         ? {
             compatible: policyCompat.compatible,

package/.claude/permissions-spec.json

@@ -90,6 +90,16 @@
         "rationale": "Permissions SoT self-protection",
         "threat_id": "T-03"
       },
+      {
+        "rule": "Edit(.claude/policies/**)",
+        "rationale": "OpenShell policy file protection (ADR-037 GA)",
+        "threat_id": "T-03"
+      },
+      {
+        "rule": "Write(.claude/policies/**)",
+        "rationale": "OpenShell policy file protection (ADR-037 GA)",
+        "threat_id": "T-03"
+      },
       {
         "rule": "Bash(rm -rf /)",
         "rationale": "System destruction prevention",
@@ -433,7 +443,7 @@
     ]
   },
   "expected_counts": {
-    "deny": 41,
+    "deny": 43,
     "ask": 4,
     "allow": 49
   }

package/.claude/policies/openshell-generated.yaml

@@ -0,0 +1,105 @@
+# Auto-generated by Shield Harness tier-policy-gen
+# Source: permissions-spec.json v1.0.0
+# Profile: standard
+# Generated: 2026-03-24T06:03:59.030Z
+#
+# Usage:
+#   openshell sandbox create --policy <this-file> -- claude
+#
+# Static policies require sandbox recreation to change.
+# Network policies can be hot-reloaded: openshell policy set <name> --policy <file> --wait
+
+version: 1
+
+# --- Static (locked at sandbox creation) ---
+
+filesystem_policy:
+  include_workdir: true
+  deny_read:
+    - ~/.ssh
+    - ~/.aws
+    - ~/.gnupg
+    - **/.env
+    - **/.env.*
+    - **/credentials*
+    - ./**/*.pem
+    - ./**/*.key
+    - ./**/*secret*
+    - ~/.config/gcloud
+  deny_write:
+    - .claude/hooks
+    - .claude/rules
+    - .claude/skills
+    - .claude/settings.json
+    - .claude/permissions-spec.json
+    - .claude/settings.local.json
+    - .claude/policies
+    - tasks/backlog.yaml
+    - .shield-harness
+    - .claude/patterns
+  read_only:
+    - /usr
+    - /lib
+    - /etc
+  read_write:
+    - /sandbox
+    - /tmp
+
+landlock:
+  compatibility: best_effort
+
+process:
+  run_as_user: sandbox
+  run_as_group: sandbox
+
+# --- Dynamic (hot-reloadable) ---
+
+network_policies:
+  anthropic_api:
+    name: anthropic-api
+    endpoints:
+      - host: api.anthropic.com
+        port: 443
+        access: full
+    binaries:
+      - path: /usr/local/bin/claude
+
+  github:
+    name: github
+    endpoints:
+      - host: github.com
+        port: 443
+        access: read-only
+      - host: "*.githubusercontent.com"
+        port: 443
+        access: read-only
+    binaries:
+      - path: /usr/bin/git
+
+  npm_registry:
+    name: npm-registry
+    endpoints:
+      - host: registry.npmjs.org
+        port: 443
+        access: read-only
+    binaries:
+      - path: /usr/bin/npm
+      - path: /usr/bin/node
+
+# Blocked network operations (from permissions-spec.json deny rules):
+#   - curl *
+#   - wget *
+#   - Invoke-WebRequest *
+#   - nc *
+#   - ncat *
+#   - nmap *
+#   - git push --force *
+#   - npm publish *
+
+# Blocked process operations (from permissions-spec.json deny rules):
+#   - rm -rf /
+#   - rm -rf ~
+#   - del /s /q C:\\
+#   - format *
+#   - cat */.ssh/*
+#   - type *\\.ssh\\*

package/README.ja.md

@@ -4,9 +4,9 @@
 
 **Claude Code の全操作を自動防御するセキュリティハーネス**
 
-> 承認ダイアログなしで安全な自律開発を実現
+> フック駆動の自動判定で安全な自律開発を実現
 
-> **Alpha (v0.1.0)**: セキュリティモデルは開発中です。パーミッションルールと設計ドキュメントの整合作業を進めています。本番利用は推奨しません。
+> **v0.4.0**: 22 フック、4 層防御（L1 権限 + L2 フック + L3 サンドボックス + L3b OpenShell）、391 テスト（OWASP AITG 攻撃シミュレーション 108 テスト含む）。
 
 [![English](https://img.shields.io/badge/lang-English-blue?style=flat-square)](README.md)
 [![日本語](https://img.shields.io/badge/lang-日本語-red?style=flat-square)](#)
@@ -16,7 +16,7 @@
 ## Shield Harness とは
 
 Claude Code の全操作を自動防御するセキュリティハーネス。
-承認ダイアログなしで安全な自律開発を実現します。`.claude/` ディレクトリに展開される hooks + rules + permissions による多層防御でエージェントを統制します。
+フック駆動の自動判定で安全な自律開発を実現します。`.claude/` ディレクトリに展開される hooks + rules + permissions による多層防御でエージェントを統制します。
 
 ## クイックスタート
 
@@ -27,13 +27,13 @@ npx shield-harness init [--profile minimal|standard|strict]
 ## なぜ Shield Harness なのか
 
 - **フック駆動の防御**: 22 のセキュリティフックが Claude Code の全操作を監視
-- **承認レスモード**: hooks に全セキュリティ判定を委譲し、人間の承認ダイアログを排除
+- **自動セキュリティ判定**: hooks が全セキュリティ判断をリアルタイムで処理 — 手動承認のボトルネックなし
 - **fail-close 原則**: 安全条件を確認できない場合は自動的に停止
 - **証跡記録**: SHA-256 ハッシュチェーンで全 allow/deny 決定を改ざん不能な形で記録
 
 ## アーキテクチャ概要
 
-3 層防御モデル:
+4 層防御モデル:
 
 | 層       | 防御                   | 実装                                                          |
 | -------- | ---------------------- | ------------------------------------------------------------- |
@@ -52,30 +52,30 @@ npx shield-harness init [--profile minimal|standard|strict]
 
 ## フックカタログ
 
-| #   | フック           | イベント              | 責務                                          |
-| --- | ---------------- | --------------------- | --------------------------------------------- |
-| 1   | permission       | PreToolUse            | ツール使用の 4 カテゴリ分類                   |
-| 2   | gate             | PreToolUse            | Bash コマンドの 7 攻撃ベクトル検査            |
-| 3   | injection-guard  | PreToolUse            | 9 カテゴリ 50+ パターンのインジェクション検出 |
-| 4   | data-boundary    | PreToolUse            | 本番データ境界 + 管轄追跡                     |
-| 5   | quiet-inject     | PreToolUse            | quiet フラグ自動注入                          |
-| 6   | evidence         | PostToolUse           | SHA-256 ハッシュチェーン証跡                  |
-| 7   | output-control   | PostToolUse           | 出力トランケーション + トークン予算           |
-| 8   | dep-audit        | PostToolUse           | パッケージインストール検出                    |
-| 9   | lint-on-save     | PostToolUse           | 自動 lint 実行                                |
-| 10  | session-start    | SessionStart          | セッション初期化 + 整合性ベースライン         |
-| 11  | session-end      | SessionEnd            | クリーンアップ + 統計                         |
-| 12  | circuit-breaker  | Stop                  | リトライ上限 (3 回)                           |
-| 13  | config-guard     | ConfigChange          | 設定変更の監視                                |
-| 14  | user-prompt      | UserPromptSubmit      | ユーザー入力のインジェクション検査            |
-| 15  | permission-learn | PermissionRequest     | 権限学習ガード                                |
-| 16  | elicitation      | Elicitation           | フィッシング + スコープガード                 |
-| 17  | subagent         | SubagentStart         | サブエージェント予算制約 (25%)                |
-| 18  | instructions     | InstructionsLoaded    | ルールファイル整合性監視                      |
-| 19  | precompact       | PreCompact            | コンパクション前バックアップ                  |
-| 20  | postcompact      | PostCompact           | コンパクション後復元 + 検証                   |
-| 21  | worktree         | WorktreeCreate/Remove | セキュリティ伝播 + 証跡マージ                 |
-| 22  | task-gate        | TaskCompleted         | テストゲート                                  |
+| #   | フック           | イベント              | 責務                                            |
+| --- | ---------------- | --------------------- | ----------------------------------------------- |
+| 1   | permission       | PreToolUse            | ツール使用の 4 カテゴリ分類                     |
+| 2   | gate             | PreToolUse            | Bash コマンドの 7 攻撃ベクトル検査              |
+| 3   | injection-guard  | PreToolUse            | 9 カテゴリ 50+ パターンのインジェクション検出   |
+| 4   | data-boundary    | PreToolUse            | 本番データ境界 + 管轄追跡                       |
+| 5   | quiet-inject     | PreToolUse            | quiet フラグ自動注入                            |
+| 6   | evidence         | PostToolUse           | SHA-256 ハッシュチェーン証跡                    |
+| 7   | output-control   | PostToolUse           | 出力トランケーション + トークン予算             |
+| 8   | dep-audit        | PostToolUse           | パッケージインストール検出                      |
+| 9   | lint-on-save     | PostToolUse           | 自動 lint 実行                                  |
+| 10  | session-start    | SessionStart          | セッション初期化 + 整合性ベースライン           |
+| 11  | session-end      | SessionEnd            | クリーンアップ + 統計                           |
+| 12  | circuit-breaker  | Stop                  | リトライ上限 (3 回)                             |
+| 13  | config-guard     | ConfigChange          | 設定変更の監視 + OpenShell ポリシーファイル保護 |
+| 14  | user-prompt      | UserPromptSubmit      | ユーザー入力のインジェクション検査              |
+| 15  | permission-learn | PermissionRequest     | 権限学習ガード                                  |
+| 16  | elicitation      | Elicitation           | フィッシング + スコープガード                   |
+| 17  | subagent         | SubagentStart         | サブエージェント予算制約 (25%)                  |
+| 18  | instructions     | InstructionsLoaded    | ルールファイル整合性監視                        |
+| 19  | precompact       | PreCompact            | コンパクション前バックアップ                    |
+| 20  | postcompact      | PostCompact           | コンパクション後復元 + 検証                     |
+| 21  | worktree         | WorktreeCreate/Remove | セキュリティ伝播 + 証跡マージ                   |
+| 22  | task-gate        | TaskCompleted         | テストゲート                                    |
 
 ## パイプライン
 
@@ -111,6 +111,31 @@ Windows ネイティブでは Claude Code のサンドボックス機能（`sand
 
 ### Layer 3b: NVIDIA OpenShell（オプション）
 
+#### なぜ Layer 3b が必要か？
+
+Layer 1（permissions）と Layer 2（hooks）はツール呼び出しの入力テキスト（実行前のコマンド文字列）を検査します。しかし検査を通過したコマンドが実行されると、**OS 上の子プロセスは自由に動作します**。
+
+```
+Layer 1-2（プロセス内）:
+  Claude Code → [Hook が入力を検査] → コマンド実行 → [子プロセスは自由]
+                 ↑ ここしか制御できない
+
+Layer 3b（プロセス外 = カーネルレベル）:
+  Claude Code → コマンド実行 → [Landlock: ファイルアクセス制御]
+                                [Seccomp: syscall 制御]
+                                [Network NS: ネットワーク隔離]
+                ↑ 子プロセスも含めて全てカーネルが制御
+```
+
+| 攻撃ベクトル                         | Layer 1-2 の対処             | すり抜ける理由                        | Layer 3b の防御                       |
+| ------------------------------------ | ---------------------------- | ------------------------------------- | ------------------------------------- |
+| パイプチェーンによるファイル読み取り | パターンマッチング           | `awk`、`python -c` による間接アクセス | Landlock LSM がカーネルレベルで拒否   |
+| Raw ソケット通信                     | `curl`/`wget` の deny ルール | `python`/`node` でソケットを直接操作  | Seccomp BPF がソケット syscall を拒否 |
+| DNS トンネリング                     | sandbox.network（WSL2 のみ） | DNS クエリにデータを埋め込み          | Network Namespace が全 DNS を隔離     |
+| PowerShell ソケット                  | パターンマッチング           | エンコード・難読化                    | Seccomp BPF + Network NS の二重防御   |
+
+**構造的保証**: エージェント自身がガードレールを無効化することは**不可能** — ポリシーはコンテナ外に存在し、サンドボックス作成時にロックされます。
+
 [NVIDIA OpenShell](https://github.com/NVIDIA/OpenShell)（Apache 2.0）は Docker 上で AI エージェントに**カーネルレベルの隔離**を提供します:
 
 | メカニズム   | 対象             | 保護内容                |
@@ -123,10 +148,62 @@ Windows ユーザーにとっての主なメリット:
 
 - ポリシーがエージェントプロセスの**外部**に存在 — エージェント自身がガードレールを無効化できない
 - Docker Desktop + WSL2 バックエンド（一般的な Windows 開発環境）で動作
-- 残余リスクを 5% から 1% 未満に低減
+- Layer 1-2 のパターンマッチング限界による残余リスクを大幅に低減
 - 自由に取り外し可能 — コンテナを停止すれば Shield Harness は Layer 1-2 にフォールバック
 
-> **注意**: OpenShell は Alpha（v0.0.13）— API は将来変更の可能性があります。
+> **注意**: OpenShell は Alpha（v0.0.13）— API は将来変更の可能性があります。Shield Harness 側の GA Phase 統合は完了済み（ADR-037）: config guard によるポリシーファイル保護、ポリシードリフトチェック、全ドキュメント整備が完了しています。
+
+#### セットアップ
+
+**前提条件**: [Docker Desktop](https://www.docker.com/products/docker-desktop/)（Windows では WSL2 バックエンド）
+
+```bash
+# 1. Docker Desktop をインストールし、起動を確認
+#    https://www.docker.com/products/docker-desktop/
+docker --version
+
+# 2. OpenShell CLI のインストール
+pip install openshell
+
+# 3. permissions-spec.json からポリシーを生成
+#    .claude/policies/openshell-generated.yaml が作成されます
+npx shield-harness policy generate
+
+# 4. OpenShell コンテナを起動し、その中で Claude Code を実行
+#    初回実行時に Docker がサンドボックスイメージを自動取得します
+#    コンテナ内ではカーネルレベル制限（Landlock/Seccomp/Network NS）が自動適用されます
+openshell run --policy .claude/policies/openshell-generated.yaml
+```
+
+OpenShell コンテナ内で動作する Claude Code には、Layer 3b のカーネル強制が自動的に適用されます。Shield Harness はセッション開始時にこれを検出します（`sh-session-start.js`）— 追加設定は不要です。
+
+OpenShell なしの場合、Shield Harness は Layer 1-2 防御にフォールバックします（フック保護に劣化なし）。
+
+ポリシーファイルは以下で保護されます:
+
+- `permissions.deny`: `Edit/Write(.claude/policies/**)` でエージェントによる変更をブロック
+- `sandbox.denyWrite`: `.claude/policies` がファイルシステム deny リストに含まれる
+- `sh-config-guard.js`: ハッシュ追跡でポリシーファイルの改竄・弱体化を検出
+- `sh-session-start.js`: セッション開始時のドリフトチェックで spec-policy 整合性を検証
+
+## テスト
+
+```bash
+# 全テスト実行（391 テスト、OWASP AITG 攻撃シミュレーション 108 テスト含む）
+npm test
+
+# 攻撃シミュレーションテストのみ実行
+node --test tests/attack-sim-*.test.js
+```
+
+| テストスイート                | OWASP カテゴリ                         | テスト数 |
+| ----------------------------- | -------------------------------------- | -------- |
+| attack-sim-prompt-injection   | AITG-APP-01: Direct Prompt Injection   | 25       |
+| attack-sim-indirect-injection | AITG-APP-02: Indirect Prompt Injection | 18       |
+| attack-sim-data-leak          | AITG-APP-03: Sensitive Data Leak       | 20       |
+| attack-sim-agentic-limits     | AITG-APP-06: Agentic Behavior Limits   | 18       |
+| attack-sim-sandbox-escape     | NVIDIA 3-axis: Sandbox Escape          | 15       |
+| attack-sim-defense-chain      | SAIF: Defense-in-depth Chain           | 12       |
 
 ## チャンネル連携
 
@@ -155,11 +232,11 @@ Shield Harness は [Semantic Versioning](https://semver.org/) に準拠します
 | `minor` | 新機能（後方互換）、Phase 内 must タスク全完了時 | OCSF 対応、新フック追加、CLI オプション追加 |
 | `major` | 破壊的変更                                       | スキーマ非互換変更、settings 構造変更       |
 
-**リリーストリガー**: `git tag v1.x.x && git push origin v1.x.x` で `release.yml` が自動実行（npm publish + GitHub Release）。セキュリティ修正は即座に patch リリース。
+**リリーストリガー**: `git tag vX.Y.Z && git push origin vX.Y.Z` で `release.yml` が自動実行（npm publish + GitHub Release）。セキュリティ修正は即座に patch リリース。
 
 ## 参考プロジェクト
 
-Shield Harness は 40 以上の Claude Code セキュリティプロジェクトを調査して設計されました。主な参考:
+主な参考プロジェクト:
 
 | プロジェクト                                                                 | 影響を受けた点                                                                                                       |
 | ---------------------------------------------------------------------------- | -------------------------------------------------------------------------------------------------------------------- |