feat(audit): 每命令结构化审计日志 + 可插拔企业 sink（通用合规能力）

[PeterGuy326]

背景

通用企业合规审计能力：为每一次 dws 命令调用产出一条结构化审计记录，
让任何部署 dws 的企业都能把员工经 dws 的操作留痕。非某一客户专属。

设计：产生与投递分离（开源惯例）

• 通道A 本地审计文件 <configDir>/logs/audit.jsonl：源头真相，operator 自己拥有、可 grep。
• 通道B 转发到企业自有 sink：可选，endpoint 由部署企业配置（DWS_AUDIT_FORWARD_URL），
  不写死厂商默认。富审计数据是企业自己的合规资产，进企业自己的库，厂商不背数据责任。
• 默认全关：不设 DWS_AUDIT_ENABLED 则零产出，热路径零影响。

字段（尽量不丢，除非该层完全拿不到）

time / trace_id、actor·org（登录 token）、device（os 始终；device_id·sn_no 为 PIPL 个人信息，
opt-in 默认关）、自然语言 intent（仅 agent 层能注入，记录里标 provenance=agent 表不可验真）、
module·command·subcommand、子命令介绍与敏感度（catalog）、操作对象 id·名称（参数）、
数据流向 direction·api·本地路径·peer ids（推断）、outcome·err_class。

脱敏分档（仅作用于转发，本地文件始终全量）

none（企业自有信任域）/ hashed（加盐可关联不可还原）/ minimal（仅维度，供运维监控）。

接入点

runner.go 的 executeInvocation 收口 defer，与既有 LogCommandEnd 并列；单点、低风险。

验证

• go build ./... / go vet 全过。
• internal/audit：脱敏分档、本地+转发投递、设备指纹 opt-in 门控（darwin 实采 ioreg 验证 IOPlatformUUID/SerialNumber）、配置注册。
• internal/app：端到端 emitAudit 字段填充 + flow 分类（含 local-export / read）。
• 配置项 DWS_AUDIT_* 已注册进 configmeta。

复现：
```bash
export DWS_AUDIT_ENABLED=true
export DWS_AUDIT_FORWARD_URL=https://audit.internal.example.com/dws
export DWS_AUDIT_FORWARD_TOKEN=
export DWS_AUDIT_DEVICE_FINGERPRINT=true # 需采集设备指纹时
dws minutes export --minute-id m-77 --output ~/Desktop/q2.md --format json
tail -n1 ~/.dws/logs/audit.jsonl | jq .
```
详见 docs/audit.md。

后续（本 PR 未含）

• stdio:// 本地插件路径的审计 emit（当前仅 HTTP 调用路径）。
• 官方仓库侧"大面积报错"运维监控：建议走独立的极简匿名 telemetry，与本审计隔离，保持隐私故事干净。

[PeterGuy326]

dws 操作审计日志：字段说明、接入方式与网关侧支持需求

一、审计日志字段（schema v2）

字段按可信度分级。可信字段来源于 token 校验、dws 自管状态或 dws 运行时实测，调用方无法在单次调用中伪造。

已记录字段

字段	含义	来源	可信性
ts / trace_id	时间 / 唯一 trace	dws（trace_id 即传输层 execution_id）	实测
actor.user_id / name	操作用户	登录 token（user_id 仅登录流程捕获时存在）	token 校验，不可伪造
org.corp_id / name	所属组织	登录 token	token 校验，不可伪造
client.agent_id	安装实例唯一标识	identity.json（安装期生成 UUID）	dws 自管
client.channel	调用方 Agent / 渠道	环境变量 DWS_CHANNEL	半可信：网关按 allowedChannels 校验合法性，未做密码学绑定
client.source / cli_version	来源标识 / 版本	dws 自管 / 编译注入	dws 自管
device.os（及 device_id / sn_no / hostname，需显式开启）	设备信息	本机硬件读取	实测
intent.nl_input / provenance	自然语言请求原文	上层 Agent 注入	标记 provenance=agent，明示不可验真
module / command / subcommand / subcommand_desc	操作模块与命令链	dws 命令解析 + 命令 catalog	实测
target（id / name / summary / sensitivity）	操作对象	调用参数 + catalog	实测
flow（direction / api / endpoint / local_path / peer_ids）	数据流向	dws 推断	实测
outcome / err_class / exit_code	执行结果与错误分类	dws 实测	实测

暂不记录字段：host_agent（环境变量 DINGTALK_AGENT）、agent_code（环境变量 DINGTALK_DWS_AGENTCODE）。二者为调用方自声明的环境变量，网关不做校验，可被任意伪造，故在网关签名能力就绪前不予记录。

二、接入方式

审计能力默认关闭，通过环境变量按需开启：

配置项	说明
DWS_AUDIT_ENABLED=true	启用本地审计文件 <configDir>/logs/audit.jsonl
DWS_AUDIT_FORWARD_URL	转发目标，指向企业自有 sink（非厂商默认端点）
DWS_AUDIT_FORWARD_TOKEN	转发目标的 Bearer 鉴权
DWS_AUDIT_FORWARD_REDACT	转发脱敏档：none / hashed / minimal
DWS_AUDIT_DEVICE_FINGERPRINT=true	采集 device_id / sn_no（PIPL 个人信息，默认关闭）
DWS_AUDIT_NL_INTENT	由上层 Agent 注入的自然语言请求原文
DWS_CHANNEL	声明调用方 Agent / 渠道，记入 client.channel

接入方（如 OpenClaw、Qoder 等 Agent 宿主）在拉起 dws 进程时设置 DWS_CHANNEL 及审计相关配置项即可。数据链路：本地审计文件 →（可选）转发至企业自有 sink → 阿里云 SLS 投递（新版）→ MaxCompute → DataWorks 统计分析。

三、网关侧支持需求

能力目标：使审计记录中的「调用方 Agent / 渠道」身份达到不可伪造，从而支撑安全与合规归因，包括按渠道维度统计调用量与成功率、对指定渠道实施访问控制或封禁、以及在异常时定位真实接入方。

设计依据（为何须由网关侧实现）：dws 运行于调用方环境并受其控制，凡 dws 可在本地读取的信息，调用方均可篡改（例如通过 DWS_CHANNEL 声明任意渠道），因此 CLI 无法自证身份。具备签发不可伪造身份能力的唯一主体，是完成了调用方鉴权且不受调用方篡改的服务端，即网关（信任根）。当前网关已通过 allowedChannels 白名单校验渠道合法性（半可信），但渠道码为明文且未与 token 做密码学绑定，已登记渠道之间仍可相互冒充。

需求项：

1. 签发与 token 绑定的签名 Agent 凭证：鉴权阶段基于已校验的 token 与已登记的 channel，签发 agentCredential（JWT 或 HMAC，包含 channel_code、agent_code、有效期及 hash(corp_id + user_id) 指纹），并在鉴权响应中返回 agentCredential 与 agentCredentialExpiry。
2. 调用链验签与可信身份回传：dws 在后续每次调用中携带 x-dws-agent-credential；网关完成验签（签名、有效期、token 绑定一致性校验）后，通过 x-dws-verified-channel / x-dws-verified-agent 回传已校验身份，dws 审计据此记录网关回传值，而非本地环境变量声明值。
3. 渠道注册与接入方身份校验：维护 channel_code 与接入方的注册关系；签发凭证时校验接入方身份（AppKey 或证书），确保渠道码仅可由其合法持有者使用。

接口契约（草案）

位置	新增字段	说明
鉴权响应	agentCredential / agentCredentialExpiry	与 token 绑定的签名凭证及有效期
调用请求头	x-dws-agent-credential	dws 携带的凭证
调用响应头	x-dws-verified-channel / x-dws-verified-agent	网关验签后回传的已校验身份

网关能力就绪后，dws 侧将把 client.channel 由环境变量声明值切换为网关回传的已校验值，并将 host_agent、agent_code 纳入审计并标记为完全可信。

完整说明详见本 PR 内 docs/audit.md。