当三套实现一致但独立时，你能相信一致；

当三套实现一致且同源时，你只是把信任交给了一段共享代码。

一致性不是目的。

独立性才是防夺权的前提。

江砚把这句话写进内部警示卡：

可证索引：WARN-UNI-01

摘要：**一致性提升若以独立性为代价，会把“绿灯”变成开关。**

---

### 六、敌人的新组织：同核计划

机要监继续追查ProofKit的供应链，发现它背后的维护账号矩阵与验伪所、清证会的传播链存在重合：

不是同一个名，而是同一组镜像站点、同一批设备指纹、同一套伪随机节奏。

他们换了新名字：**同核计划**。

口号更漂亮：

> “让所有校验器共享同一个核心，避免差异带来的争论。”

共享核心听起来像标准化。

在守望纪元里，它等价于“把所有警报器接到同一根电线上”。

电线一断，全城无声。

同核计划的终点依旧不是改善工程。

是把验证重新中心化——不是用委员会，而是用共享核心。

共享核心一旦被他们控制，开关就藏在代码里。

---

### 七、江砚的反制方向：把“独立性”升级为硬约束，像I1一样不可谈判

意图宪章里有I1/I2/I3三条最高意图。

但在校验体系里，过去默认把独立性当作实现风格。

现在必须把独立性提升为约束：

它和入口成本同级。

江砚提出一条新的子宪章：**校验独立性条款**。

可证索引：INTENT-VERIFY-01

摘要：校验可信的前提是实现独立性；任何降低独立性的优化视为降低操控成本的潜在入口，必须进入试验与审计。

这条话说出来，意味着：

ProofKit不是“好用就用”。

ProofKit是“降低独立性即**险”。

---

### 八、反同核协议：禁止关键路径共享依赖，设立同源度上限

江砚把解决方案写成可执行护栏：

可证索引：ANTI-UNI-01

名称：反同核协议

ANTI-UNI-01A：同源度指标

* 定义“关键路径”：证明卡解析、commit-reveal混合、候选池快照解析、结果哈希生成

* 统计三实现关键路径共享依赖比例（含直接依赖与间接依赖）

* 设定同源度上限S，超过则触发阻断（不能发布）

ANTI-UNI-01B：依赖独立性预算

* 每个实现必须保持至少D条独立供应链（不同维护者群体、不同镜像站、不同构建链）

* 共享依赖若不可避免，必须满足“同源隔离”：

* 共享依赖只能用于非关键路径（UI、日志、格式化等）

* 关键路径禁止共享依赖

* 依赖预算公开摘要（不暴露具体镜像细节，防显影）

ANTI-UNI-01C：依赖锁定与漂移审计

* 关键路径依赖版本锁定

* 任意版本升级必须通过“依赖投毒试验场”

* 若升级导致同源度上升或供应链集中度上升，自动拒绝

ANTI-UNI-01D：紧急回滚

* 若发现同源度异常，立即将共享核心从三实现中剥离，回滚到独立解析路径

* 同步发布独立性恢复证明卡

这套协议的核心就是一句话：

多实现不是多皮肤，多实现必须多骨头。

---

### 九、依赖投毒试验场：把“统**”当作危险物质来检验

为了避免再次被“善意减负”诱惑，江砚建立专门试验场：

可证索引：DEP-LAB-01

名称：依赖投毒试验场

DEP-LAB-01A：输入

* 任何拟引入关键路径的依赖库

* 任何拟共享的规范化组件

* 任何拟统一的解析规则集

DEP-LAB-01B：测试维度

* 同源度上升评估（是否导致关键路径共享）

* 供应链集中度评估（镜像、维护者、构建链）

* 语义形变测试（缺失字段、重复字段、乱序字段、边界字段）

* 恶意容错测试（默认值、截断、修剪、合并）

* 形变一致性测试（metamorphic）：对同一证明做等价变换，校验结果必须保持不变量一致

* 反例对照：是否触发既有L2反例卡（校验器解析差异同步、镜像投毒、伪证等）

DEP-LAB-01C：输出

* 若库能提升维护效率但引入关键路径同源，判定为“同核风险”，禁止进入生产

* 若库可用于非关键路径，允许使用并生成边界条款哈希

* 若库存在容错投毒迹象，生成L2反例卡并前置

这样，ProofKit不再是“好用”。

它必须经受“恶意容错”检验。

敌人最爱把刀藏在容错里。

因为容错看起来像善意。

---

### 十、一次公开冲突：同核计划喊“你们在浪费资源”

同核计划与清证会立即发起舆论：

> “你们为了独立性，维护三套重复代码，浪费资源。”

> “独立性是你们的教条。”

> “真正的科学是统一标准。”

这套话术的本质是：

用效率逼你交出独立性。

效率如果成为最高价值，入口成本就会下降。

江砚没有在价值层面争。

他把争论拉回I1：

独立性是降低操控成本的唯一方式之一。

你想统一，就必须证明操控成本不下降。

否则统一等于开关。

同核计划当然无法证明。

因为统一核心意味着：只需投毒一处即可通杀。

操控成本必然下降。

江砚只给出一个对照：

* 三套独立实现：攻击者需要同时投毒三处，且供应链不同，成本高。

* 共享核心：攻击者只需投毒一处，成本低。

这不是口号，是成本模型。

成本模型一旦公开，统一就失去道德制高点。

---

### 十一、同源一致的真实事故：一次“全绿的错”

为了让决策不依赖猜测，机要监把影子对照实现提示的那张“字段缺失”证明卡拿进依赖投毒试验场做复现。

他们构造了一个“恶意等价证明”：

证明卡形式上满足大多数字段，唯独缺失一个“候选池边界条款哈希域”的子字段。

正确的解析应判定失败，因为缺失意味着边界条款不在承诺域内。

可ProofKit的规范化规则把该字段视为“可选”，缺失时用默认值补齐。

三实现一致通过。

影子对照实现失败。

这是一场“全绿的错”。

最可怕的是：

如果没有影子对照实现，没有这次异常，所有人会继续相信那片绿海。

这张证明卡不需要真正造成灾难，才能证明危险。

它本身就是灾难：它证明“全绿可能是错”。

江砚当场冻结ProofKit在关键路径中的使用，发布紧急回滚：