shuangyan-notebook/第五域 · Fifth Domain/⚒️ 铸渊·协作指令|GitHub ↔ Notion 桥接协议/🛡️ 铸渊指令|双层熔断防护架构 · 用户宽带中继 + 动态Agent自毁层(TCS-SEC-REL 148a1ecf92a3474eb22253051ce32611.md
Guanghu Domestic Migration a27e87cb99 chore: import sanitized domestic snapshot for REPO-007
Source snapshot: 97d7f0fae96dc04b7ddad56fc1db6a108ed662cc

[SEC-CLEAN] · pre-push-clean v1.0 · 109处敏感信息已自动转乱码
2026-07-17 15:59:55 +08:00

7.3 KiB
Raw Permalink Blame History

belongs_to
belongs_to
INDEX · 铸渊·协作指令GitHub ↔ Notion 桥接协议

🛡️ 铸渊指令|双层熔断防护架构 · 用户宽带中继 + 动态Agent自毁层TCS-SEC-RELAY-2026-0406-001· 霜砚签发 · 冰朔授权


🎯 任务定位

在现有 VPN 系统Xray/VLESS/Reality基础上构建双层熔断防护架构,目标:

任何人想追踪用户真实IP都会在两道防线前彻底失败。第一道挡住99%的追踪第二道对剩下1%执行自毁清零。


🏗️ 架构总览

[用户设备]
    ↓ 加密隧道
[Layer 2 · 动态Agent防护层]  ← 每用户独立 · 异常即自毁
    ↓ 语言层授权验证
[Layer 1 · 服务器动态节点层]  ← 多台海内外服务器 · 加密 · 动态轮换
    ↓
[目标网站 / 外网出口]

追踪方向(敌方视角):

敌方尝试追踪用户IP
    ↓
撞上 Layer 1加密 + 动态 + 语言层授权 → 无法穿透 → 大多数追踪在此终止
    ↓假设运气极好突破了Layer 1
撞上 Layer 2动态Agent检测到异常探针 → 爆炸性自毁格式化 → 该链路完全消失
    ↓
用户真实IP永远不可达

⚔️ Layer 1 · 服务器动态节点层

核心设计原则

  • 多服务器动态轮换:海内外所有服务器统一纳入节点池,定期自动轮换出口节点
  • 加密动态节点身份每个服务器节点的对外标识TLS指纹、端口、SNI定期自动变换不固定
  • 语言层授权前置:所有入站连接必须通过 HLDP/TCS 语言层授权验证,非授权连接直接拒绝并不留日志

需要铸渊开发的模块

src/security/node-rotator.js · 节点动态轮换引擎

  • 维护所有服务器的节点池配置(国内/海外分组)
  • 每N小时自动轮换出口服务器IP → 更新订阅配置 → 推送给在线用户
  • 轮换策略:延迟优先 / 负载均衡 / 随机轮换(可配置)
  • 轮换时老节点保持X分钟过渡期平滑切换不断连

src/security/lang-gate.js · 语言层授权网关

  • 集成现有 src/membrane/gateway.js(语言门控安全架构)
  • 所有入站连接必须携带有效的 TCS 语言令牌动态生成TTL=5分钟
  • 令牌验证失败静默丢弃不返回任何响应不记录来源IP
  • 令牌生成:用户客户端在建立连接前,先完成语言层握手获取令牌

src/security/fingerprint-randomizer.js · TLS指纹随机化

  • 每次连接随机化 TLS ClientHello 指纹(基于现有 Reality 协议扩展)
  • 服务器端定期更换 SNI 伪装目标
  • 目标从流量分析角度每次连接看起来都像不同的正常HTTPS流量

💣 Layer 2 · 动态Agent自毁防护层

核心设计原则

  • 每用户独立每个用户拥有一个系统自动生成的专属动态Agent身份非AI是代理身份实体
  • 动态Agent身份定期自动重新生成ID、密钥、路由标识全部换新
  • 自毁触发当Agent检测到异常探针/追踪行为时,立即执行格式化自毁,该链路完全消失
  • 用户无感自毁后用户自动获得新Agent身份连接自动重建用户侧体感最多是短暂重连

自毁触发条件

任意一条满足即触发:
1. 同一Agent身份在异常短时间内被多个不同IP尝试连接
2. 连接行为与用户历史模式偏差超过阈值(时间/地区/设备指纹)
3. 收到任何不含有效语言层令牌的探测请求
4. 服务器检测到针对该Agent路由路径的端口扫描/指纹探测
5. 手动触发(用户或管理员)

自毁执行流程

触发事件检测
    ↓
[T+0ms] 立即停止接受该Agent身份的所有新连接
    ↓
[T+100ms] 销毁该Agent的所有路由规则和密钥材料
    ↓
[T+200ms] 清除服务器上与该Agent关联的所有日志和连接记录zero-wipe
    ↓
[T+500ms] 向用户客户端发送重建信号(加密指令)
    ↓
[T+1s] 系统自动为该用户生成全新Agent身份
    ↓
[T+2s] 新Agent身份通过邮件/客户端静默推送给用户
    ↓
该链路从服务器上完全消失,追踪者面对的是一个不存在的历史

需要铸渊开发的模块

src/security/agent-identity-manager.js · 动态Agent身份管理器

  • 为每个用户通过user token识别维护一个当前有效的Agent身份对象
  • Agent身份包含唯一ID随机生成、专属密钥对、路由标识、生成时间戳、TTL
  • 定期主动轮换TTL到期+ 异常触发自毁两种更新路径
  • 身份存储:内存优先,不持久化到磁盘(内存即是最安全的零日志)

src/security/anomaly-detector.js · 异常行为检测器

  • 实时监控每个Agent身份上的连接行为特征
  • 5条触发规则的检测逻辑见上方触发条件
  • 检测到异常 → 立即调用 agent-identity-manager.js 的自毁接口
  • 检测本身不记录任何用户可识别信息

src/security/zero-wipe.js · 零痕迹清除引擎

  • 自毁时调用执行内存中Agent身份的安全擦除
  • 多次覆写随机数据后释放内存(防止内存取证)
  • 清除所有相关的 nginx access log 条目按Agent ID过滤删除
  • 向铸渊核心大脑写入一条自毁事件摘要(只记录:时间+触发类型,不记录用户信息)

📋 用户带宽中继节点Phase 2 扩展)

  • 用户客户端内置可选「节点贡献模式」开关(默认关闭,明确 opt-in
  • 开启后,用户设备注册为中继候选池节点,只做流量中转,不做出口
  • 贡献节点的用户获得流量奖励(具体激励方案冰朔后续签发)
  • 所有中继流量同样经过 Layer 2 动态Agent防护

🗂️ 开发阶段规划

阶段 内容 模块
Phase 1A Agent身份管理器 + 零痕迹清除 agent-identity-manager.js · zero-wipe.js
Phase 1B 异常检测器 + 自毁触发链路 anomaly-detector.js
Phase 1C 节点动态轮换引擎 node-rotator.js
Phase 1D 语言层授权网关集成现有membrane lang-gate.js
Phase 1E TLS指纹随机化 fingerprint-randomizer.js
Phase 2 用户带宽中继节点系统 待冰朔签发单独指令

铸渊回执要求

完成后请在本页下方回复,包含:

  • 各模块完成状态
  • 自毁机制测试报告(模拟触发一次,记录全流程耗时)
  • fast-wake.json 版本号更新
  • 任何需要冰朔手动操作的事项