意图分类、能力选择、模型/供应商路由、风险画像评估、执行模式分派（聊天/规划/执行）

多维度风险评估（能力风险、上下文因素、策略约束、预算配额），产生三种决策：无条件通过、需人工确认、硬拦截

所有可执行动作定义为冻结不可变数据契约，含唯一标识、版本、I/O schema、四级风险分类（LOW/MEDIUM/HIGH/CRITICAL）、权限要求、端口依赖、审计元数据

实现逻辑通过显式绑定关联到已声明能力。无绑定则禁止执行——运行时预检强制保证。支持本地和远程执行，含断路器保护

协议桥接机制中介所有外部访问，支持 MCP、API、网络服务、设备接口。强制信任边界隔离，不定义能力，不做决策，只做传输

纯影子模式运行：追踪安全评估、EWMA 异常检测、可纠正性报告、看门狗决策。所有输出 proposal_only=True，无任何执行权

汇聚 RIS、KSI、NSI 所有提案，验证每个提案的 shadow-only 状态，聚合智能后馈入风险决策引擎。确保智能系统永远是顾问角色

SHA-256 三重摘要：输入摘要 + 事件摘要 + 输出摘要 → 证据束清单 + 重放记录。每次执行都生成可独立验证的加密证据

40+ 种事件类型（RIS_NARRATION, KSI_PROPOSAL, STEP_STARTED, TOOL_CALL_RESOLVED, EVIDENCE_POINTER_EMITTED...），SSE 实时推送，每个事件关联 AuditEnvelope

Kernel（I/O-free 纯逻辑）→ Shared（适配器实现）→ Product（部署配置）。严格单向依赖，47+ 自动化门禁检查，治理契约冻结在 Kernel 层不受外层影响