[MAINTENANCE] external AI delegation policy: default-allow read-only mutual invocation + structured-output regeneration exception

[duck8823]

Motivation

[auto_review].policy（External AI delegation exception）を、trusted repository での安全な multi-AI 協調がスムーズに回るよう更新する。[MAINTENANCE] prefix exception（policy / doc cleanup）に該当するため ticket-less PR として起票する。

本 PR は delegation policy の緩和という一貫したワークストリームで、以下2つの変更を含む。

Changes

1. Default-allowed read-only mutual AI invocation（Path A）

• 既存の read-only consultation 例外を 「Default-allowed read-only mutual AI invocation (Claude / Gemini / Codex)」 に書き換え。
  • trusted repository での read-only/plan の Claude / Gemini / Codex 相互呼び出し（repository/workspace research・design consultation・triage・review planning）は default 許可。per-turn の明示依頼・ticket/PR 不要。
  • write 系（write/commit/push/PR作成・merge/deploy/infra apply/upload/destructive）は default 対象外で、従来どおり Path A scoped one-ticket/one-PR work（または許可された ticket-less prefix）と forbidden-action list に従う旨を明記。
• claude/CLAUDE.md 冒頭 delegation policy 行も default-allow に同期（日付 2026-06-13）。

2. Structured-output regeneration / AI-reviewed artifact update 例外（新規・独立ブロック）

Path A read-only consultation とは別の独立した例外を追加。trusted repository での external-AI structured-output regeneration と AI-reviewed generated artifact update を、以下を満たす場合に ticket/PR 不要とする:

• 入力は version-controlled な sample/reference・prompt・schema・dictionary・generator/validator 指示と sanitized context に限定。
• 外部AIには直接 write/commit/push/PR/merge/deploy/upload/infra apply/destructive/browser login/secret access を委譲しない。ファイル書き込みは local orchestrator が行う。
• Git commit 対象は version-controlled な prompt/schema/dictionary/generator/docs と AGENTS.md が明示許可した最終生成物（例 structured/*.csv.gz）に限定。raw answers/packets/logs/intermediate/work dir は repo policy 許可がない限り commit 禁止。
• commit 前に local validation 必須。behavior/scoring/downstream に影響する生成物は追加 AI reviewer または明示 local review を必須。
• main/master direct push・release/GitHub Release・deploy・infra apply・store upload・owner-scoped merge policy 外の autonomous merge は不可。
• 外部AIが broader file access/credentials/private keys/.env*/shell history/browser auth/write tools/remote-mutating を要求したら停止し auth_prompt / policy_or_permission_denied に分類。
• 専用の Required output fields（ticket key N/A (structured-output regeneration)、repo path、workstream scope、input/prompt/schema paths、engines、classifications、generated output paths、validation 結果、review evidence、residual risks）を定義。

維持される制約（弱めていない）

• implementation / write / delegated coding は引き続き one ticket / one PR（write 系は両例外とも対象外）。
• main/master direct push・merge・deploy・infra apply・release・store upload の禁止は維持。
• 送信禁止データ（.env*・credentials・tokens・private keys・shell history・unrelated home/repo files・production data）は維持。
• Path B（general web research）・Forbidden actions・既存 merge policy・Required outputs ブロックは未変更。

Verification

• ローカルの rendered ~/.codex/config.toml と ~/.claude/CLAUDE.md に同一変更を適用済み（変更前バックアップを保持）。本 PR はその source（template / dotfiles claude/CLAUDE.md）に同じ変更を反映したもの。
• diff で codex policy の変更が純粋な追加・置換で、Path B / Forbidden actions / merge policy / Required outputs / 末尾 """ が無傷であることを確認。
• multi-ai-research.sh は変更不要（MULTI_AI_ENGINES 既定で claude,gemini,codex、各エンジン read-only/plan 強制）。

Residual risks

• 「read-only」「generated artifact のみ commit」の境界判定は運用に依存。write tool/認証要求時の停止・分類、orchestrator-only write、AGENTS.md 許可リストで担保しているが誤分類リスクはゼロではない。
• per-turn 明示依頼ゲートを外したため read-only consultation の発火頻度は上がりうる。データ送信は sanitized packet/version-controlled 入力に限定済み。

🤖 Generated with Claude Code