內容維護與更新判斷
此區塊讓治理頁內容可被機器檢查:每頁都必須公開它依賴哪些資料、哪些關聯頁會影響它,以及哪個 gate 會提報需要更新。
更新判斷
此頁不是靜態文案;來源資料、相關政策、公開指標或生成器變更時,AI Ops 只產出證據,由 AI agent 判斷是否改文。
人工邊界
系統負責偵測、提報與留證;最終修復與語氣判斷由 Codex/Claude 等 agent 執行。
驗證指令
node scripts/verify-trust-pages.js --check
Version 2.0 · · Governance 2.0 public evidence surface
此頁已納入 starnum 公開治理 2.0 介面,與系統卡、資料治理、透明度報告、使用政策和安全政策使用同一套證據層。
本頁定義安全聯絡、揭露邊界、crawler access 與發布完整性如何被公開記錄。
涵蓋 security.txt route、crawler policy、可部署安全 artifacts、揭露限制、GPG 狀態與 evidence registry 連結。
2.0 讓安全細節足以被驗證,同時不暴露 secrets 或可利用的內部資訊。
starnum.com.tw 重視使用者資料安全與網站安全。我們歡迎安全研究人員透過負責任揭露(Responsible Disclosure)的方式通報潛在漏洞,並承諾以開放、尊重、即時的態度回應。
請透過以下管道回報資安問題:
本站為單人營運,由命理師本人即時處理,回應速度優於傳統 email。
機器可讀版本:/.well-known/security.txt(符合 RFC 9116)
不在範圍內:第三方服務(Cloudflare 基礎設施本身、Google Analytics、Supabase 平台本身)、社交工程攻擊、實體安全。
| 里程碑 | 目標時程 |
|---|---|
| 收到通知確認 | 3 個工作天內 |
| 初步評估與嚴重性分級 | 7 個工作天內 |
| 低/中風險修復 | 30 天內 |
| 高風險修復 | 60 天內 |
| 嚴重漏洞修復 | 90 天內(若需更長時間會主動告知) |
| 公開揭露(協調後) | 修復完成後,與研究人員協調時機 |
感謝以下安全研究人員協助提升 starnum.com.tw 的安全性:
此區塊只使用本機可追溯的稽核資料,不新增無來源宣稱。日期為實際產出日。
此區塊讓治理頁內容可被機器檢查:每頁都必須公開它依賴哪些資料、哪些關聯頁會影響它,以及哪個 gate 會提報需要更新。
此頁不是靜態文案;來源資料、相關政策、公開指標或生成器變更時,AI Ops 只產出證據,由 AI agent 判斷是否改文。
系統負責偵測、提報與留證;最終修復與語氣判斷由 Codex/Claude 等 agent 執行。
node scripts/verify-trust-pages.js --check
此區塊不是口號;每一個核心宣稱都有 claim id、來源 JSON、hash 與可重跑的驗證指令。公開頁只揭露可公開的治理證據,不公開原始碼、密鑰、私有資料或可被濫用的攻擊面細節。
| Claim ID | 可查驗值 | 狀態 | 責任頁 | 來源與驗證 |
|---|---|---|---|---|
| claim.public-url-manifest.indexable-count 公開 URL 與 canonical 清單 |
38,175 indexable URLs | verified | sitewide | node scripts/generate-public-evidence-manifest.js --dry |
| claim.trust-pages.audit-pass-rate 治理頁機器稽核 |
180/180 pass | verified | sitewide | node scripts/verify-trust-pages.js --check |
| claim.discovery-surface.zero-errors AI discovery surface 稽核 |
{"errors":0,"warnings":0} | verified | sitewide | node scripts/verify-discovery-surface.js |
| claim.structured-data.jsonld-errors JSON-LD / 結構化資料稽核 |
{"structured_data_invalid_files":0,"breadcrumb_count":28274,"faq_count":27506,"dataset_count":30,"article_count":27406} | verified | sitewide | node scripts/site-machine-audit.js |
| claim.status.sla-state 狀態頁 SLA 來源 |
critical / 1 critical, 0 warnings | verified | sitewide | node scripts/generate-status-page.js |
| claim.provider-alignment.openai-anthropic-gemini OpenAI / Anthropic / Google Gemini 對標 |
benchmark alignment only unless code/config evidence exists | verified | sitewide | node scripts/verify-public-evidence.js --check |
| claim.transparency-report.sha256 透明度報告 SHA-256 錨定 |
{"report":"transparency/report-2026-Q2.json","sha256":"519b8628a5f50276f9a98b4ea98f0a886329150f65c011a1e2134ff9bed777ab"} | verified | sitewide | node scripts/update-transparency-current-data.js |
| claim.release-integrity.gpg-signing GPG signing 狀態 |
GPG signing active locally; checked GitHub commit verification is valid | verified | sitewide | gpg --list-secret-keys --keyid-format=long && git log -1 --show-signature |
| claim.security-policy.security-header-state Security header 狀態機 |
{"state":"A_GRADE"} | verified | security-policy | node scripts/verify-public-evidence.js --check |
| claim.security-policy.security-txt-route security.txt 機器可讀路徑 |
{"publicPath":"/.well-known/security.txt"} | verified | security-policy | node scripts/repair-internal-links.js --check |
| claim.security-policy.crawler-access AI crawler discovery 存取控制 |
{"artifacts":["/robots.txt","/llms.txt","/.well-known/llms.txt"]} | verified | security-policy | node scripts/verify-discovery-surface.js |
此層把可公開的技術治理證據集中呈現:架構、資料來源、AI 使用邊界、品質閘門、發布完整性與供應商對標。公開範圍刻意排除原始碼、密鑰、可被濫用的攻擊面細節與私人資料。
Cloudflare Pages/Workers、R2/D1/KV/Pagefind 與本機生成腳本共同構成公開網站與治理資料發布鏈。對外只公開行為、狀態與可驗證資料源,不公開密鑰或內部操作權限。
程式碼掃描目前可驗證的 production inference 模型:未在 production code scan 中找到可驗證模型設定。OpenAI、Anthropic、Google Gemini 三方作為治理框架對標;未有程式碼或設定證據者,不寫成已上線使用。
治理頁稽核 180/180 通過、JSON-LD 錯誤 0、discovery surface 錯誤 0。狀態頁如實顯示 critical / 2 critical, 2 warnings。
知識庫 497,120 chunks、TM 0 entries、AI answer-ready 7,976/7,976。公開數據追到 data/state-machine/*、data/*audit*.json 與 transparency 報告。
| 治理面向 | OpenAI | Anthropic | Google Gemini | Starnum 落實證據 |
|---|---|---|---|---|
| 模型/系統卡揭露 | OpenAI models + safety docs | Claude model docs + system/model cards | Gemini model docs + safety settings | system-card、model-card、methodology、benchmark、transparency-log |
| 安全評估與使用邊界 | Safety best practices / deployment checklist | Responsible Scaling / safety policy | Gemini safety controls / policy | AI safety、acceptable-use、ethics、risk boundary copy、crawler policy audit |
| 資料治理 | Data controls / privacy controls | privacy and data handling docs | Gemini API data governance references | privacy、ai-data-governance、KB/TM source tracking、SHA-256 hashes |
| 監控與發布 | production checklist / eval discipline | system-card transparency discipline | model/version documentation discipline | deploy.js、status.html、SLA report、trust-pages-machine-audit、sitemap/hreflang audits |
V2.0 的重點不是多寫形容詞,而是把「已落實」與「尚未落實」分開:production 使用、治理對標、狀態異常、GPG 簽署、SLA breach 都依來源資料如實公開。
GPG signing 尚未啟用;本機未配置可用 gpg 工具或 signing key。公開完整性目前以 Git commit history + SHA-256 hash 追蹤。只有在實際 signed commit 後才會標示為已簽署。
本站治理文件同步對照三家公開框架:模型文件、系統卡/模型卡、安全評估、資料治理與使用政策。這是治理對標,不等於宣稱每一家都已用於 production inference。 官方文件檢查日:2026-07-11
| 對標來源 | 治理焦點 | 本站揭露 | 官方來源 |
|---|---|---|---|
| OpenAI | 模型文件、最新模型說明、安全最佳實務、資料控制。 | 目前未在 production code scan 中找到可驗證模型設定;模型供應商僅列為治理對標。 | https://platform.openai.com/docs/models |
| Anthropic | Claude 模型文件、system card / model card、Responsible Scaling 與安全政策。 | 目前未在 production code scan 中找到可驗證模型設定;模型供應商僅列為治理對標。 | https://docs.anthropic.com/en/docs/about-claude/models |
| Google Gemini | Gemini API 模型文件、安全設定、資料治理與平台政策。 | 目前未在 production code scan 中找到可驗證模型設定;模型供應商僅列為治理對標。 | https://ai.google.dev/gemini-api/docs/models |