AI 总控（个人互联网痕迹与授权总控）系统 PRD + 架构 + 功能清单 + 落地指南

原创灵阙教研团队

A 推荐提升 | 约 20 分钟阅读更新于 2026-01-29

AI 导读

AI 总控系统（个人互联网痕迹 + 授权 + 自动化 + 数字遗产/分身）PRD + 架构 + 落地指南版本：v0.1（可实施草案）｜日期：2026-01-29｜定位：个人级“授权管家 + 数据保险库 + 自动化代理 + 数字遗产执行器” 全栈隐私：加密优先权限优先：最小授权代理优先：工具受限审计优先：可追溯遗产优先：可证明、可撤回目录摘要背景与问题定义产品定义与边界...

AI 总控系统（个人互联网痕迹 + 授权 + 自动化 + 数字遗产/分身）PRD + 架构 + 落地指南

版本：v0.1（可实施草案）｜日期：2026-01-29｜定位：个人级“授权管家 + 数据保险库 + 自动化代理 + 数字遗产执行器”

全栈隐私：加密优先权限优先：最小授权代理优先：工具受限审计优先：可追溯遗产优先：可证明、可撤回

摘要

一句话：用一个“个人控制平面”把你的账号、授权、数据、自动化动作、数字遗产全部收拢为可审计、可撤回、可继承的系统；AI 负责理解、归类、拟定策略、生成自动化，但所有高风险动作必须在“可证明的授权”边界内执行。

系统由四个面组成

身份与授权面：统一账户清单、登录方式、OAuth 授权、授权范围、撤销与轮换。
数据与记忆面：个人数据保险库（Vault），可搜索、可总结、可导出、可删除。
自动化与代理面：事件驱动的工作流 + 受限工具箱；AI 生成方案，执行由策略引擎裁决。
遗产与分身面：生前“授权管家”，身后“遗产执行器”；数字分身是受控的检索/生成接口，不是无限制的“你”。

可落地的 MVP 承诺

能力	MVP（12–16 周级别）
账号资产盘点	自动发现 + 手动补全；输出“数字资产清单”与风险分。
授权管理	接入主流 OAuth 服务（Google/Microsoft/GitHub 等）：查看 scopes、到期、撤销、最小化建议。
数据保险库	邮件/文件/日历等可授权数据的增量同步 + 本地加密存储 + 统一检索。
自动化	低风险自动化（退订、归档、打标签、备份、清理重复文件）+ 全程审计。
遗产计划	遗产联系人/继承规则/资料封存；对接部分平台的官方“数字遗产”机制。

硬边界（必须写清）：“管理所有互联网痕迹”在物理上不可能。原因不是技术不够，而是平台没有 API、法律/条款不允许、数据在对方控制域里。产品必须把“可控范围”定义成：可授权可调用的接口 + 可导入的导出包 + 可发起的法定请求（DSAR/删除） + 可发送的隐私信号（GPC/OOPS）的合集。

背景与问题定义

现实困境（用户痛点）

碎片化控制：账号散落在数百个服务里；授权、密码、2FA、设备权限互不相通。
不可见授权：OAuth scopes、第三方应用访问、数据共享链条不透明；撤销点分散。
数据外流不可追：数据经由广告生态、数据经纪商扩散；删除成本高、流程复杂。
自动化成本高：IFTTT/脚本/规则引擎门槛高；而“代理式 AI”又容易越权。
数字遗产无系统：各平台规则不一致；亲属在关键时刻要面对证明、流程、时限。

产品机会（为什么现在做）

授权协议成熟：OAuth2/OIDC/SCIM/UMA/GNAP 等标准提供可组合的授权与身份基础。
隐私信号与法规推进：GPC 进入 W3C 文档体系，并被部分法律/监管实践纳入“可执行信号”。
数字遗产机制普及：Google Inactive Account Manager、Apple Legacy Contact、Microsoft/OneDrive 的数字遗产功能等，给了“合规继承”的锚点。
AI 代理的可控化路径清晰：工具调用 + 策略引擎 + 审计日志，能把“会胡来”的模型关进笼子。

核心矛盾：你要的是“总控”，世界给你的只有“碎片化权限”。这不是产品经理用一句愿景能抹平的矛盾，必须在架构层把它变成可管理的“连接器 + 同意记录 + 策略裁决 + 审计追踪”的系统工程。

产品定义与边界

产品定位

AI 总控系统是一套个人控制平面（Personal Control Plane），核心职责是： 1）发现并编目你的数字资产与痕迹； 2）聚合并治理你授予第三方的访问权； 3）把“想做的事”转成受控自动化； 4）在你不在时执行你提前定义的遗产与分身策略。

四条产品边界（写死在 PRD）

边界	解释	产品策略
平台接口边界	没有 API 或禁止自动化的服务，不可直接“接管”。	优先：官方 API（OAuth）→ 官方导出包（Takeout/Export）→ 人工导入 → 法定请求（DSAR）。
权限边界	任何动作不能超出用户授权范围。	所有执行动作需经过策略引擎裁决；高风险动作强制二次验证。
身份边界	不能替用户绕过登录/2FA。	只做“授权编排与托管”，不做“破解与代登”。
伦理与滥用边界	数字分身不能成为诈骗/冒充工具。	分身输出需标记身份、限制交易/法律行为；遗产模式需死亡/代理权证明。

产品形态

移动端 App：控制中心（授权、策略、自动化、审计、遗产）。
浏览器扩展：隐私信号（GPC/OOPS）、Cookie/同意记录采集、账号发现、网页数据采集。
桌面/本地代理（可选）：访问本机文件、照片库、密码库接口（不读取明文密码）、本地模型推理。
云端控制平面：连接器编排、策略决策、审计、通知；默认不持有明文数据（端到端加密）。

目标、原则、成功标准

目标（G）

G1：可见：让用户知道“我在互联网上有哪些资产、谁能访问、访问到什么”。
G2：可控：让用户一键撤销/收敛授权，把权限从“散落”变成“可策略化管理”。
G3：可自动化：让用户把反复劳动交给系统，但不牺牲可控性与可追责性。
G4：可继承：让用户在生前明确数字遗产的归属、时机、范围、限制。

原则（P）

P1：最小授权：默认只读；写/删必须显式升级权限。
P2：策略先于智能：AI 只负责“建议与生成”，执行由策略引擎裁决。
P3：审计即产品：所有数据访问与自动化动作都可回放、可导出、可证明。
P4：端到端加密默认开启：服务端只看见密文与必要元数据。
P5：遗产双重证明：生前授权 + 事后证明（死亡证明/代理权文件）缺一不可。

成功标准（S）

≥ 80%

已接入服务覆盖率（用户前 20 个常用服务）

≤ 2

每周“高风险动作”人工确认次数

≥ 95%

自动化任务成功率（含重试）

≤ 60s

关键风险告警到达（异常授权/新设备登录）

未授权数据外传事故（红线指标）

≥ 1

可执行的遗产计划（每个用户至少一份）

用户画像与场景

画像

用户	特征	核心诉求	风险点
高数字密度个人	多账号、多设备、多订阅	授权清理、自动化减负、数据备份	账号被盗、隐私泄露
内容创作者/创业者	跨平台发布、合作多	权限分工、审计、授权撤回	合作者越权、品牌风险
注重隐私用户	反追踪、反广告	数据经纪商删除、隐私信号、最小暴露	平台流程繁琐
家庭/遗产规划者	关注身后事	照片/文件/账号的继承与封存	证明材料、平台差异

典型场景（JTBD）

我想知道：哪些应用/第三方还在访问我的邮箱、网盘、社交数据？
我想减少：重复的退订、归档、备份、清理任务。
我想控制：广告追踪与数据经纪商的售卖/分享。
我想留下：哪些内容给谁、何时给、给到什么粒度。
我想延续：在授权范围内，用“分身”回答家人关于我的信息，但不冒充我做交易。

核心概念模型

核心对象

对象	说明	关键字段
Service（服务）	外部平台/应用（Google、Microsoft、GitHub…）	provider_id, api_capabilities, auth_type
Account（账号）	用户在某服务上的身份	account_id, identifiers, risk_score
Grant（授权）	OAuth/其他机制授予的访问权	scopes, issued_at, expires_at, refreshable
Consent Record（同意记录）	用户“同意/拒绝/撤回/目的限制”的机器可读记录	purpose, lawful_basis, timestamp, receipt
Policy（策略）	机器可执行的授权/数据/动作规则	rules, exceptions, enforcement_level
Vault Asset（资产）	被同步/导入的数据对象	hash, lineage, sensitivity, retention
Automation（自动化）	可执行工作流	trigger, steps, approvals, rollback
Audit Event（审计事件）	所有读取/写入/删除/授权变更的不可抵赖记录	who/what/when/why, cryptographic chain
Legacy Plan（遗产计划）	身后触发规则与分配策略	beneficiaries, release_conditions, scope
Digital Twin（数字分身）	受控的问答/叙事接口（检索增强）	allowed_topics, forbidden_actions, persona

“接管程度”刻度（用户可配置）

模式	执行特征	适用	风险控制
手动	AI 只做分析与建议，不执行动作	高敏感用户	零外部副作用
辅助	AI 生成方案，用户点一次确认后批量执行	MVP 默认	审批门槛 + 回滚
自动	低风险动作自动执行；高风险仍需确认	稳定期用户	策略分级 + 速率限制
托管	接近“代管”：需要更强身份验证与合规约束	遗产/监护场景	双重验证 + 法律证明 + 只读优先

关键用户流程

流程 A：首次入驻（资产盘点）

1. App 创建“保险库”（生成本地密钥/恢复方案）
2. 连接邮箱（首选）→ 从邮件中发现账号线索（注册/账单/登录通知）
3. 连接主流身份提供方（Google/Microsoft/Apple 登录）
4. 生成“数字资产清单”：服务、账号、授权、订阅、设备、风险
5. 输出“优先清理队列”：高风险授权、过期服务、可撤销第三方

流程 B：授权治理（看清 + 收敛 + 撤销）

1. 展示所有 OAuth 授权（按服务/第三方应用/Scope 聚合）
2. AI 解释每个 Scope 的“可能读取/写入的真实含义”
3. AI 提出最小化方案：减少 Scope / 改只读 / 拆分账号 / 替代连接器
4. 用户确认 → 系统调用官方撤销端点/管理界面跳转
5. 写入同意记录 + 审计事件（不可抵赖）

流程 C：自动化（从意图到受控执行）

1. 用户自然语言描述：例如“每周清理订阅邮件，重要的留着”
2. AI 生成工作流草案（触发器/条件/动作/回滚）
3. 策略引擎静态审查：是否越权？是否涉及敏感类别？
4. 沙箱演练：在样本数据上跑一遍，输出拟执行清单
5. 用户一次确认 → 运行时执行（带速率限制、失败重试、可回放）
6. 结果汇总 → 审计记录 → 用户可一键撤销该自动化

流程 D：遗产模式（生前规划 → 身后执行）

1. 设定遗产联系人（可多人）与分配范围（照片/文件/账号权限/备忘录）
2. 设定触发条件：长期不活跃、死亡证明上传、法院/遗嘱执行人证明
3. 设定时间窗：例如“触发后 30 天冷静期，可被撤回”
4. 系统进入“封存”状态：冻结高风险自动化、锁定策略
5. 核验完成 → 释放：只读访问/导出包/平台官方遗产机制引导
6. 数字分身（可选）：仅回答允许主题；永不输出登录凭证/交易指令

功能清单（分期）

MVP（必须做，且能做）

模块	功能	交付形态	备注
资产盘点	账号发现（邮箱扫描/导入列表/浏览器痕迹）；风险评分	仪表盘 + 导出 PDF/CSV	邮箱是“发现”最有效入口
授权中心	OAuth 授权列表；Scope 解释；一键撤销（支持的服务）	连接器 + 管理 UI	以官方接口为准
同意与策略	策略模板（最小授权/数据保留/敏感类别）；同意记录与回执	策略编辑器（自然语言→规则）	对齐 ISO/IEC 27560 等结构化记录
保险库（Vault）	端到端加密存储；增量同步（邮件/文件/日历）；统一搜索	本地 + 云备份（密文）	向“个人数据仓库”演进
低风险自动化	退订、归档、打标签、备份、重复清理、提醒	工作流引擎 + 受限工具	默认“辅助模式”
审计与回放	动作日志、数据访问日志、授权变更链；可导出	审计时间线 + 证明导出	审计是安全边界的一部分
遗产计划（基础）	遗产联系人、封存箱、导出包；平台遗产功能入口聚合	向导 + 规则配置	对接 Google/Apple/Microsoft 等官方机制

V1（增强控制面）

权限生命周期：授权到期提醒、自动轮换、最小 Scope 建议。
风险信号：新设备登录、异常 OAuth 授权、数据外传模式异常（基于事件）。
浏览器隐私层：发送 GPC/OOPS 信号、Cookie 同意记录采集、跟踪器可视化。
数据经纪商治理：对接可用的官方/监管平台（如加州 DROP）或模板化删除请求管理。
多保险库：工作/个人分区；不同密钥与策略。

V2（数字分身与跨域互操作）

数字分身（受控）：基于 Vault 的检索增强问答；主题白名单；强制“非本人声明”。
数据可移植：对接 Data Transfer Project/DTI 能力（若目标平台支持）。
自托管/Pod：引入个人数据仓（PDS/Pod）形态，兼容 Solid 生态（可选）。
代理式授权协议演进：支持 GNAP/OAuth2.1 等新型授权形态（按需）。

AI 驱动设计

AI 在系统中的职责（严格限定）

AI 负责	AI 不负责
把杂乱数据归类成结构化资产（人/事/物/账户/授权/订阅）。把“自然语言策略”翻译成可执行规则（Policy-as-code）。生成自动化工作流草案，并解释潜在副作用。对授权/数据流做风险评估与异常检测（辅助）。遗产计划的冲突检查（谁能拿到什么、是否重叠、是否越权）。	绕过平台登录、破解 2FA、代替用户提供凭证。在未授权范围内读取/写入/删除任何外部数据。在遗产模式中“假扮本人”进行交易、签约、法律表达。直接执行高风险动作（转账、发帖、删库）而没有强审批。

Agent 组件（可实现的“多代理”）

代理	输入	输出	约束
发现代理	邮箱/浏览器/导入包	账号候选、订阅、服务清单	只读；不外传原文
授权代理	Grant 列表、Scope	最小化建议、撤销计划	执行需用户确认
策略代理	自然语言策略	规则（Rego/DSL）+ 解释	需静态验证与测试
自动化代理	用户意图 + 能力矩阵	工作流 DAG + 回滚步骤	沙箱演练后才可上线
安全代理	审计日志、风险信号	告警、隔离、强制撤销建议	只建议；不自动封号
遗产代理	遗产计划、证明材料状态	释放/封存动作清单	双重证明 + 冷静期

对抗模型幻觉与提示注入（Prompt Injection）

代理系统天然会接触“外部不可信文本”（网页、邮件、文档），提示注入属于长期安全风险。必须把模型放在“不能直接做副作用动作”的链路里：工具调用受限、策略裁决、输出校验、审计回放、速率限制。

工具白名单：模型只能调用明确的工具；每个工具只做一件事。
策略前置：任何工具调用先走策略引擎（OPA）判定 allow/deny。
输出类型化：模型输出必须是结构化 JSON/DSL，经 schema 校验。
双通道解释：给用户同时展示“将要做什么”和“为什么需要这个权限”。
回放与撤销：工作流每一步都可回滚，至少对“外部副作用”提供补偿动作。

系统架构

高层架构图（逻辑）

┌──────────────────────────────────────────────────────────────────────┐
│                               用户端                                  │
│  Mobile App (控制中心)  Browser Extension (隐私信号/发现)  Desktop Agent │
└───────────────┬───────────────────────────────┬───────────────────────┘
                │                               │
                │ E2EE 密钥在端侧                │
                ▼                               ▼
┌──────────────────────────────────────────────────────────────────────┐
│                         个人控制平面（云）                             │
│  ┌──────────────┐   ┌──────────────┐   ┌──────────────────────────┐  │
│  │ 连接器编排层   │→  │ 事件/队列总线  │→  │ 归一化/索引/元数据服务      │  │
│  └──────────────┘   └──────────────┘   └──────────────────────────┘  │
│          │                   │                         │              │
│          ▼                   ▼                         ▼              │
│   ┌──────────────┐   ┌──────────────┐        ┌───────────────────┐   │
│   │ 授权与同意中心  │   │ 策略引擎 OPA  │        │ 审计账本（追加写） │   │
│   └──────────────┘   └──────────────┘        └───────────────────┘   │
│          │                   │                         │              │
│          ▼                   ▼                         ▼              │
│   ┌───────────────────────────────────────────────────────────────┐  │
│   │ AI Orchestrator（多代理） + 工具沙箱（受限执行）                 │  │
│   └───────────────────────────────────────────────────────────────┘  │
│                                  │                                     │
└──────────────────────────────────┼─────────────────────────────────────┘
                                   ▼
                       ┌────────────────────────┐
                       │ 外部服务（OAuth/API/导出）│
                       └────────────────────────┘

部署形态：默认“云控制 + 端侧密钥 + 可选本地代理”

端侧：密钥管理、敏感计算（可选本地模型）、用户交互确认。
云端：连接器、队列、策略裁决、审计、通知、模型推理（可选）。
可选自托管：高隐私用户可部署私有控制平面或使用 Pod/PDS。

关键子系统说明

子系统	职责	关键技术点
连接器（Connectors）	对接第三方 API/导出包/邮件解析	OAuth/OIDC；限流；增量同步；权限矩阵
授权与同意中心	统一管理 Grants、Scopes、同意回执	同意记录结构化；撤销与轮换；生命周期
策略引擎	对每个动作做 allow/deny/step-up	OPA/Rego；分级权限；上下文风险
保险库	密文存储 + 元数据索引 + 检索	对象存储；Postgres 元数据；向量索引
审计账本	不可抵赖、可回放	追加写；哈希链；签名；时间戳
AI 编排与工具沙箱	把意图变成工作流并受控执行	结构化输出；工具白名单；输出校验
遗产执行器	封存/释放/分身	证明材料流程；冷静期；范围限制

数据、权限、同意模型

权限模型：三层叠加

外部平台权限：OAuth scopes/平台 API 能力。
系统内策略权限：Policy 决定“即使有外部权限也不允许做什么”。
动作级审批：按风险分级决定是否需要二次确认/生物识别/硬件密钥。

同意记录：可交换、可审计

同意记录建议对齐 ISO/IEC TS 27560 这类“机器可读同意记录结构”，并生成用户可读的“同意回执”（类似收据）。这样做的价值是：对内统一审计，对外可互操作（未来可对接更多生态）。

数据分类（建议最小集合）

类别	示例	默认策略
身份与凭据	邮箱、手机号、设备标识、Passkeys 元数据	最高敏感；端侧处理；不出端
通信	邮件、消息摘要、联系人	默认只读同步；可设保留期
文件与媒体	网盘文件、照片、笔记	密文备份；按目录/标签分区
行为与浏览	浏览器历史、Cookie 同意、追踪器	本地优先；聚合统计可出端
财务相关	账单邮件、订阅、发票	只做元数据与分类；不做交易执行
健康/极敏感	医疗、定位、未公开身份信息	默认不采集；需显式开启 + 强加密

审计账本：事件溯源（Event Sourcing）

AuditEvent {
  event_id, timestamp, actor (user/agent/service), action,
  resource_ref (asset/grant/policy), decision (allow/deny/step_up),
  inputs_hash, outputs_hash, reason, signature, prev_event_hash
}

用哈希链把事件串起来，避免“日志被改了你还不知道”。

安全、隐私、合规

安全基线

端到端加密：Vault 数据在端侧加密，云端只存密文；密钥不落服务端。
强身份验证：优先 Passkeys/WebAuthn；对高风险动作触发 step-up。
Token 安全：支持 DPoP/绑定型令牌（若服务支持），减少令牌被盗重放风险。
最小权限连接器：每个连接器声明能力矩阵（read/write/delete/export）。
隔离与最小爆炸半径：每个租户独立密钥域；连接器运行在隔离沙箱。

隐私控制：信号 + 法定请求 + 平台机制

层级	机制	系统支持
浏览器信号	GPC/OOPS/ADPC 等	扩展发送信号、记录网站响应、生成合规证据
平台设置	应用授权撤销、隐私设置、广告偏好	统一入口与引导；支持的地方用 API 自动化
法定权利请求	访问/删除/可携带（GDPR/CCPA 等）	模板化请求、进度追踪、证据归档；可对接监管平台（如加州 DROP）
数据经纪商治理	集中删除/退出（地区性）	按地区插件式支持（例：加州 DROP）

合规要求（产品侧“必备动作”）

数据最小化：默认不采集不必要数据；可关闭任意连接器。
透明度：让用户知道系统读了什么、为什么读、存多久、发给谁。
可携带与可删除：Vault 内一键导出/一键销毁；对外发起删除请求的证据链。
遗产合规：不同平台/地区对继承访问要求不同，必须使用“证明材料工作流”。
安全管理体系：建议对齐 ISO/IEC 27001 的 ISMS（至少在流程上）。

数字分身的合规与伦理红线

数字分身不是“无限制的你”。它是一个受控接口：只回答允许主题；默认只读；永不输出凭证；禁止代表用户做交易/签署/法律承诺；对外显式标注“AI 生成的代理内容”。

工程落地指南

技术选型（建议，不绑死）

层	建议	理由
移动端	React Native/Flutter	跨端；安全控件完善（生物识别/Keychain）
后端	Go/Node + PostgreSQL	连接器生态与并发；事务与审计强
队列/任务	NATS/Kafka + Temporal	事件驱动 + 可回放工作流
策略	OPA（Policy-as-code）	策略决策可审计、可测试
向量检索	pgvector/专用向量库	可控、易维护；与元数据同库
加密	端侧密钥 + KMS 包装（可选）	零知识倾向；便于恢复与轮换

连接器开发规范（决定成败）

声明式能力矩阵：每个连接器提供 machine-readable 的 capabilities：read/write/delete/export。
最小 Scope：只申请必须的 scopes；尽量用增量权限升级。
增量同步：必须支持 cursor/watermark；避免全量拉取。
幂等与补偿：写/删动作必须幂等；提供补偿动作或清晰不可回滚说明。
速率限制：按平台政策做自适应限流；避免触发封禁。
输出规范：统一为内部 Canonical Schema，避免下游重复适配。

AI 工作流执行框架（模板）

(1) Intent → (2) Plan(JSON) → (3) Policy Check → (4) Dry-run
    → (5) User Approval (if needed) → (6) Execute Steps
    → (7) Post-check + Audit → (8) Summarize + Learn

“可落地”分解：先把最硬的骨头啃掉

先做授权中心：因为它是后续自动化与分身的合法基础。
再做保险库：因为没有统一数据层，AI 只能靠猜。
再做低风险自动化：用“能回滚/能解释”的动作建立信任。
最后做数字分身：否则你会得到一个极像你但到处胡说、还容易被滥用的系统。

路线图与里程碑

阶段	周期	目标	关键交付
Phase 0	2–3 周	范围收敛与威胁建模	连接器清单、数据分类、风险矩阵、合规需求
MVP	12–16 周	可用的授权管家 + Vault + 低风险自动化	Google/Microsoft/GitHub 等连接器；审计；遗产基础
V1	8–12 周	隐私信号 + 风险告警 + 数据经纪商治理插件	浏览器扩展；OOPS/GPC；删除请求管理
V2	12–20 周	数字分身（受控）+ 数据可移植	分身策略、主题白名单、输出标注、可移植导出

指标与验收

验收清单（MVP）

项	验收标准
授权可见性	至少 3 个主流 OAuth 提供方的授权列表可拉取、可解释、可撤销
Vault 可用性	增量同步稳定；断网可读；密钥丢失不可解密（零知识验证）
自动化安全	任一自动化动作都有：策略判定 + 审计事件 + 失败重试 + 速率限制
提示注入防护	来自网页/邮件的内容不能直接驱动副作用动作；必须经过策略与用户确认
遗产计划	可配置受益人/范围/触发；支持封存与导出包；操作可审计

上线后要盯的指标

授权撤销率、最小化率（Scope 减少比例）
自动化节省时间（可测量：任务数量、处理邮件/文件量）
告警误报/漏报率
连接器稳定性（失败重试次数、被平台限流/封禁率）
用户导出/销毁成功率（“退出成本”要低）

风险清单与对策

风险	表现	对策（工程化）
平台封锁/接口变更	连接器失效、同步中断	连接器版本化；能力矩阵降级；导出包兜底；监控与灰度
账号接管攻击	一旦被攻破，后果巨大	强认证（Passkeys）、最小权限、端侧密钥、异常检测、可快速冻结
提示注入/外部文本诱导	模型被网页/邮件“指挥”越权	工具白名单；策略前置；结构化输出；敏感动作强审批
数字分身被滥用	冒充本人、诈骗	强制声明；限制主题；禁止交易/法律；遗产证明工作流
法律与地区差异	同一功能在不同地区合规性不同	插件式合规模块；地区化策略模板；默认最保守
用户预期失控	用户以为“能删全网”	产品文案写死边界；输出“可控范围/不可控范围”报告

参考标准与资料

下面是本系统关键依赖的“现实世界锚点”：授权标准、身份标准、同意记录结构、隐私信号、数字遗产机制与 AI 安全参考。实现时以官方文档为准。

授权/身份/同意/策略

OAuth 2.0（RFC 6749）：https://datatracker.ietf.org/doc/html/rfc6749
OpenID Connect Core 1.0：https://openid.net/specs/openid-connect-core-1_0.html
UMA 2.0（用户可管理访问）：https://docs.kantarainitiative.org/uma/wg/uma-core-2.0-20.html
SCIM（RFC 7644）：https://datatracker.ietf.org/doc/html/rfc7644
ISO/IEC TS 27560:2023（同意记录信息结构）：https://www.iso.org/standard/80392.html
Open Policy Agent（OPA）：https://www.cncf.io/projects/open-policy-agent-opa/
GNAP（RFC 9635）：https://datatracker.ietf.org/doc/rfc9635/
OAuth 2.1（草案）：https://datatracker.ietf.org/doc/draft-ietf-oauth-v2-1/
OpenID Shared Signals Framework 1.0：https://openid.net/specs/openid-sharedsignals-framework-1_0.html

强认证与令牌安全

WebAuthn（W3C）：https://www.w3.org/TR/webauthn-3/
Passkeys（FIDO Alliance）：https://fidoalliance.org/passkeys/
NIST SP 800-63B（认证强度）：https://pages.nist.gov/800-63-3/sp800-63b.html
DPoP（RFC 9449）：https://www.rfc-editor.org/rfc/rfc9449.html

隐私信号与监管

GPC（W3C TR）：https://www.w3.org/TR/gpc/
加州司法部：GPC 说明：https://oag.ca.gov/privacy/ccpa/gpc
加州 CPPA：OOPS（Opt-out Preference Signal）介绍：https://cppa.ca.gov/pdf/oops.pdf
加州 CPPA：DROP 平台：https://privacy.ca.gov/drop/
GDPR（欧盟）：https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX%3A02016R0679-20160504
CCPA（加州）：https://oag.ca.gov/privacy/ccpa
ISO/IEC 27001（ISMS）：https://www.iso.org/standard/27001

数字遗产（平台官方机制）

Google Inactive Account Manager：https://support.google.com/accounts/answer/3036546
Apple Digital Legacy / Legacy Contact：https://support.apple.com/en-us/102631
Microsoft：死亡后账户访问说明：https://support.microsoft.com/en-us/account-billing/accessing-outlook-com-onedrive-and-other-microsoft-services-when-someone-has-died-ebbd2860-917e-4b39-9913-212362da6b2f
OneDrive 数字遗产：https://support.microsoft.com/en-us/office/preserve-your-digital-legacy-with-onedrive-245869c6-3505-4d75-a75f-82bdec48ad7b

AI 安全（提示注入等）

OWASP Top 10 for LLM Apps：https://owasp.org/www-project-top-10-for-large-language-model-applications/
NIST AI RMF：https://www.nist.gov/itl/ai-risk-management-framework
OpenAI：Prompt Injections：https://openai.com/index/prompt-injections/