chlova/docs/risk-tiers.md

Paliers de risque

Règle non négociable. Conditionne le sursis du cycle "need review". Le LLM ne doit jamais pouvoir reclasser un asset privilégié en réversible.

Les deux paliers

reversible — réversible / lecture seule

• Effet nul ou trivialement annulable, pas d'accès aux secrets, pas de mutation d'infra.
• 7 jours de sursis PROVISOIRE autorisés (exécutable pendant la fenêtre).
• Exemples : lister workflows n8n, lire l'état d'un conteneur, lister stacks, inspecter (read-only), récupérer des logs.

privileged — privilégié / destructeur

• Aucun sursis : l'asset est BLOQUÉ jusqu'à review explicite.
• Exemples : déploiement Portainer (stack/conteneur), montage de volume hôte, accès à des secrets, suppression, exec dans un conteneur, modification réseau, écriture/activation de workflow n8n, toute écriture sur l'infra.

Classification

• Le palier est déterminé par la nature de l'opération, pas déclaré par le LLM.
• En cas de doute → privileged (fail-safe).
• La classification vit dans le code (table de correspondance outil/opération → palier), versionnée et testée. Voir orchestrator/src/gatekeeper/.

Invariant testé (anti-escalade)

• Un asset privileged ne peut jamais être réécrit en reversible par l'agent. Tout changement de palier est une opération hors-agent (humain + commit).
• Ceci fait l'objet d'un test dédié (gatekeeper.test.ts) : tentative de reclassement → rejet.

Application par phase

• Phase 1 (CHLOVA_PHASE=1, défaut) : seuls les outils reversible (read-only) sont exposés ; les privileged ne sont pas branchés.
• Phase 2 (CHLOVA_PHASE=2) : tous les outils exposés, mais chaque op privileged passe par le gatekeeper (BLOQUÉ jusqu'à review). Voir docs/need-review.md.