API 계약 및 실행 경계

엔진 외부에 노출되는 결정 표면의 입출력 계약과, 그 경계 밖에서 보장되지 않는 사항을 규정합니다. 표현은 구현 증거와 1:1로 대응합니다.

결정 입력 (request)

POST /api/decide
{
  "tenant_id":    "TN-9901",
  "surface_type": "API_GATEWAY",
  "facets":       "type:read|scope:orders",
  "scope":        "BACKEND_API_EXECUTION",
  "events":       ["STATE_TRANSITION_1", "STATE_TRANSITION_2", ...]
}

출생점은 HMAC_SHA256( tenant_id ∥ surface_type ∥ time_bucket(BE u64) ∥ facets )로 산출되며, time_bucket = unix_secs / 10입니다. 동일 입력은 동일 10초 버킷 내에서 동일 서명을 산출합니다.

결정 응답 (response)

200 OK
{
  "dot_id":         "<uuid-v4>",
  "birth_context_hash": "<blake3>",
  "hmac_signature": "<hex>",
  "time_bucket":    178260xxxx,
  "decisions":      [{ "event_type":"...", "decision":"Allow|Watch|Drop" }],
  "edge_count":     6,
  "odd_state":      true,
  "final_decision": "Drop",
  "binding_status": "FailInert",
  "effect_scope":   null,
  "check_clearance":"FAIL_INERT: 원문은 보존되나 기능적 효력 획득이 영구 차단됨",
  "receipt": { "prev_hash":"...", "current_hash":"...", "timestamp": 178260000000 },
  "source":         "ecigem_core"
}

결정 규칙 (구현 일치)

• 점 상태(evaluate). context_hash 부재 → Drop; 이벤트가 TRANSITION_6 포함 → Watch; 그 외 → Allow.
• 별자리(graph). 100ms 윈도우 내 edge_count > 5 → odd_state=true → 최종 판정을 Drop으로 격상.
• 자성 결속(binding). Allow→Active, Watch→Watched, Drop→FailInert. clearance는 FailInert에 대해 거부를 반환.
• 집계. final_decision = odd ? Drop : (윈도우 내 최댓값: Drop>Watch>Allow). 원시 펄스 판정은 decisions[]로 함께 반환.

경계 밖 (out of scope)

• 원문 콘텐츠(프롬프트·키값·세션)는 판단용 원문 보관 객체로 저장하지 않습니다. 반환값은 식별자·해시·결정으로 한정.
• time_bucket 경계를 가로지르는 재현은 새 출생 서명을 산출(의도된 회전).
• 엔드포인트 미배포 시 공개 캔버스는 동일 알고리즘을 클라이언트에서 실행하며, 권위는 서버 배포 시 서버로 이전.