feat(ai): W1-AI-CLOSURE 超级 Sprint — 9 APP 全链路收口 + chat 上下文真激活

Phase 2.3 chat 上下文捕获链路从未真正激活到完整工作:
- 14 处 ai-float-button 补 sourcePage,chat.ts 三分支同步设 pageFilters.contextId
- 后端 page_context 4 层 BUG 修(列名错位 + RLS site_id 未重设)
- xcx_chat filters.pop 破坏 body.page_context 引用 — dict() 浅拷贝隔离
- chat 流式 markdown 实时解析(表格/标题/列表/加粗 + KPI 富卡)
- reference_card KPI 富卡接入 SSE 路径,db 真写入
- 维客线索 source 显示规则:AI 来源用机器人 icon 替代长文字

数据库:
- public.member_retention_clue 加 emoji + runtime_mode + sandbox_instance_id
- biz.ai_run_logs 加 assistant_id + 复合索引
- chk_ai_cache_type CHECK 约束 8 类应用名
- cache_type / app_type 命名统一(app6_note / app7_customer / app8_consolidation)
- 历史 emoji 抽取脚本 44/44 成功

后端 silent failure 修:
- cleanup_service WHERE app_type → cache_type(90 天清理 + 20K 上限重新生效)
- _build_ai_insight 字段错位修复(app4 → app7 + 字段对齐 prompt schema)
- task_manager talkingPoints 改 app5_tactics + tactics 字段
- task_manager aiSuggestion 改取 one_line_summary
- cache_service.CACHE_EXPIRY_DAYS 加 app2a_finance_area
- WS /ws/ai-cache 加 token + JWT + site_id 校验(P0 信息泄露漏洞)
- internal_ai token 改 hmac.compare_digest

工具/文档:
- main.py 加 RotatingFileHandler logs/backend.log + uvicorn /health 过滤
- 新建 utils/clue_category.py(VI 6 类配色 + emoji fallback + source 显示规则)
- 新建 utils/markdown.ts(轻量 md 转 rich-text 解析 + streaming 容错)
- audit + 数据库变更说明 + backlog §七 #14 收口 + #15-#38 残余子任务
- backlog 追加 §十一 App1 参数/MCP/沙箱审计 + §十二 百炼/SQL MCP 主任务线

实地 MCP 走查:14 入口数据层 + 5 代表入口 sourcePage 注入 + customer-detail 全模块 + chat md 渲染 + reference_card 富卡 都已验证。9 项预先 BUG/UX 登记 §七 #29-#38 后续修复。

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

apps/backend/app/ws/ai_events.py

@@ -1,55 +1,113 @@
 """AI 事件 WebSocket 推送端点。
 
-提供：
-- /ws/ai-cache/{site_id} — 缓存更新 / 失效事件
-- /ws/ai-alerts/{site_id} — AI 告警事件（Phase 3.1）
+提供:
+- /ws/ai-cache/{site_id}?token=xxx — 缓存更新 / 失效事件
+- /ws/ai-alerts/{site_id}?token=xxx — AI 告警事件(Phase 3.1)
 
-协议：
-- 客户端连接 → 服务端 accept → 订阅 EventBus → 持续 send_json 事件
-- 事件格式：{"type": "cache_updated|cache_invalidated|alert_created|...", "site_id": int, "payload": {...}}
+协议:
+- 客户端连接(必须带 token query)→ 服务端校验 JWT → accept →
+  订阅 EventBus → 持续 send_json 事件
+- 事件格式:{"type": "cache_updated|alert_created|...", "site_id": int, "payload": {...}}
 - 服务端关闭或客户端断开时清理订阅
 
-用 site_id=-1 表示全局订阅（收所有门店事件，admin-web 全局监控用）。
+W1-AI-CLOSURE 组 7 安全加固(P0-9):
+- 新增 token query 参数,JWT 解码失败 → 关闭(4401)
+- site_id 必须与 token 中的 site_id 一致;site_id=-1 全局订阅要求
+  token 角色含 super_admin
+- 不再允许任何用户监听任意门店的 AI 事件流
 """
 
 from __future__ import annotations
 
 import logging
 
-from fastapi import APIRouter, WebSocket, WebSocketDisconnect
+from fastapi import APIRouter, Query, WebSocket, WebSocketDisconnect, status
+from jose import JWTError
 
 from ..ai.event_bus import AIEvent, get_event_bus
+from ..auth.jwt import decode_access_token
 
 logger = logging.getLogger(__name__)
 
 ws_router = APIRouter()
 
 
+_WS_CLOSE_AUTH_FAILED = 4401  # 自定义 close code(WebSocket close codes 4000-4999 给应用使用)
+
+
+def _authorize_ws(token: str | None, site_id: int) -> bool:
+    """校验 WS 连接的 JWT token 与 site_id。
+
+    返回 True 表示通过,False 表示拒绝。
+    site_id == -1 时要求 token roles 含 super_admin。
+    """
+    if not token:
+        return False
+    try:
+        payload = decode_access_token(token)
+    except JWTError:
+        return False
+
+    token_site_id = payload.get("site_id")
+    roles = payload.get("roles") or []
+    if not isinstance(roles, list):
+        roles = []
+
+    if site_id == -1:
+        # 全局订阅(admin-web 全局监控):仅 super_admin
+        return "super_admin" in roles
+
+    # 站点订阅:token 的 site_id 必须等于 URL 中的 site_id
+    # super_admin 跨站点放行
+    return token_site_id == site_id or "super_admin" in roles
+
+
 @ws_router.websocket("/ws/ai-cache/{site_id}")
-async def ws_ai_cache(websocket: WebSocket, site_id: int) -> None:
+async def ws_ai_cache(
+    websocket: WebSocket,
+    site_id: int,
+    token: str | None = Query(default=None),
+) -> None:
     """AI 缓存事件推送。
 
-    site_id=-1 表示订阅全局（收所有门店的 cache_updated / cache_invalidated）。
+    site_id=-1 表示订阅全局(收所有门店的 cache_updated / cache_invalidated),
+    需 super_admin token。
     """
-    await _serve_event_stream(websocket, site_id, endpoint="ai-cache")
+    await _serve_event_stream(websocket, site_id, token=token, endpoint="ai-cache")
 
 
 @ws_router.websocket("/ws/ai-alerts/{site_id}")
-async def ws_ai_alerts(websocket: WebSocket, site_id: int) -> None:
-    """AI 告警事件推送（Phase 3.1）。
+async def ws_ai_alerts(
+    websocket: WebSocket,
+    site_id: int,
+    token: str | None = Query(default=None),
+) -> None:
+    """AI 告警事件推送(Phase 3.1)。
 
-    site_id=-1 表示订阅全局告警。
+    site_id=-1 表示订阅全局告警,需 super_admin token。
     事件 type: alert_created / alert_updated / budget_exceeded / circuit_opened。
     """
-    await _serve_event_stream(websocket, site_id, endpoint="ai-alerts")
+    await _serve_event_stream(websocket, site_id, token=token, endpoint="ai-alerts")
 
 
 async def _serve_event_stream(
-    websocket: WebSocket, site_id: int, endpoint: str,
+    websocket: WebSocket,
+    site_id: int,
+    *,
+    token: str | None,
+    endpoint: str,
 ) -> None:
-    """共享事件流处理逻辑。"""
+    """共享事件流处理逻辑(含 token 鉴权)。"""
+    if not _authorize_ws(token, site_id):
+        await websocket.close(code=_WS_CLOSE_AUTH_FAILED, reason="auth required")
+        logger.warning(
+            "WS %s 鉴权失败: site_id=%s token_present=%s",
+            endpoint, site_id, bool(token),
+        )
+        return
+
     await websocket.accept()
-    # -1 映射为全局订阅（None）
+    # -1 映射为全局订阅(None)
     subscribe_key: int | None = None if site_id == -1 else site_id
     logger.info(
         "WS %s 连接建立: site_id=%s", endpoint, subscribe_key if subscribe_key else "ALL",