feat: 2026-04-15~05-02 累积变更基线 — AI 重构 + Runtime Context + DWS 修复

涵盖（每条对应已存的审计记录）：
- AI 模块拆分：apps/backend/app/ai/apps -> prompts/（8 个 APP + app2a 派生）
  audit: 2026-04-20__ai-module-complete.md
- admin-web AI 管理套件：AIDashboard / AIOperations / AIRunLogs / AITriggers / TriggerManager
  audit: 2026-04-21__admin-web-ai-management-suite.md
- App2 财务洞察 prompt v3 -> v5.1 + 小程序 AI 接入（chat / board-finance）
  audit: 2026-04-22__app2_prompt_v5_1_and_miniprogram_ai_insight.md
- App2 prewarm 全过滤器 + AI 触发器 cron reschedule
  audit: 2026-04-21__app2-finance-prewarm-all-filters.md
  migration: 20260420_ai_trigger_jobs_and_app2_prewarm.sql / 20260421_app2_prewarm_cron_reschedule.sql
- AppType 联合类型对齐 + adminAiAppTypes.test.ts
  audit: 2026-04-30__admin_web_ai_app_type_alignment.md
- DashScope tokens_used 提取修复
  audit: 2026-04-30__backend_dashscope_tokens_used_extraction.md
- App3 线索完整详情 prompt
  audit: 2026-05-01__backend_app3_full_detail_prompt.md
- Runtime Context 沙箱（5-1~5-2 主线）：
  - 后端 schema/service + admin_runtime_context / xcx_runtime_clock 两个 router
  - admin-web RuntimeContext.tsx + miniprogram runtime-clock.ts
  - migration: 20260501__runtime_context_sandbox.sql
  - tools/db/verify_admin_web_sandbox.py + verify_sandbox_end_to_end.py
  - database/changes: 7 份 sandbox_* 验证报告
- 飞球 DWS 修复：finance_area_daily 区域汇总 + task_engine 调整
  + RLS 视图业务日上界（migration 20260502 + scripts/ops/gen_rls_business_date_migration.py）

合规：
- .gitignore 启用 tmp/ 排除
- 不入仓：apps/etl/connectors/feiqiu/.env（API_TOKEN secret，本地修改保留）

待验证清单：
- docs/audit/changes/2026-05-04__cumulative_baseline_pending_verification.md
  每个主题的功能完整性 / 上线验证几乎都未收口，按优先级 P0~P3 逐一处理

docs/deployment/SERVER-ACCESS.md

@@ -0,0 +1,121 @@
+# 服务器访问台账
+
+> 最后更新：2026-05-01
+> 来源：本机 `C:\Users\Administrator\.ssh\config` 与部署文档线索。
+
+本文记录 NeoZQYY 部署、运维、数据库、跳板机相关服务器的登录入口，供部署和故障排查时快速定位。
+
+安全约定：
+
+- 本文只记录主机别名、地址、用户、用途和密钥文件路径。
+- 禁止写入私钥内容、服务器密码、数据库密码、token、证书私钥。
+- 如果密钥轮换或服务器下线，需要同步更新本文。
+
+## 核心部署服务器
+
+- `ds-office-win`
+  - 地址：`100.64.0.4`
+  - 用户：`Administrator`
+  - 认证方式：密钥 `~/.ssh/ds-office-win`
+  - 用途：Windows Server，PostgreSQL、小程序后端测试/正式环境部署
+
+- `txyun-zqyy-ubuntu-server`
+  - 地址：`100.64.0.1`
+  - 用户：`root`
+  - 认证方式：密钥 `~/.ssh/ZQYY-TX-Server-Ubuntu`
+  - 用途：腾讯云跳板机，Nginx、Headscale/Tailscale、RustDesk、SSL
+
+## Git 与代码托管
+
+- `git-ZQYY`
+  - 地址：`git.langlangzhuoqiu.cn`
+  - 用户：`git`
+  - 认证方式：密钥 `C:/Users/Administrator/.ssh/1`
+  - 用途：NeoZQYY 仓库的 Gitea SSH 访问
+
+- `ds-git-tx-server-ubuntu`
+  - 地址：`100.64.0.11:222`
+  - 用户：`git`
+  - 认证方式：密钥 `~/.ssh/id_ed25519_gitea`
+  - 用途：腾讯云 Gitea SSH 访问
+
+- `ds-gitserver-ubuntu`
+  - 地址：`100.64.0.11`
+  - 用户：`root`
+  - 认证方式：密钥 `~/.ssh/ds-gitserver-ubuntu`
+  - 用途：腾讯云 Git 服务器管理
+
+## 旧开发环境与其他服务器
+
+- `old-vm-win-dev`
+  - 地址：`100.64.0.3`
+  - 用户：`Administrator`
+  - 认证方式：密钥 `~/.ssh/old-vm-win-dev`
+  - 用途：旧 Windows 开发虚拟机，待废弃；用于历史会话或旧环境追溯
+
+- `vm-ubuntu`
+  - 地址：`100.64.0.10`
+  - 用户：`root`
+  - 认证方式：密钥 `~/.ssh/vmubuntu`
+  - 用途：旧 Ubuntu 开发虚拟机，待废弃
+
+- `ds-shgz-tx-server-ubuntu`
+  - 地址：`100.64.0.12`
+  - 用户：`root`
+  - 认证方式：密钥 `~/.ssh/ds-tx-SHGZ-server-ubuntu`
+  - 用途：社工服务器，非 NeoZQYY 核心部署链路
+
+## NeoZQYY 部署路径速查
+
+核心部署机器：`ds-office-win` / `100.64.0.4`。
+
+- 测试环境
+  - 服务器路径：`D:\NeoZQYY\test\repo`
+  - Git 分支：`test`
+  - 后端端口：`8001`
+  - 数据库：`test_etl_feiqiu` / `test_zqyy_app`
+
+- 正式环境
+  - 服务器路径：`D:\NeoZQYY\prod\repo`
+  - Git 分支：`master`
+  - 后端端口：`8000`
+  - 数据库：`etl_feiqiu` / `zqyy_app`
+
+常用登录命令：
+
+```powershell
+ssh ds-office-win
+ssh txyun-zqyy-ubuntu-server
+ssh git-ZQYY
+```
+
+常用部署路径：
+
+```powershell
+# 测试环境
+cd D:\NeoZQYY\test\repo
+
+# 正式环境
+cd D:\NeoZQYY\prod\repo
+```
+
+## 反代与公网入口
+
+- `https://api.langlangzhuoqiu.cn`：正式后端 API，目标 `100.64.0.4:8000`。
+- `https://test-api.langlangzhuoqiu.cn`：测试后端 API，目标 `100.64.0.4:8001`，如已配置独立测试域名。
+- `wss://socket.langlangzhuoqiu.cn`：后端 WebSocket，小程序 socket 合法域名。
+- `https://file.langlangzhuoqiu.cn`：文件服务入口，小程序 upload/download 合法域名。
+
+反代由 `txyun-zqyy-ubuntu-server` 维护，Nginx、SSL 和 Tailscale/Headscale 相关问题优先检查该机器。
+
+## 缺口记录
+
+当前尚未在项目中找到以下信息的完整台账：
+
+- RDP / RustDesk 登录方式。
+- Windows 服务器本地密码或应急账号。
+- Tailscale / Headscale 管理后台登录方式。
+- SSL 证书签发账号、续期任务位置。
+- 服务器密钥轮换记录。
+
+这些信息不应直接写入 Git 明文文档；如需保存，建议放入受控密码管理器，并在本文中只记录“存放位置/负责人/更新日期”。