本番ドメインのアクセス方針を整理しました。https://signal-foundry.app では、API キーなしの internal access を前提にしない運用へ移行しています。
変更点
- production で
SIGNAL_FOUNDRY_INTERNAL_API_ENABLED=false - no-key request は 404
- API キー付き request は production でも通るよう route guard を修正
あわせて入ったもの
- 基本 rate limit
- invalid / revoked / rotated / expired API key の明示的な拒否
meta.auth_mode = api_key
これにより、本番利用の前提がより明確になりました。agent や CLI は API キー前提で接続してください。