chore: update existing rule docs with AI output schema

04 - Quality & Review/4.3 安全编码规范.md

@@ -66,7 +66,11 @@
 
 * **水平越权防护 (IDOR/BOLA)**：  
   * 永远不要相信用户提交的资源 ID。在修改或删除任何记录（如 POST /orders/123/cancel）时，除了判断 ID 存在，**必须**在数据库查询层面加上归属校验（如 WHERE order\_id=123 AND user\_id={当前登录用户ID}）。*(详见 3.2.7 数据隔离规范)*。  
-* **接口防刷与限流 (Rate Limiting)**：  
-  * 对于发送短信验证码、注册、登录等极易被黑客利用进行暴力破解或“薅羊毛”的接口，必须在网关层或应用层配置**频次限制**（如同一 IP 每分钟最多 5 次，同一手机号每天最多 10 次）。  
-* **失败提示模糊化**：  
-  * 登录失败时，无论是因为“账号不存在”还是“密码错误”，**统一定义返回**：“账号或密码错误”。禁止明确告知攻击者账号是否存在，防止黑客进行“撞库”和账号枚举。
+* **接口防刷与限流 (Rate Limiting)**：
+  * 对于发送短信验证码、注册、登录等极易被黑客利用进行暴力破解或“薅羊毛”的接口，必须在网关层或应用层配置**频次限制**（如同一 IP 每分钟最多 5 次，同一手机号每天最多 10 次）。
+* **失败提示模糊化**：
+  * 登录失败时，无论是因为“账号不存在”还是“密码错误”，**统一定义返回**：“账号或密码错误”。禁止明确告知攻击者账号是否存在，防止黑客进行“撞库”和账号枚举。
+
+## 🤖 [附加] AI 助手执行协议 (AI Output Schema)
+
+**绝对红线**：提供安全漏洞与架构越权的排查 Checklist。规定 AI 必须逐项回复检查结果（True/False），一旦发现违规必须输出重构后的安全代码。