source_path: /opt/nexifyai/workspace/gdok-core-rules.md
ingested: 2026-07-13
sha256: ba5af292739259a338b3d5e9606477d462488905c200734718506462e610c772
GDOK Core Rules — Extrakt aus Governance-Docs
Stand: 2026-07-13 06:22 UTC
Quelle: /opt/nexifyai/repos/nexify-agentur-plattform/docs/governance/
P0-Verbote (aus REGELWERK_MASTER.md + VERBOTE_UND_PFLICHTREGELN_V2.md)
- Fake Done — Nie Task "fertig" melden ohne Verify, Evidence, agentmemory-Update
- Secrets in Code — Nie in Code/Logs/Git/Chat/Brain. Nur env (mode 600) oder Vault
- Deployment ohne Gate — Nie in Prod ohne 7 Quality Gates + Rollback-Plan
- ECC (Excessive Cost) — Keine unkontrollierten LLM-Kosten
- Tenant-Vermischung — Kundendaten strikt getrennt
- Kein Merge in main — Ohne PR-Review + Tests
- Keine Abschlussmeldung ohne Evidence — Dateien/Diffs/Tests/Quellen
- Kein Dashboard ohne /health — ISO 20000-1
- Keine autonome Aktion auf Production/Secrets/Delete
- Keine KI-Inhalte als menschlich — EU AI Act Art. 50
Pre-Task 6 Gates (REGELWERK_MASTER.md)
- Zielverständnis — Task klar, Akzeptanzkriterien definiert
- Kontextprüfung — agentmemory-Query, Regelwerke, existierende Lösungen
- Qualifikationsprüfung — Rolle, Skills, Tools, MCP-Endpunkte
- Risikoprüfung — Sicherheit, Datenschutz, Tenant, Kosten
- Abhängigkeitsprüfung — Kanban, blockierte Tasks, Ressourcen
- Zuständigkeitsklärung — RACI, Escalation-Pfad
4-Phasen State Machine (SOP V5)
PRE_FLIGHT (12 Quellen) → PLAN (CAP V4) → EXEC → POST_FLIGHT (Quality Gates)
Self-Healing max 5 Iterationen.
12-Quellen Pre-Flight (SOP V5, aktualisiert 2026-07-13)
Q01 AGENTS.md → Q02 agentmemory → Q03 Hermes Memory → Q04 GDOK → Q05 Factory
Q06 Taps → Q07 9Router → Q08 Config → Q09 Cron → Q10 Docker → Q11 Systemd → Q12 LightRAG
Subagenten-Pflicht (DOS_AGENT_GOVERNANCE.md)
12 Rollen bei systemweiten Aufgaben: Intent Analyst, Requirements, Concept, Copywriter,
Designer, Platform Architect, Resource Reuse, Network/Cloud, Fullstack, Security,
QA/Evidence, Documentation/Governance
Fertigmeldung (DOS_AGENT_GOVERNANCE.md)
Nicht ohne: Brain-Nachweis, Repo-Nachweis, Runtime-Nachweis, Test/Security-Nachweis
agentmemory = Source of Truth (DOS_AI_GOVERNANCE.md)
- Brain (:9090) + Qdrant (:6333) = DEPRECATED
- agentmemory REST-API :3111, Viewer :3113
- Hermes MEMORY.md = lokaler Cache
- Lessons Learned, Prevention Rules = Pflicht
3 Enforcement Gates (BOUNDARY_ENFORCEMENT_GATES_V1.md)
- Pre-Commit: Kundendaten-Check
- Pre-Push: Tenant-Isolation-Check
- Pre-Deploy: Boundary-Check
28 Pflichtregeln (VERBOTE_UND_PFLICHTREGELN_V2.md)
ISO 27001, 27701, 42001, 25010, 12207, 20000-1, 22301 + WCAG 2.2 + OWASP + EU AI Act + DSGVO
Monatlich: Asset-Inventar, AI-Inventar, Human-Oversight, Löschkonzept, Prompt-Injection, Agent-Tools
Quartalsweise: Zugriffsmatrix, Incident-Runbook, Bias-Test, BCM-Übung
Pro PR: Code-Review, Tests >80%
Pro Release: WCAG, HCD, Artefakt-Verpflichtungen
AGENTS.md Auto-Update-Regel
Bei Architektur- oder Workflow-Änderungen: AGENTS.md im Workspace anpassen.