我们最近发布了什么

每个条目都对应一次真实的代码变更。我们不为做更新日志而做更新日志 — 没有故事的修改不会出现在这里。

12个条目 · 最后更新 2026-05-15

2026

新功能GTM2026-05-15

CBAM 默认值 vs 实际值成本对照器 + UX 一致性 + 安全修复

在 /cbam-today 上线公开版「默认值 vs 实际值」计算器，对 5 个 CBAM 商品按欧盟默认值与中国典型实际排放强度并排展示成本差距，按当前 €75.36/tCO₂e 证书价计算，支持可分享 URL 与完整假设面板。同步修复审计发现的三处安全问题（计算器接口 CSRF 令牌轮换、分享链接生成器服务端限流、一个历史 POST 缺失组织作用域校验），并统一公开营销页面的视觉外壳，做到「一眼一致」。

修复Auth2026-05-13

数据库角色覆盖正确传播至会话与中间件

通过 Admin DB 工具修改运营角色后，不再需要重新登出登录才生效。本次修复在下一次请求时检测到数据库持久化角色与 Cookie 中角色不一致时自动重签会话 Cookie，使管理员授权与回收能在一次请求内生效，覆盖中间件、侧边栏导航以及按套餐分级的页面访问。

修复Admin2026-05-12

Admin AI 配额软锁不再误伤运营人员

本意作为运营提醒的 AI 软性配额此前在 preview 模式下硬性阻断 admin 角色，且缓存命中的请求也在计数。本次将管理员内部调用与终端用户调用区分计量，缓存命中不再计入软上限，越过阈值时改为展示透明横幅而非直接 403。同一发布中也修复了 admin 面板的三处无限轮询。

优化Reports2026-05-12

Pro 报告正确性升级 — 跨模型审阅 + 数值一致性

Claude Opus 4.7 草稿现由 DeepSeek V4-Pro 跨家族审阅，覆盖五类关注（事实、监管、数值、双语、厂商泄露）。高严重度分歧不再静默择一，而是把两版本同时呈现给运营。数值一致性校验（合计与分项一致、欧盟默认值引用一致、中国实际排放强度在公开区间内）已纳入导出门槛。若审阅调用失败或超时，草稿仍可导出，但会显示明确的「审阅不可用」横幅，绝不静默失败。

新功能Ops2026-05-11

多主机实时监控组件 — HK + 上海联通

Admin Shell 上线 HK 生产 VPS 与上海后端 VPS 的实时主机指标看板（CPU、内存、磁盘、容器健康），由轻量上报接口与 Mac 端 agent 推送。上报路径已对 CSRF 与会话中间件做白名单，确保 agent 可在无会话下持续推送；读取接口仍仅管理员可见。同一发布中也修复了前端容器在 IPv6 上的健康检查误报为 unhealthy 的问题。

优化Auth2026-05-11

短信验证「诚实模式」UX

当短信通道余额耗尽、限流、被封或配置缺失时，登录页手机号 Tab 在用户点击之前就以「降级」状态呈现，附双语补救提示，而不再是看起来可点然后才返 503。新增 /api/auth/sms/status 接口仅查询可用性、不发真实短信。信号会在运营充值后第一条成功短信发送时自动恢复，并 10 分钟自动过期，确保不会卡死。

新功能Trust2026-04-19

公开状态页 + /api/status 接口

在 /status 上线实时状态页，涵盖数据库、Spring Boot 后端、AI 推理、支付渠道四个组件的探测；同时开放 /api/status JSON 接口供外部监控工具接入。

优化Trust2026-04-19

企业级 Trust Center 升级

为采购审核新增可验证信息：具名子处理方清单、数据驻留说明、四级事件响应 SLA、安全联系人，以及符合 RFC 9116 的 /.well-known/security.txt。

运维CI2026-04-19

运营证明 CI（webhook 冒烟 + 夜间数据库恢复演练）

GitHub Actions 现在会在涉及支付代码的 PR 中运行 webhook 冒烟测试（拒绝无签名/错误签名请求、接受合法 Stripe HMAC、验证重放幂等），并执行数据库恢复演练工作流，在临时 Postgres 环境中验证恢复路径。这是有价值的工作流证据，但目前仍不应被表述为“已完成基于生产备份工件的恢复证明”。

优化Honesty2026-04-18

Demo 状态在 UI 中透明化

四个此前静默返回演示数据的接口（碳价、套利、机器学习预测、碳信用市场）现在显式返回 { isDemo, demoNotice } 字段，并通过标准的双语 DemoBadge 组件在相关标题旁展示，帮助用户清晰识别当前所见是 live 数据还是基准预设。

新功能UI2026-04-17

多市场实时价格滚动条

就绪看板新增多市场碳价滚动条（EU ETS、全国碳市场、自愿减排市场），支持数值形变动画、SVG 迷你走势、"live" 脉冲指示灯，每 60 秒刷新。

安全Auth2026-04-16

后端代理不再将会话 Cookie 当作 Bearer Token 转发

/api/backend/[...path] 代理此前会将 Next 会话 Cookie 直接作为 Bearer Token 转发到 Spring Boot 后端，现已改为签发短时效的后端作用域 JWT，消除一类冒用风险，并与后端 DataInitializer 的 fail-closed 启动策略保持一致。

想查看系统当前运行状态？ /status · 想了解信任与合规？ /trust-center