v0.6.1

安全加固

• session 级公司绑定：首次请求自动绑定，跨公司操作返回 403，显式切换通过 POST /companies/{id}/switch
• CDN SRI 完整性校验（marked.js + DOMPurify）
• SSRF 内网防护（tech_stack.py 拒绝 RFC1918/loopback/保留 IP）
• PID 三层校验（cmdline + exe 路径比对 + chmod 0600）
• system 端点加 session token 认证
• 删除公司要求 X-Confirm-Delete header

并发安全

• _ACTIVE_COMPANY dict 加 threading.Lock
• prompts.py _FILE_CACHE 和 skill_router.py _INJECTION_CACHE 加锁

多租户 & 数据保护

• License 端点支持 company_id 多租户隔离
• list_companies 脱敏：仅返回 id/name/slug/is_active
• chat 限流按 company_id 隔离

边界条件修复

• WHOIS 不支持 TLD 优雅降级
• DNS MX 响应 TC 截断标志检测
• order.py LIKE 通配符转义
• email_intel json.loads 后类型检查
• 公司创建 rollback 仅清理新创建的目录

跨平台

• .hermes/.trade 路径在 Windows 上统一走 LOCALAPPDATA
• bootstrap 启动时自动注入 HERMES_HOME 环境变量

文档

• README 新增故障排除章节（三平台手动升级步骤）
• CHANGELOG 补充完整修复记录
• SECURITY 支持版本更新至 0.6.x