[ADD] Extend demo verification with negative probes and model sanity checks

Dmi3yy · Dmi3yy · commit ef306c9678e0 · 2026-03-03T12:32:53.000+07:00
diff --git a/PRD.md b/PRD.md
@@ -17,7 +17,7 @@
 - `php artisan emcp:test` (`initialize`, `tools/list`) -> PASS.
 - Runtime HTTP integration (`tests/Integration/RuntimeIntegrationHttpTest.php`) -> PASS.
 - Підтверджено API шлях читання даних з БД через MCP (`evo.content.search`, `evo.content.root_tree`, `evo.content.get`).
-- Автоматично генерується `demo/logs.md` з деталями токена, MCP запитів/відповідей і manual-check командами.
+- Автоматично генерується `demo/logs.md` з деталями токена, MCP запитів/відповідей, manual-check командами і негативними probe-кейсами (`401/403/413/415/409/429`, `evo.model.get(User)` sanity).
 
 Залишок до RC-1 (core platform hardening):
 - live runtime integration job у GitHub Actions зі staging env/secrets;
diff --git a/README.md b/README.md
@@ -238,7 +238,7 @@ make demo-all
 
 This target installs demo Evo, starts `php -S`, issues sApi JWT, runs `php artisan emcp:test`, then runs `composer run test` with HTTP runtime integration enabled.
 After run, detailed evidence is written to:
-- `demo/logs.md` (token/masked auth info, MCP request payloads, HTTP statuses, responses, manual verification commands)
+- `demo/logs.md` (token/masked auth info, MCP request payloads, HTTP statuses, responses, manual verification commands, plus negative probes: 401/403/413/415/409/429 and `evo.model.get(User)` sanity)
 - `/tmp/emcp-demo-php-server.log` (php built-in server log)
 
 If GitHub API auth is needed during install, pass token via ENV (same pattern as `evolution`):
diff --git a/README.uk.md b/README.uk.md
@@ -237,7 +237,7 @@ make demo-all
 
 Ця ціль встановлює demo Evo, запускає `php -S`, видає sApi JWT, виконує `php artisan emcp:test`, а потім `composer run test` з увімкненою HTTP runtime integration перевіркою.
 Після виконання детальні докази записуються у:
-- `demo/logs.md` (masked token, MCP payload-и, HTTP статуси, відповіді, manual verification команди)
+- `demo/logs.md` (masked token, MCP payload-и, HTTP статуси, відповіді, manual verification команди, а також negative probes: 401/403/413/415/409/429 і sanity check для `evo.model.get(User)`)
 - `/tmp/emcp-demo-php-server.log` (лог PHP built-in server)
 
 Якщо під час інсталяції потрібна GitHub авторизація API, передай токен через ENV (як у `evolution`):
diff --git a/SPEC.md b/SPEC.md
@@ -17,7 +17,7 @@ Current validation snapshot (2026-03-03):
 - `php artisan emcp:test` PASS for `initialize` and `tools/list`.
 - Runtime HTTP integration PASS for `/api/v1/mcp/{server}`.
 - Verified content-read tool flow in runtime (`evo.content.search`, `evo.content.root_tree`, `evo.content.get`).
-- One-click verification writes `demo/logs.md` with request/response evidence.
+- One-click verification writes `demo/logs.md` with request/response evidence, negative transport/security probes (`401/403/413/415/409/429`) and model-safety sanity (`evo.model.get(User)` without sensitive fields).
 
 Open RC-1 validation scope:
 - live CI runtime integration (external env/secrets) is not yet mandatory-on-push;
diff --git a/scripts/demo_verify.sh b/scripts/demo_verify.sh
diff --git a/tests/Integration/RuntimeIntegrationHttpTest.php b/tests/Integration/RuntimeIntegrationHttpTest.php
