Paperclip-Sicherheit nur aus Session/Pfad (niemals Client-Body); Secrets at rest verschlüsselt + in Logs redaktiert + aufgelöst via in Plugins; Approval-Gates nur server-seitig und Append-only; Budgets sind harte Grenzen, durchgesetzt bei Dispatch; Better Auth für Operator-Auth mit rotiertem ; CSP/HSTS/COOP/CORP auf UI ausgeliefert; Plugin-Capabilities minimal deklariert; in CI. Siehe ../../rules/11-security-paperclip.md für ausführliche Dokumentation. ---