Add umbrella validation entry point

TASKLIST.md

@@ -1112,13 +1112,15 @@
 - [x] 持续补齐中，关键路径已覆盖并继续收尾剩余少量边界场景（2026-04-09）
 
 **进展补充（2026-04-09）**
-- 基于本轮锁定的 v1 边界，`AF-04` 暂保持未覆盖并标记为“语义待确认”，因为当前实现仍把错误 secret 统一归入 `invalid_signature`
-- `RP-04`（key rotation）继续保留为 v2+ 议题，与本轮在 `PLAN.md` / `FEAT.md` 固化的 v1 边界保持一致
+- 基于本轮锁定的 v1 边界，`AF-04` 已明确按 v1 语义并入 `invalid_signature`，不再作为“未完成测试缺口”单独追踪；若后续要恢复 `invalid_secret`，需先同步调整协议与实现
+- `RP-03`（管理员主动撤销）与 `RP-04`（key rotation）继续保留为 v2+ 议题，与 `PLAN.md` / `FEAT.md` 的 v1 边界保持一致
 - 已补充 `CF-05`：`hello` 缺失 payload 时返回 `MALFORMED_MESSAGE` 且保持连接可继续诊断
 - 已补充 `SR-04`：Client 首次运行/无凭证状态会自动补 keypair，并在 `hello_ack(pair_required)` 后进入完整配对流，不需要手工预置 state
 - 已同步将 `CF-07`（保留字 rule 注册拒绝）在失败路径矩阵里标记为已覆盖，和现有 Client/Server rule registry 测试保持一致
 - 本轮新增 `CF-01` / `CF-02`：补齐 client transport 在网络分区与首次建连失败时的指数退避重连测试
 - 本轮新增 `SR-02`：补齐 server restart 后 active session 不恢复、但 durable trust record 保留且客户端需要重新 hello/auth 的恢复测试
+- 已新增 umbrella 仓库一键回归入口 `scripts/validate-v1.sh`，把 Protocol / Server / Client 的最小 v1 验证串成单次执行；若某子仓库尚未安装依赖，会直接给出明确提示而不是停在模糊报错
+- 已顺手修复本轮回归暴露的 TypeScript 收尾问题：Protocol payload 泛型约束、Server `pairedAt` 持久化字段、Client/Server config 严格模式报错、测试态 runtime 通知服务注入
 
 **目标**
 - 系统性覆盖 pairing/auth 失败路径
@@ -1200,12 +1202,10 @@
 - 已同步更新 `tests/failure-path/MATRIX.md`，标记 CF-01、CF-02、PF-08、PF-10、SR-02 为已覆盖
 
 **当前剩余未覆盖重点**
-- AF-04：当前实现未单独暴露 `invalid_secret` 分支，需先决定是否保留该错误码语义
-- RP-03 / RP-04：管理员主动撤销与 key rotation 语义仍未实现
+- RP-03 / RP-04：管理员主动撤销与 key rotation 语义仍未实现（按 v2+ 保留）
 - PF-04 当前已覆盖运行时失败路径与通知服务单测，但仍缺少真实 Discord 环境端到端验证
 
 **待完成**
-- AF-04：当前实现未单独暴露 `invalid_secret` 分支，需先决定是否保留该错误码语义
 - RP-03 / RP-04：管理员主动撤销与 key rotation 语义仍未实现
 - 补少量真实环境 smoke test / live validation（非阻塞 v1 交付）