Who Should Own Runtime Tokens

Core Answer

Multica Runtime 的 token 所有权，不一定永远只能由系统管理员持有，但必须明确：

token 最终应该对应某个明确身份，而不是悬空存在。

Best Practice

长期规范模式

如果 Runtime 对应的是某个人类账号，那么：

• 谁的账号
• 谁就最好自己生成 token

这样：

• 权限清晰
• 审计清晰
• 风险边界清晰

启动期过渡模式

如果系统还在搭建阶段，可以先由系统 owner 统一接通和临时代管 token。

但这应该被明确为：

• 过渡期做法
• 不是长期默认制度

系统账号模式

如果后续 Runtime 代表的是“系统工位”，而不是“自然人身份”，那么可以考虑：

• 专门的运行账号
• 由管理员统一管理 token

Why It Matters

如果 token 归属不清：

• 权限边界会混乱
• 审计会失真
• 出问题时难以判断是谁的身份在执行

Recommended Rule

启动期可以由你统一代管，长期应收敛到“谁的 Runtime，谁的身份或谁的系统账号负责 token”。

Related Pages

• system/How to Implement Review Flow in Multica
• syntheses/Hermes × Multica Runtime Model
• system/企业版Review Gate机制