docs(audit): resolve 3 P1 architecture decisions

- SEC2-P1-01 FactStore: FALSE_POSITIVE (trait already removed)
- V11-P1-03 3 SQL tables: FALSE_POSITIVE (2 active via JOIN, 1 write-only downgrade to P3)
- M4-04 deep approval: WONTFIX (4-layer defense-in-depth sufficient)
- M11-02: FIXED (map_err added in prev commit)

docs/features/AUDIT_TRACKER.md

@@ -74,6 +74,10 @@
 | 2026-04-02 | BREAK-04 | OPEN → CLOSED | V11 确认: pipeline-complete 在 discovery.rs:165 emit，前端有监听器 |
 | 2026-04-02 | IFACE-01 | OPEN → CONFIRMED_P1 | trigger_update 前端发嵌套 updates 对象，Rust 期望扁平参数，更新静默失败 |
 | 2026-04-02 | - | V11 全面审计 | 22 项新发现（3 P1 + 6 P2 + 8 P3 + 5 P4），3 项 V10 关闭 |
+| 2026-04-04 | M11-02 | OPEN → FIXED | generation/mod.rs Stage 1/2 LLM 调用添加 map_err 上下文描述 |
+| 2026-04-04 | SEC2-P1-01 | OPEN → FALSE_POSITIVE | FactStore trait 已在先前清理中移除，值类型保留，TRUTH.md 已标记 FIXED |
+| 2026-04-04 | V11-P1-03 | OPEN → FALSE_POSITIVE | telemetry_reports/key_usage_window 有活跃 JOIN 读取；prompt_sync_status 写无读降级为 P3 |
+| 2026-04-04 | M4-04 深层 | AUDITED → WONTFIX | 4 层防御深度评估：Tauri 命令层已阻断手动触发，scheduler bypass 有意设计 |
 
 ---
 
@@ -85,7 +89,7 @@
 |----|------|------|----------|
 | V11-P1-01 | trigger_update 参数嵌套导致更新失败 | **IN_PROGRESS** | 修复前端（扁平参数） |
 | V11-P1-02 | SaaS 配置同步不传播到 Rust Kernel | **IN_PROGRESS** | 立即修复完整链路 |
-| V11-P1-03 | 3 个 SQL 表零读取 (prompt_sync_status, telemetry_reports, key_usage_window) | OPEN | grep SELECT FROM 在 SaaS crate |
+| V11-P1-03 | 3 个 SQL 表零读取 (prompt_sync_status, telemetry_reports, key_usage_window) | **FALSE_POSITIVE** | telemetry_reports/key_usage_window 有活跃 JOIN 读取；prompt_sync_status 写无读（降级为 P3，需接通 get_sync_status 路由） |
 
 ### P2: 高优先级
 
@@ -136,7 +140,7 @@
 
 | ID | 问题 | 状态 | 验证方法 |
 |----|------|------|----------|
-| SEC2-P1-01 | FactStore trait 定义但全 workspace 无 impl | OPEN | grep "impl FactStore" crates/ |
+| SEC2-P1-01 | FactStore trait 定义但全 workspace 无 impl | **FALSE_POSITIVE** | trait 已移除（值类型保留），AUDIT_TRACKER 未同步 |
 | SEC2-P1-02 | agent-templates API 缺少 /api/v1 前缀 → 404 | **FIXED** | saas-client.ts — 添加 /api/v1 前缀 |
 | SEC2-P1-03 | hand-execution-complete 无前端 listener| **FIXED** | kernel-hands.ts — 添加 onHandExecutionComplete listener |
 | SEC2-P1-04 | InMemoryStorage 6 处 RwLock unwrap() 级联 panic | **FIXED** | viking_adapter.rs — 替换为 expect() |
@@ -233,7 +237,7 @@
 
 ## V12 模块化端到端审计修复 (2026-04-04)
 
-> 4 个 P0 全部修复，16 个 P1 中 13 个已修复（3 个待后续架构决策）
+> 4 个 P0 全部修复，16 个 P1 全部关闭（13 FIXED + 1 WONTFIX + 2 FALSE_POSITIVE）
 
 ### Batch 1: P0 + 核心 P1 修复 (`0576226`)
 | M4-02 | 反思引擎 LLM 未接入 → **FIXED** | reflection_reflect 传入 Kernel driver |
@@ -273,4 +277,4 @@
 | SEC2-P1-01 | EXTRACTION_DRIVER OnceCell 死代码 → **DOCUMENTED** | 标注为 legacy path，Kernel struct 为 active path |
 
 ### 待后续决策的 P1
-| M4-04 深层 | 自主授权后端强制阻断 | OPEN | 需在 execute_hand() 硬性阻断 needs_approval hands (当前仅 audit log) |
+| M4-04 深层 | 自主授权后端强制阻断 | **WONTFIX** | Tauri 命令层已阻断手动触发；scheduler/trigger bypass 是有意设计；4 层防御深度已足够 |