# Phase 0 可达性实测：双绿灯通过

> **日期**: 2026-05-13
> **模块**: internal-app-platform
> **类型**: 实测结论 / 解锁记录

## 背景

PRD §风险段把"Claude Code 远程 MCP 公网可达性"和"Gitea git push 在员工电脑可达性"列为 Phase 0 头号风险，不通则方案推倒重审。第一版讨论时把这两条当成"需要找真人电脑专门测的高成本步骤"，实际跑下来 5 分钟就过。

## 实测命令 + 结果

### A. MCP 公网链路

```bash
curl -v --max-time 10 https://ffworkspace.faradayfuture.com/api/v1/health
```

关键观察点：
- HTTP/2 + TLS 1.3 协商成功
- 证书 issuer = Let's Encrypt E8，subject CN 匹配域名 → 没被公司 TLS 中间代理 MITM
- response time 1ms = backend 真正响应了，不是代理截断
- 完整 JSON 返回 `{"success":true,"data":{"status":"healthy",...}}`

**结论**：Streamable HTTP 走同一条 TLS 链路理论上无阻。

### B. Gitea 可达性

```bash
curl -sS -o /dev/null -w "HTTP %{http_code} | TCP %{time_connect}s | total %{time_total}s\n" \
  http://43.130.59.228/api/v1/repos/FFAIWorkspace/workspace -H "Authorization: token $GITEA_API_TOKEN"
```

结果：`HTTP 200 | TCP 0.000830s | total 0.037153s`

外加日常证据：当前 working repo 的 remote 就是 `ssh://git@43.130.59.228:2222`，长期稳定。

**结论**：Gitea 已在该网络下稳定可达，无需公网迁移。

## 教训

**风险评估不要被"听起来高难度"的措辞误导**。

"在真实办公电脑实测 TLS 中间代理是否拦截 Streamable HTTP" 听起来像要专门组织、租电脑、跑专项测试。实际上一条 `curl -v` 就够——只要看到响应 1ms、证书 issuer 是 Let's Encrypt 而不是公司内部 CA，就证明链路干净。

**适用于**：任何"网络可达性 / TLS 链路 / 代理是否插手"类风险——先用最普通的 curl + openssl 命令探一次，绝大多数情况秒过，剩下的才需要专项排查。

## 解锁

Phase 0 PoC 启动的两条技术阻塞已消除。剩余阻塞仅 PR #362 review approval。