diff --git a/docs/design/architecture-v2.6.md b/docs/design/architecture-v2.6.md
index 9b5ce1b..e3f1642 100644
--- a/docs/design/architecture-v2.6.md
+++ b/docs/design/architecture-v2.6.md
@@ -1807,6 +1807,25 @@ moziplus 同此模式：一个 SQLite 黑板、一个 Daemon 进程、Tick 扫
 | Worktree 项目隔离 | Superset + Claude Squad | 课题11多项目时的物理隔离方案 | P1（与课题11一起设计） |
 | Blackboard Map | Aider Repo Map | 黑板结构化索引，Agent按任务ID只读关联子图，不全量读取 | P3（触发条件：单任务>5K tokens 或并行>15任务） |
 
+### 司马懿 v2.6.9 评审结论与回应
+
+**评分**: 55/70。最高：上下文管理 9/10。最低：自主协作能力 + 异常自愈 7/10。
+
+**3 个评审意见的回应**：
+
+| # | 司马懿意见 | 回应 | 处理 |
+|---|-----------|------|------|
+| 1 | PRD §2.1 B3"共享意识"与架构有差距，改PRD对齐 | PRD 目标正确不改。当前架构已基本实现共享意识（黑板+CLI读写+@mention+Handoff），唯一差距是 L2 prompt 需要告诉 Agent"你可以查全局" | 在 §15.1 借鉴4 的 prompt_template 中加入全局查询提示 |
+| 2 | blocked 状态转换图不完整 + mentions/experience_tags 风格不统一 | blocked 定义完整（§3.3 转换矩阵含 blocked，§6.2 场景清晰：Agent执行中被卡→blocked→他人帮忙→pending）。mentions 做通知路由（轻查询），experience_tags 做统计分析（重查询），场景不同不需要统一格式 | 不修改 |
+| 3 | verification_commands 安全性 | Agent 已有 exec 权限，verification_commands 走 Daemon exec，由 OpenClaw exec approvals 机制（allowlist+approval）保障安全，不引入新攻击面。参考：Claude Code 同模型、Aider 直接信任、NVIDIA 深度防御指南 | 在 §15.1 借鉴1 明确安全模型 |
+
+**采纳的改进建议**：
+- ✅ Daemon 逻辑健康自检（连续 N tick 无变更则告警）→ 纳入 §14 风险缓解
+- ✅ PRD 与架构对齐描述 → 在架构文档中记录当前状态而非修改 PRD
+- 📋 多项目 scope → 课题11 设计
+- 📋 AI Retry 基本版 → Phase 1 考虑
+- 📋 SkillRouter → 课题12
+
 ### 已完成调研
 
 - ✅ 7 个新项目调研（Claude Squad / Superset Terminal / OpenCode / claude-goal / Cline / Aider / DeepSeek-TUI）
@@ -1904,6 +1923,8 @@ L1 机械检查 + 验证脚本
 
 **触发时机**：Daemon 检测到 output 写入 → 执行 Guardrail → L1 验证脚本 → 脚本失败则自动打回。
 
+**安全模型**：verification_commands 通过 Daemon 调用 `exec`，走 OpenClaw exec approvals 机制（allowlist + approval）。Agent 已有 exec 权限，verification_commands 不引入新的攻击面。参考：Claude Code 同模型（Agent 可执行命令，宿主机 exec approvals 拦截危险操作）、Aider 直接信任、NVIDIA 深度防御指南。
+
 > 参考实践：Aider 的 lint→test→commit 是原子操作——验证不通过就不 commit。我们的 Guardrail 也是原子门控——验证不通过就不进入 review。
 
 #### 借鉴2：对抗性审计映射（纳入课题3）