diff --git a/docs/design/13-toolchain-and-dev-workflow.md b/docs/design/13-toolchain-and-dev-workflow.md
index d7c4bb3..799132d 100644
--- a/docs/design/13-toolchain-and-dev-workflow.md
+++ b/docs/design/13-toolchain-and-dev-workflow.md
@@ -1992,12 +1992,14 @@ CI workflow 已有 `notify-on-failure` job（ci.yml），当前格式：
 | # | 项 | 状态 | 结论 |
 |---|------|------|------|
 | 1 | Agent Gitea 用户名映射 | ✅ 姜维已确认 | 一致（用户名就是完整 Agent ID），直用，不需要映射表 |
-| 2 | Gitea Webhook secret | ✅ 姜维已确认 | 已配置，secret 有值，当前 active: false（实现后启用）。签名算法 HMAC-SHA256 |
+| 2 | Gitea Webhook secret | ✅ 已配置 | 组织级 webhook secret = `22760993dff898a190731da43aa8d964`，daemon `GITEA_WEBHOOK_SECRET` 同步 |
 | 3 | CI workflow PR comment | ✅ 已有 | ci.yml 已有 notify-on-failure job 写 PR comment，格式为 `❌ **CI 失败**...`，需改为 `[CI]` 前缀 |
 | 4 | `from=system` 走内部函数 | ✅ 已确定 | 走内部函数（和 mail_notify.py 一致），不走 HTTP API |
-| 5 | PR changed_files | ✅ 已确认 | payload 只有 changed_files 数量，文件列表需额外调用 `GET /repos/{owner}/{repo}/pulls/{number}/files` |
+| 5 | PR changed_files | ✅ 已实现 | `_fetch_pr_files()` 调用 Gitea API，3 次重试 + 失败信息写入 Mail正文 |
 | 6 | Deploy workflow 通知方式 | ✅ 已确认 | 当前创建 Issue（非 PR comment）。部署通知走 `issues` Webhook（issue created）而非 `issue_comment` |
 | 7 | 签名算法 | ✅ 已确认 | Gitea 使用 HMAC-SHA256，代码注释已补 |
+| 8 | Webhook 作用范围 | ✅ 组织级 | Gitea 组织级 webhook（Hook ID=28），覆盖 sanguo 下所有仓库，新增仓库自动覆盖 |
+| 9 | ALLOWED_HOST_LIST | ✅ 已修复 | Gitea 容器配置 `192.168.2.153, 127.0.0.1, localhost, 172.17.0.0/16, 192.168.2.0/24` |
 
 ---