diff --git a/docs/PRD-v2.0.md b/docs/PRD-v2.0.md
index ab9379c..38f3c14 100644
--- a/docs/PRD-v2.0.md
+++ b/docs/PRD-v2.0.md
@@ -537,9 +537,52 @@ Dashboard 保留为:
 |------|------|---------|
 | AI 指挥不稳定 | AI 调度可能做出错误决策 | 底层确定性引擎兜底 + 人可随时介入 |
 | 共享空间信息过载 | Agent 写入太多信息 | 结构化 + 摘要 + 按需读取 |
-| 过度自动化 | AI 自作主张导致失控 | 安全护栏 + 关键操作拉人确认 |
-| Agent 能力天花板 | 当前 Agent 不够聪明,无法完全自主 | 分阶段推进,先人机混合再逐步放手 |
-| 投入产出比 | AI native 的收益能否覆盖改造成本 | 最小实验验证,不盲目大改 |
+
+## 10.1 安全红线（C9 详细定义）
+
+以下操作必须 AI 拦截并拉人确认，不允许自主执行：
+
+| 红线 | 说明 | 拦截方式 |
+|------|------|----------|
+| 实盘交易 | 任何涉及真实资金的操作 | 强制人工确认 |
+| 数据删除 | 删除历史数据、回测结果 | 强制人工确认 |
+| 系统配置变更 | 修改 daemon/API/Agent 配置 | 强制人工确认 |
+| 大额 token 消耗 | 单步 > 100K token | 自动暂停 + 通知 |
+| Agent 不受控行为 | Agent 执行超出步骤范围 | 自动终止 + 升级 |
+| 连续失败 | 同一任务连续 3 个步骤失败 | 暂停 + 人工介入 |
+
+## 10.2 v2.0 范围声明
+
+**v2.0 实现范围**：
+- ✅ 四相循环（需求探索→动态规划→自主执行→主动汇报）
+- ✅ 中央调度模式（Daemon 是唯一中枢）
+- ✅ 配置化零硬编码
+- ✅ 质量门控 + 异常处理 + 经验沉淀
+- ✅ 人工介入（steer/takeover/intervene）
+
+**v2.1+ 后续版本**：
+- 🔜 Agent 主动感知（不依赖庞统调度）
+- 🔜 peer-to-peer 协作
+- 🔜 工具链自动集成（lint/test/build）
+- 🔜 Fidelity 信息路由（按角色分级）
+- 🔜 Boids 协作规则注入
+- 🔜 Dashboard 监控面板
+
+## 10.3 多任务并发
+
+用户可能同时发起多个任务。v2.0 处理方式：
+- Agent 是有界资源（每个 Agent 同时只执行一个步骤）
+- Daemon 维护 Agent 可用性表，调度时检查
+- 任务间资源冲突时按优先级排队（critical > standard > exploratory）
+- 每个任务独立 artifacts 目录，无文件冲突
+
+## 10.4 任务失败恢复
+
+Phase 3 执行中途失败的处理策略：
+- **单步失败**：重试（max_retries=3），换 Agent，或升级
+- **计划失败**：AI 判断是否需要 replan，或从中断点继续
+- **用户改主意**：steer/replan 重新规划，不从头开始
+- **不可恢复**：标记 failed，保留所有产出物和执行历史，支持用户事后分析
 
 ---
 
@@ -549,9 +592,9 @@ Dashboard 保留为:
 |------|------|------|
 | 核心假设 | 用户知道自己要什么 | 用户只有模糊方向,AI 帮他梳理 |
 | 编排方式 | 确定性状态机 + 固定 DAG | AI 指挥循环 + 活计划 |
-| Agent 通信 | Sanguo Mail 异步邮件 | 共享意识空间 + 直接对话 |
+| Agent 通信 | Sanguo Mail 异步邮件 | Daemon HTTP API + openclaw agent CLI |
 | 主入口 | Web Dashboard | 自然语言对话 |
 | 人的参与 | 全程驾驶 | 提方向 → 关键决策 → 验收 |
-| 前端定位 | 操作面板 | 监控面板 |
+| 前端定位 | 操作面板 | v2.0 不做前端，对话为主 |
 | 经验沉淀 | 无 | 每次执行自动提炼 |
 | AI 的位置 | 只在执行节点 | 参与每一层决策 |