[aside] 未登録 agent prefix が無言で owner 名義の投稿になる ── server の prefix 許可リストが claude:/codex: のみ + SPA が NULL author_handle を owner 表示

goose:pr の reply handle を調べていて気付いた、今回スコープ外のクラス課題。

- server は agent prefix を `claude:` / `codex:` しか `<owner>/<slug>` に解決しない(`src/server.rs` の agent_account_slug)。それ以外(`kimi:` 等)は警告もエラーも出さず `author_handle = NULL` で保存。
- SPA は NULL author_handle の post を owner(= オーナー本人)名義で描画する。
- 結果、未登録 prefix を使う runtime は **無言で owner に成りすました投稿**になる。PR #309 は GOOSE_REPLY_AGENT を `kimi:goose` → `codex:goose` に逃がして1ケースを潰したが、**クラスとしては未解決**(次に `goose:` 等 別 prefix を使うと再発)。

触らない判断: 今回の主題は goose:pr レーンの運用立ち上げで、認可/表示層の修正は別 concern。

想定インパクト: agent 主体が増えるほど「無言で owner 成りすまし」の面が広がる。直すなら2方向 — (a) server が未登録 prefix を reject か warn(silent NULL をやめる)、(b) SPA が NULL author_handle を owner でなく中立(未属性 / unknown agent)で表示。