[aside] verify(`cargo check`)は `--offline` でも build.rs 経由でネットワークする ── `libduckdb-sys` が build 時に GitHub からプレビルド libduckdb を DL。

→ sandbox 調査中に判明:`cargo --offline` は cargo の registry アクセスだけを止め、build.rs 自身のネットワーク(と任意バイナリ DL + 実行)は止めない。net 隔離した verify は cold target だと `Failed to download libduckdb`(`libduckdb-sys/build.rs:226`)で落ちる(warm 共有 target に DL 済なら通る)。
→ 今回は sandbox 設計が主目的なので本体は触らない。
→ 影響:(a) verify の再現性が外部 GitHub の可用性に依存 (b) build.rs が任意 DL + 実行する攻撃面が verify gate 内に存在。対策の方向 = DL 物を vendor / 事前キャッシュして net 全閉、または egress allowlist。