[aside] #344 が sandbox で `.git` 全体を rw-bind した結果、goose が `.git/hooks/*`・`.git/config` を書ける ── local host-exec の escape vector(egress allowlist で塞げない)

#337/#344 のレビュー検証中に確認(`commit_succeeds_in_linked_worktree_sandbox` test の出力で repo の pre-commit hook が sandbox 内実行されることも観測)。#344 は §1(linked worktree の commit)を `rw_bind(repo_root/.git)` で直したが、commit に必要なのは objects + `worktrees/<name>` admin だけで、**全 `.git` rw は `.git/hooks/`・`.git/config` まで書込可にする**。soft-trusted な goose(untrusted job body の injection 余地あり)が `.git/hooks/post-checkout` 等を仕込めば、operator が次に main repo で git 操作した時に **host 上で実行**される。これは network でなく local exec なので egress allowlist で bound されない(env 素通し `n_01KT496385` とは別経路)。

触らない判断: #337 sandbox は他セッション領域、これは私が見つけた security 残件の記録。

想定インパクト: blast radius を絞る狙いに対する漏れ穴。緩和は `.git` rw を objects + `worktrees/<name>` に絞る(hooks/config を除外)か `.git/hooks` を ro 重ねる。`n_01KT4BSV4Y`(hook deps 未 bind で skip)は同じ hook 周りだが別観点(あちらは実行可否、こちらは書込→escape)。