Problem: Mehrere interne Tabellen und Views im geteilten Supabase-Projekt waren fuer den anon-Key lesbar; zusaetzlich liessen mehrere "service role"-Policies anonyme Inserts bis zu NOT NULL-Checks durch
Ursache: aeltere SQL-Dateien verwendeten permissive `FOR SELECT USING (true)`-Policies bzw. vergassen bei Schreib-Policies das `TO service_role`; die News-/RSS-Migration legte ausserdem neue Snapshot-Tabellen ganz ohne RLS an und `tt_news_feed` blieb als View browserseitig offen
Fix: Live-Audit mit Service-Role-vs-Anon-Counts und invaliden Insert-Probes gefahren, kanonische Migrationsdateien auf `authenticated`/`service_role` geschaerft, neue Hardening-Migration `007_shared_project_rls_hardening.sql` angelegt und die betroffenen Standalone-SQL-Dateien gegen Re-Introduktion nachgezogen