如何防止 clasp 克隆/拉“仅查看”Google Apps 脚本项目

我有“发布者”帐户创建的 Google Apps 脚本项目，并作为“仅查看”共享：

1. Editors can change permissions and share - set to false
2. Viewers and commenters can see the option to download, print, and copy - set to false
3. Anyone on the internet with this link can view

从另一个“消费者”帐户，应该能够：

a) 将项目导入为库和

b) 使用项目端点

当我使用在线编辑器时，一切看起来都很好：

“复制”菜单项被禁用。

“显示清单文件”不显示 appsscript.json

但是，“消费者”帐户可以使用 clasp（带有脚本 ID）克隆项目、拉取特定版本、下载清单文件、读取项目属性和依赖项等

clasp clone script_id
clasp pull --versionNumber 2

注意：我什至创建了“发布者”帐户不使用clas作为已批准的应用程序。

Q1：我错了吗，这个貌似可以通过clasp绕过“保护系统”？

Q2：这是一个已知的错误/功能/问题，我找不到它，我想投票吗？

Q3：如果你想把图书馆项目分享给客户，也许你可以做一个“隐藏”业务逻辑的子图书馆项目。看起来 clasp 可以下载顶级共享项目的清单文件，然后所有子库也变得不受保护，清单文件显示了它们的脚本 ID。有没有一些标准的方法来完成这样的事情？

谢谢你，很抱歉发了这么长的帖子。