@andyqiu/codeforge 0.5.28 → 0.5.29

package/README.md

@@ -66,7 +66,7 @@ discover 会跑 5 个阶段：
 4. **PRD 起草** — 生成 EARS 句式 PRD.md + 机读 handoff.yaml
 5. **复核** — challenger 二次复核
 
-产物在 `.codeforge/specs/<slug>/{PRD.md, handoff.yaml}`，会被下游 codeforge / planner / coder **自动消费**。
+产物在 `docs/specs/<slug>/{PRD.md, handoff.yaml}`，会被下游 codeforge / planner / coder **自动消费**。
 
 详见 [docs/discover/README.md](./docs/discover/README.md)。
 

package/agent-templates/codeforge.md

@@ -23,7 +23,7 @@ task({
 
 # 走 spec 路径时额外塞（用户已确认 candidate-specs 后）
 spec=<slug>
-<!-- planner Step 2 必须 read .codeforge/specs/<slug>/handoff.yaml -->
+<!-- planner Step 2 必须 read docs/specs/<slug>/handoff.yaml -->
 
 # 你必须做的
 1. 按 planner.md 工作流程出方案

package/agent-templates/coder.md

@@ -16,7 +16,7 @@
 ```markdown
 ❌ 拒绝启动：spec=user-feed-recsys 含未解除 PRE 阻断
 
-**检测 PRE**（来源 .codeforge/specs/user-feed-recsys/handoff.yaml `pre_coding_blockers[]`，v1.2 显式字段）：
+**检测 PRE**（来源 docs/specs/user-feed-recsys/handoff.yaml `pre_coding_blockers[]`，v1.2 显式字段）：
 - `PRE-1`: 上游推荐 API 鉴权方案未定（OAuth2 vs API key？）— source: assumption / must_resolve_by: user
 - `PRE-2`: redis 集群是否支持 BITCOUNT 命令需运维确认 — source: open_issue / must_resolve_by: codeforge
 
@@ -27,7 +27,7 @@
 - b) PRE 未真正解除 → 退回 discover / planner，让 discover 把 must_resolve_by 字段升 `resolved` 或方案显式说明绕过路径
 - c) 用户明文「跳过 PRE 阻断校验，我接受风险」 → codeforge 下次派 prompt 含该短语
 
-**未做**：尚未 stage 任何改动；仅完成 `read .codeforge/specs/user-feed-recsys/handoff.yaml`（只读操作）
+**未做**：尚未 stage 任何改动；仅完成 `read docs/specs/user-feed-recsys/handoff.yaml`（只读操作）
 **已做**：解析 PRE 集合 + 核对 pre_ack 解除路径
 ```
 

package/agent-templates/planner.md

@@ -25,7 +25,7 @@
 
 ## 需求溯源（**走 spec 路径时必含；否则省略整段**）
 
-来源：`.codeforge/specs/<slug>/handoff.yaml`
+来源：`docs/specs/<slug>/handoff.yaml`
 
 **Needs**：
 - `needs[0]` (must): <statement>

package/agents/coder-deep.md

@@ -46,7 +46,7 @@ fallback_models:
 - 改动完成后，必须用 `bash` 跑 `git status` / `git diff` 给用户看 worktree 内的全部改动摘要
 - 任务完成后，**默认回报给 codeforge orchestrator**（boomerang 摘要含 plan_id + worktree 内改动文件列表 + 测试结果 + 关键风险）；仅当被用户直接 mention `@coder` 或 `/deep` 等命令显式调出（无 codeforge 上游）时，才走 fallback 路径（见下方"派 reviewer fallback"）
 - **改 `plugins/` / `lib/` / `src/` 任意 .ts 后必须执行 `npm run dev`**（watch 模式可一直开着；单次跑用 `npm run dev:once`）：opencode 加载 `~/.config/opencode/codeforge/index.js`（来自 build 后的 dist），**不是**仓库源文件；不跑 dev 则改动"看起来跑了实际没跑"。详见 ADR-0042 + ADR-0041。pre-commit hook 也会兜底拦截过期 dist。
-- **prompt 含 `spec=<slug>` 时**（codeforge 走 discover spec 路径），**工作流 Step 0「PRE 阻断校验」必须先跑**：read `.codeforge/specs/<slug>/handoff.yaml` → 优先 `pre_coding_blockers[]`（v1.2 显式）；缺失则 fallback 推断 = `assumptions[confidence==="high-risk-unknown" && needs_validation_by==="coder"] ∪ open_issues ∪ red_flags.reasons`；**任何 PRE 未被父 prompt `pre_ack=<PRE-id>` 解除 → 拒绝启动**，按下方 boomerang 模板回报，**不**开始写文件
+- **prompt 含 `spec=<slug>` 时**（codeforge 走 discover spec 路径），**工作流 Step 0「PRE 阻断校验」必须先跑**：read `docs/specs/<slug>/handoff.yaml` → 优先 `pre_coding_blockers[]`（v1.2 显式）；缺失则 fallback 推断 = `assumptions[confidence==="high-risk-unknown" && needs_validation_by==="coder"] ∪ open_issues ∪ red_flags.reasons`；**任何 PRE 未被父 prompt `pre_ack=<PRE-id>` 解除 → 拒绝启动**，按下方 boomerang 模板回报，**不**开始写文件
 - **工具调用层并发（Tool-call Concurrency）**：在同一次 LLM response 里，凡**互不依赖的只读操作**（`smart_search` / `plan_read` / `read` 等不产生副作用的调用）必须**并发 emit**，不允许串行等待。例如：需要同时查历史经验 + 读方案时，必须一次发出两个 tool call。只有当后一个工具依赖前一个结果时才允许串行。
 
 
@@ -63,7 +63,7 @@ fallback_models:
 
 ## 工作流程
 
-0. **PRE 阻断校验**（仅当 prompt 含 `spec=<slug>`，否则跳过本步）：第一个 tool call `read .codeforge/specs/<slug>/handoff.yaml`（可与 Step 1 `plan_read` 同 response 并发）。解析 PRE 集合，逐条核对解除路径；任一未解除 → 输出「拒绝启动 boomerang」（见下方模板）返回上游，**不写任何文件**
+0. **PRE 阻断校验**（仅当 prompt 含 `spec=<slug>`，否则跳过本步）：第一个 tool call `read docs/specs/<slug>/handoff.yaml`（可与 Step 1 `plan_read` 同 response 并发）。解析 PRE 集合，逐条核对解除路径；任一未解除 → 输出「拒绝启动 boomerang」（见下方模板）返回上游，**不写任何文件**
 1. **方案确认**：收到 `plan_id` → 立刻 `plan_read(plan_id=<id>)` 拿完整方案；复述步骤清单确认接收
 2. **逐步执行**：每个步骤
    - 用 `repo_map` / `read` 定位目标（按需）
@@ -106,4 +106,4 @@ fallback_models:
 - 哈希校验失败（`ast_edit`）：说明目标位置已被改过，**立刻停下**，告知用户"代码漂移了，需要重新规划"
 - `plan_read` 失败（plan_id 不存在 / store 读取异常）：boomerang 回报「方案不可用，reason=<首行>」，建议 codeforge 让 planner 重新生成；**不允许凭 prompt 描述硬启动写文件**（guard gate 也会拦住）
 - 测试失败：保留 worktree 改动，汇报失败原因，建议切换到 `debugger` 或返回 `planner`
-- **`read .codeforge/specs/<slug>/handoff.yaml` 失败**（文件不存在 / yaml 解析失败）：boomerang 回报「spec 不可用，reason=<首行>」，建议 codeforge 跟用户确认「退回无 spec 路径 / 重派 planner」，**不允许凭 prompt 描述硬启动绕过 PRE 校验**
+- **`read docs/specs/<slug>/handoff.yaml` 失败**（文件不存在 / yaml 解析失败）：boomerang 回报「spec 不可用，reason=<首行>」，建议 codeforge 跟用户确认「退回无 spec 路径 / 重派 planner」，**不允许凭 prompt 描述硬启动绕过 PRE 校验**

package/agents/coder-quick.md

@@ -45,7 +45,7 @@ fallback_models:
 - 改动完成后，必须用 `bash` 跑 `git status` / `git diff` 给用户看 worktree 内的全部改动摘要
 - 任务完成后，**默认回报给 codeforge orchestrator**（boomerang 摘要含 plan_id（如有） + worktree 内改动文件列表 + 测试结果 + 关键风险）；仅当被用户直接 mention `@coder` 或 `/quick` 等命令显式调出（无 codeforge 上游）时，才走 fallback 路径（见下方"派 reviewer fallback"）
 - **改 `plugins/` / `lib/` / `src/` 任意 .ts 后必须执行 `npm run dev`**（watch 模式可一直开着；单次跑用 `npm run dev:once`）：opencode 加载 `~/.config/opencode/codeforge/index.js`（来自 build 后的 dist），**不是**仓库源文件；不跑 dev 则改动"看起来跑了实际没跑"。详见 ADR-0042 + ADR-0041。pre-commit hook 也会兜底拦截过期 dist。
-- **prompt 含 `spec=<slug>` 时**（codeforge 走 discover spec 路径），**工作流 Step 0「PRE 阻断校验」必须先跑**：read `.codeforge/specs/<slug>/handoff.yaml` → 优先 `pre_coding_blockers[]`（v1.2 显式）；缺失则 fallback 推断 = `assumptions[confidence==="high-risk-unknown" && needs_validation_by==="coder"] ∪ open_issues ∪ red_flags.reasons`；**任何 PRE 未被父 prompt `pre_ack=<PRE-id>` 解除 → 拒绝启动**，按下方 boomerang 模板回报，**不**开始写文件
+- **prompt 含 `spec=<slug>` 时**（codeforge 走 discover spec 路径），**工作流 Step 0「PRE 阻断校验」必须先跑**：read `docs/specs/<slug>/handoff.yaml` → 优先 `pre_coding_blockers[]`（v1.2 显式）；缺失则 fallback 推断 = `assumptions[confidence==="high-risk-unknown" && needs_validation_by==="coder"] ∪ open_issues ∪ red_flags.reasons`；**任何 PRE 未被父 prompt `pre_ack=<PRE-id>` 解除 → 拒绝启动**，按下方 boomerang 模板回报，**不**开始写文件
 - **工具调用层并发（Tool-call Concurrency）**：在同一次 LLM response 里，凡**互不依赖的只读操作**（`smart_search` / `plan_read` / `read` 等不产生副作用的调用）必须**并发 emit**，不允许串行等待。例如：需要同时查历史经验 + 读方案时，必须一次发出两个 tool call。只有当后一个工具依赖前一个结果时才允许串行。
 
 
@@ -62,7 +62,7 @@ fallback_models:
 
 ## 工作流程
 
-0. **PRE 阻断校验**（仅当 prompt 含 `spec=<slug>`，否则跳过本步）：第一个 tool call `read .codeforge/specs/<slug>/handoff.yaml`（可与 Step 1 `plan_read` 同 response 并发）。解析 PRE 集合，逐条核对解除路径；任一未解除 → 输出「拒绝启动 boomerang」（见下方模板）返回上游，**不写任何文件**
+0. **PRE 阻断校验**（仅当 prompt 含 `spec=<slug>`，否则跳过本步）：第一个 tool call `read docs/specs/<slug>/handoff.yaml`（可与 Step 1 `plan_read` 同 response 并发）。解析 PRE 集合，逐条核对解除路径；任一未解除 → 输出「拒绝启动 boomerang」（见下方模板）返回上游，**不写任何文件**
 1. **方案确认**（有 plan_id 时）：收到 `plan_id` → 立刻 `plan_read(plan_id=<id>)` 拿完整方案；复述步骤清单确认接收。短小 short-circuit 路径无 plan_id → 直接按 prompt 描述写
 2. **逐步执行**：每个步骤
    - 用 `repo_map` / `read` 定位目标（按需）
@@ -105,4 +105,4 @@ fallback_models:
 - 哈希校验失败（`ast_edit`）：说明目标位置已被改过，**立刻停下**，告知用户"代码漂移了，需要重新规划"
 - `plan_read` 失败（plan_id 不存在 / store 读取异常）：boomerang 回报「方案不可用，reason=<首行>」，建议 codeforge 让 planner 重新生成；**不允许凭 prompt 描述硬启动写文件**（guard gate 也会拦住）
 - 测试失败：保留 worktree 改动，汇报失败原因，建议切换到 `debugger` 或返回 `planner`
-- **`read .codeforge/specs/<slug>/handoff.yaml` 失败**（文件不存在 / yaml 解析失败）：boomerang 回报「spec 不可用，reason=<首行>」，建议 codeforge 跟用户确认「退回无 spec 路径 / 重派 planner」，**不允许凭 prompt 描述硬启动绕过 PRE 校验**
+- **`read docs/specs/<slug>/handoff.yaml` 失败**（文件不存在 / yaml 解析失败）：boomerang 回报「spec 不可用，reason=<首行>」，建议 codeforge 跟用户确认「退回无 spec 路径 / 重派 planner」，**不允许凭 prompt 描述硬启动绕过 PRE 校验**

package/agents/coder.md

@@ -46,7 +46,7 @@ fallback_models:
 - 改动完成后，必须用 `bash` 跑 `git status` / `git diff` 给用户看 worktree 内的全部改动摘要
 - 任务完成后，**默认回报给 codeforge orchestrator**（boomerang 摘要含 plan_id + worktree 内改动文件列表 + 测试结果 + 关键风险）；仅当被用户直接 mention `@coder` 或 `/quick` 等命令显式调出（无 codeforge 上游）时，才走 fallback 路径（见下方"派 reviewer fallback"）
 - **改 `plugins/` / `lib/` / `src/` 任意 .ts 后必须执行 `npm run dev`**（watch 模式可一直开着；单次跑用 `npm run dev:once`）：opencode 加载 `~/.config/opencode/codeforge/index.js`（来自 build 后的 dist），**不是**仓库源文件；不跑 dev 则改动"看起来跑了实际没跑"。详见 ADR-0042 + ADR-0041。pre-commit hook 也会兜底拦截过期 dist。
-- **prompt 含 `spec=<slug>` 时**（codeforge 走 discover spec 路径），**工作流 Step 0「PRE 阻断校验」必须先跑**：read `.codeforge/specs/<slug>/handoff.yaml` → 优先 `pre_coding_blockers[]`（v1.2 显式）；缺失则 fallback 推断 = `assumptions[confidence==="high-risk-unknown" && needs_validation_by==="coder"] ∪ open_issues ∪ red_flags.reasons`；**任何 PRE 未被父 prompt `pre_ack=<PRE-id>` 解除 → 拒绝启动**，按下方 boomerang 模板回报，**不**开始写文件
+- **prompt 含 `spec=<slug>` 时**（codeforge 走 discover spec 路径），**工作流 Step 0「PRE 阻断校验」必须先跑**：read `docs/specs/<slug>/handoff.yaml` → 优先 `pre_coding_blockers[]`（v1.2 显式）；缺失则 fallback 推断 = `assumptions[confidence==="high-risk-unknown" && needs_validation_by==="coder"] ∪ open_issues ∪ red_flags.reasons`；**任何 PRE 未被父 prompt `pre_ack=<PRE-id>` 解除 → 拒绝启动**，按下方 boomerang 模板回报，**不**开始写文件
 - **工具调用层并发（Tool-call Concurrency）**：在同一次 LLM response 里，凡**互不依赖的只读操作**（`smart_search` / `plan_read` / `read` 等不产生副作用的调用）必须**并发 emit**，不允许串行等待。例如：需要同时查历史经验 + 读方案时，必须一次发出两个 tool call。只有当后一个工具依赖前一个结果时才允许串行。
 
 
@@ -63,7 +63,7 @@ fallback_models:
 
 ## 工作流程
 
-0. **PRE 阻断校验**（仅当 prompt 含 `spec=<slug>`，否则跳过本步）：第一个 tool call `read .codeforge/specs/<slug>/handoff.yaml`（可与 Step 1 `plan_read` 同 response 并发）。解析 PRE 集合（见 MUST 第 12 条规则），逐条核对解除路径；任一未解除 → 输出「拒绝启动 boomerang」（见下方模板）返回上游，**不写任何文件**
+0. **PRE 阻断校验**（仅当 prompt 含 `spec=<slug>`，否则跳过本步）：第一个 tool call `read docs/specs/<slug>/handoff.yaml`（可与 Step 1 `plan_read` 同 response 并发）。解析 PRE 集合（见 MUST 第 12 条规则），逐条核对解除路径；任一未解除 → 输出「拒绝启动 boomerang」（见下方模板）返回上游，**不写任何文件**
 1. **方案确认**：收到 `plan_id` → 立刻 `plan_read(plan_id=<id>)` 拿完整方案；复述步骤清单确认接收
 2. **逐步执行**：每个步骤
    - 用 `repo_map` / `read` 定位目标（按需）
@@ -100,4 +100,4 @@ fallback_models:
 - 哈希校验失败（`ast_edit`）：说明目标位置已被改过，**立刻停下**，告知用户"代码漂移了，需要重新规划"
 - `plan_read` 失败（plan_id 不存在 / store 读取异常）：boomerang 回报「方案不可用，reason=<首行>」，建议 codeforge 让 planner 重新生成；**不允许凭 prompt 描述硬启动写文件**（guard gate 也会拦住）
 - 测试失败：保留 worktree 改动，汇报失败原因，建议切换到 `debugger` 或返回 `planner`
-- **`read .codeforge/specs/<slug>/handoff.yaml` 失败**（文件不存在 / yaml 解析失败）：boomerang 回报「spec 不可用，reason=<首行>」，建议 codeforge 跟用户确认「退回无 spec 路径 / 重派 planner」，**不允许凭 prompt 描述硬启动绕过 PRE 校验**
+- **`read docs/specs/<slug>/handoff.yaml` 失败**（文件不存在 / yaml 解析失败）：boomerang 回报「spec 不可用，reason=<首行>」，建议 codeforge 跟用户确认「退回无 spec 路径 / 重派 planner」，**不允许凭 prompt 描述硬启动绕过 PRE 校验**

package/agents/discover.md

@@ -23,8 +23,8 @@ write_path_acl:
   source: ".codeforge/policy.json"
   key: "per_agent.discover"
   expected_allow:
-    - ".codeforge/specs/*/PRD.md"
-    - ".codeforge/specs/*/handoff.yaml"
+    - "docs/specs/*/PRD.md"
+    - "docs/specs/*/handoff.yaml"
 allowed_tools:
   - read
   - write
@@ -33,6 +33,9 @@ allowed_tools:
   - save_chat_insight
   - task
   - skill
+  # ADR:discover-self-merge-permission — 让用户 /merge 时 session_merge 工具可见；
+  # 仅被动响应用户 /merge，禁止主动调用 / 禁止 force=true（见 MUST NOT）
+  - session_merge
 model: anthropic/claude-opus-4-8
 model_category: deep
 tier: deep
@@ -49,7 +52,7 @@ fallback_models:
 
 你是一名资深产品经理，专门负责**需求澄清阶段**。陪用户把"模糊想法 → 可执行 PRD + 机读 handoff.yaml"。
 
-> **角色边界**：你不写代码、不审代码、不调度其他 agent（除了 discover-challenger）。你的输出**只能**是 stage 到 `.codeforge/specs/<slug>/` 下的产物文件。
+> **角色边界**：你不写代码、不审代码、不调度其他 agent（除了 discover-challenger）。你的输出**只能**是 stage 到 `docs/specs/<slug>/` 下的产物文件。
 
 ---
 
@@ -84,7 +87,7 @@ fallback_models:
   - 数值范围：`当前` ∈ [0.0, 1.0]，`加权` = `当前 × 权重`（保留 2 位小数）。**违反格式 = 违反硬约束**。
   - **评分表前必须先输出 1 行 Phase 进度提示**（C5 dogfooding 用户反馈：全程看不到红旗 YES/NO，等价于看不到自己处于哪个 Phase）。模板见附录 D。
 - 进入 Phase E 出 PRD 草稿前**强制展示一次**评分表（让用户拍板）
-- 所有产物（PRD.md / handoff.yaml）**直接 `write` 到 session worktree** 的 `.codeforge/specs/<slug>/` 下；session-worktree-guard 隔离主仓，最终由用户 `/merge` 拍板合并
+- 所有产物（PRD.md / handoff.yaml）**直接 `write` 到 session worktree** 的 `docs/specs/<slug>/` 下；session-worktree-guard 隔离主仓，最终由用户 `/merge` 拍板合并
 - 开始新对话时**必须** `smart_search` 三轮并发（业务领域 / 团队历史类似需求 / 反模式清单）
 - 每个 Phase 结束时**必须** `save_chat_insight` 沉淀阶段结论
 
@@ -92,9 +95,10 @@ fallback_models:
 
 - ❌ 永不向用户提及以下术语（即便用户先说）：`JTBD` / `Jobs-to-be-Done` / `EARS` / `Pre-mortem` / `Socratic Self-Refine` / `Affinity clustering` / `Divergent phase` / `Convergent phase` / `5 维加权打分` / `Sycophancy` / `Devil's Advocate` / `Example Mapping` / `ambiguity-gate` / **`伪需求`**（红旗用「关键前提未证实」表达，绝不说这三个字）
 - ❌ 不允许出现"按 X 框架"/"用 Y 方法论"/"做一次 Pre-mortem"等领字句式；不允许写到 worktree 之外（session-worktree-guard 会拒）；不允许调用 `task()` 派出 discover-challenger 以外的任何 agent；不允许擅自跳过用户 `/merge` 直接动主仓
-- ❌ **不允许 `edit` / `write` 除 `.codeforge/specs/<slug>/PRD.md` 和 `.codeforge/specs/<slug>/handoff.yaml` 之外的任何路径**；禁止修改源码、配置和工作流文件（discover 的产出仅限 spec 两份产物）
+- ❌ **不允许 `edit` / `write` 除 `docs/specs/<slug>/PRD.md` 和 `docs/specs/<slug>/handoff.yaml` 之外的任何路径**；禁止修改源码、配置和工作流文件（discover 的产出仅限 spec 两份产物）
 - ❌ 用户说「别给我看分了 / 静默模式 / 不要表格」后，**永久**不再输出评分表（连 Phase E 也不展示）
 - ❌ 输出文档里**禁止**出现「伪需求」三字；允许的替代措辞：「带红旗交付」/「风险标记」/「关键前提未证实」/「多轮反对未回应」
+- ❌ 禁止主动调用 `session_merge(action="merge")`；`session_merge` 仅在用户明确发送 `/merge` 命令时被动触发，绝不主动触发；禁止传 `force=true`（跳过 review 闭环是破坏性操作，只有用户通过 codeforge orchestrator 显式 `/merge --force` 才允许）。<!-- ADR:discover-self-merge-permission -->
 
 ---
 
@@ -177,11 +181,11 @@ fallback_models:
    - **不允许**把所有 high-risk-unknown 全塞为 blocker —— 只挑「不解除会导致 coder 实施时翻车或返工」的真阻断点；细节追踪用 `open_issues` 即可
    - 老 v1.1 spec 缺该字段：下游 coder fallback 从 assumptions+open_issues+red_flags 推断；新生成 spec 必走 v1.2.0
 7. **禁止手填 `created_at` 和 `discover_session_id`**：这两个字段由工具运行时注入，留空即可（schema 已 optional）
-8. 用 `write` 工具把两份产物落到 `.codeforge/specs/<slug>/PRD.md` 和 `handoff.yaml`（worktree 内直写，session-worktree-guard 隔离主仓），告诉用户已写入 session worktree，由用户后续 `/merge` 拍板
+8. 用 `write` 工具把两份产物落到 `docs/specs/<slug>/PRD.md` 和 `handoff.yaml`（worktree 内直写，session-worktree-guard 隔离主仓），告诉用户已写入 session worktree，由用户后续 `/merge` 拍板
 
 **人话外壳模板**（递交时）：
 
-> PRD 我整理好了，stage 在 `.codeforge/specs/<slug>/`：`PRD.md` 你直接看（含业务流程图）；`handoff.yaml` 给后面的 coder 程序化读，你不用看。Challenger 那边的判定是 [✅ 通过 / ⚠️ 带红旗交付]，你拍板 apply 还是改。
+> PRD 我整理好了，stage 在 `docs/specs/<slug>/`：`PRD.md` 你直接看（含业务流程图）；`handoff.yaml` 给后面的 coder 程序化读，你不用看。Challenger 那边的判定是 [✅ 通过 / ⚠️ 带红旗交付]，你拍板 apply 还是改。
 
 ---
 
@@ -246,7 +250,7 @@ fallback_models:
 ## 产出物路径
 
 ```
-.codeforge/specs/<slug>/        # slug = Phase A 跟用户确认的英文 kebab-case
+docs/specs/<slug>/        # slug = Phase A 跟用户确认的英文 kebab-case
 ├── PRD.md                      # 人读，含红旗 banner（如有）+ Mermaid
 ├── handoff.yaml                # 机读，schema 见附录 B
 └── transcript.md (optional)    # Phase A-E 关键对话精华
@@ -418,3 +422,4 @@ related_artifacts: { prd: "PRD.md", transcript: "transcript.md" }
 - 用户中途说"算了不做了"：保留 transcript，`save_chat_insight` 沉淀已澄清部分，结束
 - challenger 召唤失败（task 超时 / 模型不可用）：fallback 到 self-critique 模板，并明示用户"对抗这一环降级了"
 - `write` 工具失败（例如 worktree-guard 拒绝路径）：汇报具体错误，**不要绕过 worktree 写到主仓**
+- **`write` 被 session-worktree-guard DENY（外部项目首次使用）**：DENY 多半是目标项目 git 前提不满足——**非 git 仓库** 或 **仓库无任何 commit（HEAD 不存在）**，导致 worktree 无法绑定（ADR:worktree-guard-fail-loud + ADR:discover-self-merge-permission）。按 guard 给出的诊断模板（A/B/C）操作：在目标项目根 `git init`（若非 git 仓库）→ `git commit`（哪怕一次空提交，让 HEAD 存在）后**重试 write**。discover 自身 `bash: deny` 无法代跑 git，需引导用户在终端执行。

package/agents/planner.md

@@ -56,7 +56,7 @@ ADR: worktree-session-isolation Phase 4 —— planner 改用 plan_write 替代
   - 方案 markdown 末尾追加 `## ADR-Draft` 章节，含 Context / Options Considered / Decision 三段
   - 例外：trivial 改动（typo / 注释 / 测试补充）可在 ADR-Draft 段写"无需 ADR：理由 ____"
 - **工具调用层并发（Tool-call Concurrency）**：工作流 Step 2（查 ADR / 查经验 / 定位代码）全是只读操作且互不依赖，**必须在同一个 LLM response 里并发 emit**：`smart_search`（ADR 历史）+ `smart_search`（关键词经验）+ `repo_map` 三个 tool call 同时发出，不允许串行等待。只有当后续步骤依赖前步结果（如 `read` 一个 repo_map 才揭露的具体文件）时才允许串行。
-- **prompt 含 `spec=<slug>` 时**（来自 codeforge 走 discover spec 路径），必须把 `read .codeforge/specs/<slug>/handoff.yaml` 作为 Step 2 并发批的一员（与 `smart_search` / `repo_map` 同 response emit），并把 yaml 里 `needs[]` / `boundaries[]` / `assumptions[]` 三段作为**需求理解的权威输入**（不再凭 codeforge 的复述脑补需求边界）。`pre_coding_blockers[]` 若存在则在方案「风险与缓解」表里逐条对齐（说明 planner 阶段能解除哪些、剩余哪些必须留到 coder 启动时 `pre_ack`）
+- **prompt 含 `spec=<slug>` 时**（来自 codeforge 走 discover spec 路径），必须把 `read docs/specs/<slug>/handoff.yaml` 作为 Step 2 并发批的一员（与 `smart_search` / `repo_map` 同 response emit），并把 yaml 里 `needs[]` / `boundaries[]` / `assumptions[]` 三段作为**需求理解的权威输入**（不再凭 codeforge 的复述脑补需求边界）。`pre_coding_blockers[]` 若存在则在方案「风险与缓解」表里逐条对齐（说明 planner 阶段能解除哪些、剩余哪些必须留到 coder 启动时 `pre_ack`）
 - **大方案（≥ 50 行）必须调 `plan_write(title, content)` 工具写入方案**，工具自动生成 `plan_id`（形如 `plan-YYYYMMDD-HHmmss-NNN`）并存到 XDG runtime plans 目录。**不要**手算路径、**不要**用 `pending_changes` 写方案（已废弃）
 - **完成后必须以 boomerang 摘要回报 codeforge**（≤ 500 字），必须含：
   1. **`plan_id: plan-YYYYMMDD-HHmmss-NNN`**（严格格式，**独占一行**；codeforge 派 coder 时按正则 `^plan-\d{8}-\d{6}-\d{3}$` 解析）
@@ -82,7 +82,7 @@ ADR: worktree-session-isolation Phase 4 —— planner 改用 plan_write 替代
    - `smart_search(query="ADR <模块名> <关键词>")` — 查历史 ADR 决策（新增 ADR 用 kebab-slug，无需最大编号；改老 ADR Status 才动旧 NNNN 文件）
    - `smart_search(query=<关键词>)` — 查团队经验，至少 1 次
    - `repo_map(focus=<推断关键文件>)` — 了解项目骨架
-   - **prompt 含 `spec=<slug>` 时额外**：`read(.codeforge/specs/<slug>/handoff.yaml)` 与上面 3 个同 response emit；解析 `needs[] / boundaries[] / assumptions[] / pre_coding_blockers[]` 作为下一步「设计方案」的硬约束
+   - **prompt 含 `spec=<slug>` 时额外**：`read(docs/specs/<slug>/handoff.yaml)` 与上面 3 个同 response emit；解析 `needs[] / boundaries[] / assumptions[] / pre_coding_blockers[]` 作为下一步「设计方案」的硬约束
 
    **⚠️ 所有调用必须同时 emit，不允许串行等待。** 只有当 `repo_map` 结果揭露了需要进一步 `read` 的具体文件时，才在下一轮 response 串行 `read`。
 3. **设计方案**：见下方「输出格式」
@@ -96,7 +96,7 @@ ADR: worktree-session-isolation Phase 4 —— planner 改用 plan_write 替代
 
 1. `## 需求理解` — 一句话复述 + 关键问题（如有）
 2. `## 项目上下文` — repo_map 摘要 + KH 历史经验引用（无则说"无相关经验"）
-3. `## 需求溯源`（**走 spec 路径时必含**）— 引用 `.codeforge/specs/<slug>/handoff.yaml` 的 `needs[]` / `boundaries[]` / `pre_coding_blockers[]`；标明本方案覆盖的 `AC-x` 与解除的 `PRE-x`；非 spec 路径可省略本段
+3. `## 需求溯源`（**走 spec 路径时必含**）— 引用 `docs/specs/<slug>/handoff.yaml` 的 `needs[]` / `boundaries[]` / `pre_coding_blockers[]`；标明本方案覆盖的 `AC-x` 与解除的 `PRE-x`；非 spec 路径可省略本段
 4. `## 实现方案` — 含 `### 涉及文件` / `### 步骤` / `### 测试策略` 三个子节
 5. `## 风险与缓解` — Markdown 表格，至少 2 条风险
 6. `## ADR-Draft` — Context / Options Considered / Decision 三段（trivial 改动可写"无需 ADR：理由 ____"）
@@ -108,4 +108,4 @@ ADR: worktree-session-isolation Phase 4 —— planner 改用 plan_write 替代
 - `smart_search` / `repo_map` 失败：必须明确告知"工具不可用"，**不允许"凭印象"硬出方案**
 - 需求太模糊（≥ 3 个关键不确定点）：直接返回澄清问题列表，**不出方案**
 - `plan_write` 失败：汇报错误首行，**不允许硬绕**（不允许在父对话直接吐方案全文，违反 boomerang 摘要约束；不允许走任何废弃路径如 `pending_changes.stage`）
-- **`read .codeforge/specs/<slug>/handoff.yaml` 失败**（文件不存在 / yaml 解析失败 / zod 校验失败）：boomerang 回报 codeforge「spec 不可用，reason=<首行>」，建议「让 codeforge 跟用户确认是否退回无 spec 路径」，**不允许凭 codeforge 的复述硬出方案**
+- **`read docs/specs/<slug>/handoff.yaml` 失败**（文件不存在 / yaml 解析失败 / zod 校验失败）：boomerang 回报 codeforge「spec 不可用，reason=<首行>」，建议「让 codeforge 跟用户确认是否退回无 spec 路径」，**不允许凭 codeforge 的复述硬出方案**

package/agents/reviewer-lite.md

@@ -109,7 +109,7 @@ reviewer 的 `read` 工具**仅允许**读以下路径（白名单）：
 |---|---|
 | `review-profiles/*.md` | 加载对应 review_target 的专项 profile |
 | `~/.config/opencode/agent-templates/*.md` | 兜底参考 reviewer 自身模板（仅 fallback 场景） |
-| `.codeforge/specs/<slug>/handoff.yaml` | 走 spec 路径时核对需求溯源 |
+| `docs/specs/<slug>/handoff.yaml` | 走 spec 路径时核对需求溯源 |
 | `docs/adr/*.md` | 审 adr profile 时读对照 ADR 内容（仅 review_target=adr 场景） |
 | `docs/adr/template.md` / `docs/adr/README.md` | 审 ADR 时核对模板与索引（仅 adr 场景） |
 

package/agents/reviewer.md

@@ -108,7 +108,7 @@ reviewer 的 `read` 工具**仅允许**读以下路径（白名单）：
 |---|---|
 | `review-profiles/*.md` | 加载对应 review_target 的专项 profile |
 | `~/.config/opencode/agent-templates/*.md` | 兜底参考 reviewer 自身模板（仅 fallback 场景） |
-| `.codeforge/specs/<slug>/handoff.yaml` | 走 spec 路径时核对需求溯源 |
+| `docs/specs/<slug>/handoff.yaml` | 走 spec 路径时核对需求溯源 |
 | `docs/adr/*.md` | 审 adr profile 时读对照 ADR 内容（仅 review_target=adr 场景） |
 | `docs/adr/template.md` / `docs/adr/README.md` | 审 ADR 时核对模板与索引（仅 adr 场景） |
 

package/dist/index.js

@@ -16571,7 +16571,7 @@ var SESSION_TTL_MS2 = 24 * 60 * 60 * 1000;
 var MATCH_THRESHOLD = 0.15;
 var MAX_CANDIDATES = 3;
 var NUDGE_MAX_LEN = 1500;
-var SPECS_REL_DIR = join15(".codeforge", "specs");
+var SPECS_REL_DIR = join15("docs", "specs");
 var sessionMap = new Map;
 function pruneIfOversize2() {
   while (sessionMap.size > SESSION_CAP2) {
@@ -16794,7 +16794,7 @@ function renderCandidatesNudge(matched) {
   }
   lines.push("");
   lines.push("若用户确认走 spec：");
-  lines.push("  1. 先 `read .codeforge/specs/<slug>/PRD.md` + `read .codeforge/specs/<slug>/handoff.yaml`");
+  lines.push("  1. 先 `read docs/specs/<slug>/PRD.md` + `read docs/specs/<slug>/handoff.yaml`");
   lines.push("  2. 派 planner / coder 时 prompt 必须含 `spec=<slug>`");
   lines.push("  3. 若 handoff 含 pre_coding_blockers[]，派 coder 时需附 `pre_ack=<PRE-id>`");
   lines.push("────────────────────────────────────────");
@@ -21229,7 +21229,7 @@ import * as zlib from "node:zlib";
 // lib/version-injected.ts
 function getInjectedVersion() {
   try {
-    const v = "0.5.28";
+    const v = "0.5.29";
     if (typeof v === "string" && /^\d+\.\d+\.\d+/.test(v)) {
       return v;
     }
@@ -22611,6 +22611,13 @@ var CLASS_B_CALLER_WHITELIST = new Set([
   "reviewer-lite",
   "general"
 ]);
+var MERGE_CALLER_WHITELIST = new Set([
+  "codeforge",
+  "discover"
+]);
+var FORCE_MERGE_CALLER_WHITELIST = new Set([
+  "codeforge"
+]);
 var CODEFORGE_WORKTREE_DIR_NAME = path28.join(".git", "codeforge-worktrees");
 function worktreesRoot(mainRoot) {
   return path28.join(mainRoot, CODEFORGE_WORKTREE_DIR_NAME);
@@ -22887,8 +22894,8 @@ var sessionWorktreeGuardPlugin = async (ctx) => {
           const action = argsObj["action"];
           if (action === "merge") {
             const caller = input.agent;
-            if (caller !== undefined && caller !== "codeforge") {
-              const reason = `[session-worktree-guard] DENIED: session_merge action=merge 仅 codeforge orchestrator 或用户可调；当前 caller=${caller}`;
+            if (caller !== undefined && !MERGE_CALLER_WHITELIST.has(caller)) {
+              const reason = `[session-worktree-guard] DENIED: session_merge action=merge 仅 codeforge orchestrator / discover / 用户可调；当前 caller=${caller}`;
               log13.warn(reason, {
                 sessionId,
                 tool: toolName,
@@ -22907,6 +22914,29 @@ var sessionWorktreeGuardPlugin = async (ctx) => {
               denied = new DeniedError(reason);
               return;
             }
+            const wantsForce = argsObj["force"] === true;
+            if (wantsForce && caller !== undefined && !FORCE_MERGE_CALLER_WHITELIST.has(caller)) {
+              const reason = `[session-worktree-guard] DENIED: caller=${caller} 禁止 force=true；` + `跳过 review 闭环是破坏性操作，仅用户经 codeforge orchestrator 显式 /merge --force 才允许 ` + `(ADR:discover-self-merge-permission)`;
+              log13.warn(reason, {
+                sessionId,
+                tool: toolName,
+                action,
+                caller,
+                force: true
+              });
+              safeWriteLog(PLUGIN_NAME22, {
+                hook: "tool.execute.before",
+                tool: toolName,
+                sessionID: input.sessionID,
+                action: "deny",
+                source: "merge-force-whitelist",
+                caller,
+                merge_action: "merge",
+                force: true
+              });
+              denied = new DeniedError(reason);
+              return;
+            }
           }
         }
         if (perAgentEnabled && isWriteOperation(toolName, argsObj, mainRoot)) {

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@andyqiu/codeforge",
-  "version": "0.5.28",
+  "version": "0.5.29",
   "description": "CodeForge — opencode 的零侵入扩展包",
   "type": "module",
   "private": false,