@cocorograph/hub-agent 0.6.43 → 0.6.44

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@cocorograph/hub-agent",
-  "version": "0.6.43",
+  "version": "0.6.44",
   "description": "Hub Hosted Cockpit のローカル常駐 agent。Hub と outbound WSS で接続し、ローカルの tmux/pty を中継する。",
   "type": "module",
   "license": "UNLICENSED",

package/src/main.mjs

@@ -50,6 +50,7 @@ import {
   removeWorktree as removeWorktreeDir,
 } from "./tmux.mjs"
 import { TuiPermissionBridge } from "./tui-permission-bridge.mjs"
+import { TuiViewerRegistry } from "./tui-viewer-registry.mjs"
 import {
   contextWindowSize,
   getSessionUsages,
@@ -430,12 +431,21 @@ export async function startDaemon({ version, ptyModule, claudeSdk } = {}) {
   await tuiPermissionBridge.start()
   ctx.tuiPermissionBridge = tuiPermissionBridge
 
+  // TUI 閲覧マーカー registry: browser の claude.tui.viewing ハートビートを受けて
+  // 「閲覧中の session」をローカルのマーカーファイルとして保持する。承認フックは
+  // その鮮度を見て「閲覧者がいる session だけブリッジ、いなければ即 ask」する
+  // (watcher ゲート, WATCHER-GATE.md)。
+  const tuiViewerRegistry = new TuiViewerRegistry({ logger })
+  await tuiViewerRegistry.start()
+  ctx.tuiViewerRegistry = tuiViewerRegistry
+
   const shutdown = async (signal) => {
     logger.info({ signal }, "shutting down")
     await runHookBroadcast(plugins, "onAgentStop", ctx)
     stateLoop.stop()
     sessionEventLoop?.stop?.()
     tuiPermissionBridge.stop()
+    tuiViewerRegistry.stop()
     ptyBridge.shutdown()
     claudeBridge?.shutdown?.()
     client.stop()
@@ -1016,6 +1026,19 @@ async function dispatch(msg, ctx) {
         if (!ctx.claudeBridge) return
         ctx.claudeBridge.interrupt({ stream_id: msg.stream_id })
         return
+      case "claude.tui.viewing":
+        // T04778 watcher ゲート: browser が TUI チャットでこの session を閲覧中。
+        // 閲覧マーカーを更新し、承認フックが「閲覧者あり」と判定できるようにする。
+        ctx.tuiViewerRegistry
+          ?.note({ session_id: msg.session_id, cwd: msg.cwd })
+          .catch(() => {})
+        return
+      case "claude.tui.unviewing":
+        // 閲覧終了。session_id マーカーを即失効させ、以降の Bash を即 ask に倒す。
+        ctx.tuiViewerRegistry
+          ?.unview({ session_id: msg.session_id })
+          .catch(() => {})
+        return
       case "claude.mcp.status":
       case "claude.mcp.reconnect":
       case "claude.mcp.authenticate":

package/src/tui-viewer-registry.mjs

@@ -0,0 +1,185 @@
+/**
+ * TUI 閲覧マーカー registry (T04778 watcher ゲート)。
+ *
+ * Cockpit の TUI チャットでブラウザが「ある session を閲覧中」であることを、
+ * ローカルのマーカーファイルとして保持する。対話 TUI (tmux/PTY) で動く claude の
+ * PreToolUse 承認フック (bridge_permission.py) は、ツール実行前にこのマーカーの
+ * 鮮度を読み、「閲覧者がいる session だけ承認を Cockpit へブリッジ、いなければ
+ * 即 ask 縮退」する。これにより、承認フックを全ユーザーの settings.json に常設
+ * しても、非閲覧の対話セッション (リーダー / cockpit-orch サブ / ターミナルモード)
+ * の Bash がブリッジ応答 TTL ぶんハングする地雷を回避する。
+ *
+ * ブラウザは閲覧中 `claude.tui.viewing {session_id, cwd}` を周期送信し、main.mjs が
+ * note() を呼んでマーカーを更新する。アンマウント時は `claude.tui.unviewing` で
+ * unview() を呼び、sid マーカーを即失効させる。鮮度切れは sweep で掃除する。
+ *
+ * ファイル IPC / atomic write (tmp+rename) / 全エラー握りつぶしは
+ * tui-permission-bridge.mjs の前例に揃える。
+ *
+ * 契約: D00000_hub.cocorograph.com:tools/cockpit-tui-chat/WATCHER-GATE.md
+ */
+
+import { createHash } from "node:crypto"
+import { mkdir, writeFile, rename, unlink, readdir, readFile } from "node:fs/promises"
+import path from "node:path"
+
+export const VIEWERS_DIR =
+  process.env.COCKPIT_VIEWERS_DIR || "/tmp/cockpit_tui_viewers"
+
+/** マーカー鮮度 (秒)。ブラウザのハートビート間隔 (5s) の 3 倍を既定とする。 */
+const VIEWER_TTL_SEC = Number(process.env.COCKPIT_VIEWER_TTL_SEC) || 15
+
+/** 失効マーカーを掃除する周期 (ms)。判定はフック側が expires_at で行うので衛生のみ。 */
+const SWEEP_INTERVAL_MS = 30 * 1000
+
+/**
+ * session_id をフック側 (`bridge_permission.py`) と同一規則でファイル名へ正規化する。
+ * Python 側は ``c.isalnum() or c in "-_"`` を残す。UUID は ASCII 英数 + ハイフンなので
+ * 実質 no-op だが、両者が一致しないとマーカーを引けないため厳密に揃える。
+ *
+ * @param {string} sessionId
+ * @returns {string}
+ */
+function sanitizeSessionId(sessionId) {
+  return String(sessionId).replace(/[^A-Za-z0-9_-]/g, "")
+}
+
+/**
+ * cwd をフック側と同一規則でハッシュする (sha1 hex 先頭 16 文字)。
+ *
+ * @param {string} cwd
+ * @returns {string}
+ */
+function hashCwd(cwd) {
+  return createHash("sha1").update(String(cwd), "utf8").digest("hex").slice(0, 16)
+}
+
+/**
+ * TUI 閲覧マーカーをローカル FS に保持する registry。
+ */
+export class TuiViewerRegistry {
+  /**
+   * @param {{dir?: string, ttlSec?: number, logger?: object}} [opts]
+   */
+  constructor({ dir = VIEWERS_DIR, ttlSec = VIEWER_TTL_SEC, logger } = {}) {
+    this.dir = dir
+    this.ttlSec = ttlSec
+    this.logger = logger
+    this._sweepTimer = null
+  }
+
+  /** ディレクトリを作成し、起動時の残骸を掃除して周期 sweep を張る。 */
+  async start() {
+    try {
+      await mkdir(this.dir, { recursive: true })
+    } catch (err) {
+      this.logger?.warn({ err: err?.message }, "tui viewer registry: mkdir failed")
+    }
+    await this._sweep()
+    this._sweepTimer = setInterval(() => {
+      this._sweep().catch(() => {})
+    }, SWEEP_INTERVAL_MS)
+    // 他の timer 同様 unref して agent のアイドル終了を妨げない。
+    this._sweepTimer?.unref?.()
+  }
+
+  /**
+   * 閲覧ハートビートを受けてマーカーを更新する。session_id マーカー (厳密) と
+   * cwd マーカー (フォールバック) の両方を ``expires_at = now + ttl`` で atomic 更新する。
+   *
+   * @param {{session_id?: string|null, cwd?: string|null}} info
+   * @returns {Promise<void>}
+   */
+  async note({ session_id, cwd } = {}) {
+    // expires_at は epoch **秒** (フック側 time.time() と比較するため)。
+    const expiresAt = Date.now() / 1000 + this.ttlSec
+    const updatedAt = Date.now() / 1000
+    const body = JSON.stringify({
+      session_id: session_id ?? null,
+      cwd: cwd ?? null,
+      expires_at: expiresAt,
+      updated_at: updatedAt,
+    })
+    const targets = []
+    if (session_id) {
+      const safe = sanitizeSessionId(session_id)
+      if (safe) targets.push(path.join(this.dir, `sid-${safe}.json`))
+    }
+    if (cwd) targets.push(path.join(this.dir, `cwd-${hashCwd(cwd)}.json`))
+    for (const fp of targets) {
+      await this._atomicWrite(fp, body)
+    }
+  }
+
+  /**
+   * 閲覧終了を受けて session_id マーカーを即削除する。cwd マーカーは同 cwd を
+   * 他のブラウザが閲覧している可能性があるため即削除せず、TTL 失効に委ねる。
+   *
+   * @param {{session_id?: string|null}} info
+   * @returns {Promise<void>}
+   */
+  async unview({ session_id } = {}) {
+    if (!session_id) return
+    const safe = sanitizeSessionId(session_id)
+    if (!safe) return
+    try {
+      await unlink(path.join(this.dir, `sid-${safe}.json`))
+    } catch {
+      /* 既に無い / 失効済み。 */
+    }
+  }
+
+  /**
+   * atomic write (tmp+rename)。書けなくても agent は落とさない。
+   * @param {string} fp
+   * @param {string} body
+   */
+  async _atomicWrite(fp, body) {
+    const tmp = `${fp}.tmp`
+    try {
+      await writeFile(tmp, body)
+      await rename(tmp, fp)
+    } catch (err) {
+      this.logger?.warn({ err: err?.message, fp }, "viewer marker write failed")
+    }
+  }
+
+  /** expires_at を過ぎたマーカーを unlink する (衛生のみ)。 */
+  async _sweep() {
+    let names = []
+    try {
+      names = await readdir(this.dir)
+    } catch {
+      return
+    }
+    const now = Date.now() / 1000
+    for (const n of names) {
+      if (!n.endsWith(".json")) continue
+      const fp = path.join(this.dir, n)
+      let body
+      try {
+        body = JSON.parse(await readFile(fp, "utf-8"))
+      } catch {
+        continue
+      }
+      const exp = body?.expires_at
+      if (typeof exp === "number" && exp <= now) {
+        try {
+          await unlink(fp)
+        } catch {
+          /* ignore */
+        }
+      }
+    }
+  }
+
+  /** 周期 sweep を停止する。 */
+  stop() {
+    if (this._sweepTimer) {
+      clearInterval(this._sweepTimer)
+      this._sweepTimer = null
+    }
+  }
+}
+
+export default TuiViewerRegistry