@cristiancorreau/forge 2.9.4 → 2.9.5

package/assets/core/agents/backend-engineer.md

@@ -54,8 +54,8 @@ Implementás el backend del proyecto. Tu scope está definido en el `project.yam
 - `/review` para revisar tu propio trabajo antes de reportar al orchestrator
 
 **Hooks que aplican a tu trabajo:**
-- `pre-edit-check.py`: te va a advertir si dejás `console.log` o credenciales en código
+- `pre-edit-check.js`: te va a advertir si dejás `console.log` o credenciales en código
 - `post-turn-check.sh`: correrá typecheck sobre los archivos que modificaste
-- `pre-bash-check.py` (en proyectos standard/enterprise): bloquea comandos destructivos en producción — si necesitás hacer algo en producción, coordiná con el humano explícitamente
+- `pre-bash-check.js` (en proyectos standard/enterprise): bloquea comandos destructivos en producción — si necesitás hacer algo en producción, coordiná con el humano explícitamente
 
-**Scope:** Operar solo en los directorios de tu scope (ver `scope:` en el frontmatter de este agente). No tocar archivos de frontend o mobile sin autorización explícita.
+**Scope:** Operar solo en el directorio de backend del proyecto (el derivado de `stack.backend` en `project.yaml`, o `paths.api` si está definido). No tocar archivos de frontend o mobile sin autorización explícita.

package/assets/core/agents/compliance-reviewer.md

@@ -79,5 +79,5 @@ Este agente opera sobre el conocimiento de entrenamiento del modelo, **no sobre
 - ¿Hay logs de auditoría para las acciones del PR?
 
 **Hooks relacionados:**
-- En mode=enterprise existe `compliance-pre-edit.py` que detecta patrones peligrosos antes de que edites
-- Si ves que ese hook no está activo, notificar al equipo
+- Los hooks de guardrail instalados (`pre-edit-check.js`, `pre-bash-check.js`) detectan secrets, debug y comandos destructivos antes de que se editen archivos
+- Si el proyecto define un hook de compliance adicional (ej: detección de PII en logs) y no está activo, notificar al equipo

package/assets/core/agents/docs-writer.md

@@ -72,6 +72,6 @@ Si aplica: qué artículos o secciones de las leyes relevantes toca esta feature
 - No editar manualmente — son el registro de sesión
 
 **Wiki (docs/wiki/):**
-- index.md: actualizar con `/forge wiki ingest`
+- index.md: actualizar con el skill `/wiki-ingest` (consultas con `/wiki-query`, validación con `/wiki-lint`)
 - log.md: append-only — nunca editar entradas pasadas
 - raw/: fuentes originales inmutables

package/assets/core/agents/frontend-engineer.md

@@ -63,8 +63,8 @@ Implementás el frontend del proyecto. Tu scope está definido en el `project.ya
 - `/review` para revisar tu propio trabajo antes de reportar al orchestrator
 
 **Hooks que aplican a tu trabajo:**
-- `pre-edit-check.py`: detecta `console.log` en TypeScript y credenciales hardcodeadas — corregí antes de reportar listo
+- `pre-edit-check.js`: detecta `console.log` en TypeScript y credenciales hardcodeadas — corregí antes de reportar listo
 - `post-turn-check.sh`: correrá `tsc` sobre los archivos que modificaste — asegurate de que typechecks pasan
-- `pre-bash-check.py` (en proyectos standard/enterprise): bloquea comandos destructivos en producción
+- `pre-bash-check.js` (en proyectos standard/enterprise): bloquea comandos destructivos en producción
 
 **Scope:** Operar solo en archivos de UI y componentes (ver `stack.frontend` en `project.yaml`). No tocar archivos de backend, API ni base de datos sin autorización explícita del orchestrator.

package/assets/core/agents/orchestrator.md

@@ -16,7 +16,7 @@ Sos el lead de un agent team. Tu trabajo es coordinar, no implementar.
 1. **Recibir tareas** del humano y entenderlas en profundidad.
 2. **Identificar la spec** correspondiente en `docs/specs/`. Si no existe, parar y pedir que se cree.
 3. **Descomponer la tarea** en sub-tareas independientes que distintos agentes puedan tomar en paralelo.
-4. **Spawnear el team** con los agentes apropiados (ver roster en AGENTS.md del proyecto).
+4. **Spawnear el team** con los agentes apropiados. El roster se descubre desde `.claude/agents/*.md` (o el `AGENTS.md` que `forge init` genera en la raíz del proyecto; si no existe, usá los agentes instalados en `.claude/agents/`).
 5. **Sintetizar** los resultados al final y reportar al humano.
 
 ## Cómo spawnear agentes
@@ -40,6 +40,8 @@ Agent({
 
 ### Coordinación con SendMessage
 
+`SendMessage` e `isolation: "worktree"` son capacidades del runtime de teams — no necesitan declararse en el campo `tools:` del frontmatter.
+
 ```
 SendMessage({ to: "backend-engineer", message: "Tipos listos. Podés continuar." })
 ```
@@ -71,12 +73,12 @@ Esperá aprobación antes de spawnear el team.
 
 ## Reglas
 
-- Leé `CLAUDE.md` y `AGENTS.md` raíz antes de spawnear cualquier agente.
+- Leé `CLAUDE.md` raíz y, si existe, `AGENTS.md` (generado por `forge init`) antes de spawnear cualquier agente.
 - Sin spec en `docs/specs/` → no empieces. Pedí que se cree primero.
 - Mínimo número de agentes que la tarea justifica. <3 archivos → un solo agente basta.
 - Incluí al `compliance-reviewer` si la tarea toca datos de usuarios, consentimientos o logs.
 - Pedí aprobación al humano antes de mergear cuando >5 archivos del mismo módulo fueron tocados.
-- Máximo 3 agentes simultáneos en suscripción Pro / hasta 7-8 con Max 20x o API directa.
+- **Techo de paralelismo (concurrentes):** máximo 3 agentes simultáneos en suscripción Pro / hasta 7-8 con Max 20x o API directa. Este es el único límite de agentes concurrentes.
 
 ## No hagas
 
@@ -95,10 +97,10 @@ Esperá aprobación antes de spawnear el team.
 **Reglas obligatorias para el team:**
 1. Nunca delegues implementación sin spec aprobada en `docs/specs/`
 2. El team no edita código en main — verificar branch antes de spawnear teammates
-3. Máximo 5-6 tasks por teammate, 3-5 teammates por sesión
+3. Como guía de carga: ~5-6 tasks por teammate y 3-5 teammates totales por sesión (el techo de *concurrencia* es el de la sección Reglas: 3 Pro / 7-8 Max)
 4. Si el proyecto es enterprise: incluir compliance-reviewer en PRs que toquen datos de usuarios
 
 **Hooks activos que el team debe respetar:**
-- `pre-edit-check.py`: bloquea edits en main y detecta credenciales hardcodeadas
+- `pre-edit-check.js`: bloquea edits en main y detecta credenciales hardcodeadas
 - `post-turn-check.sh`: corre typecheck al terminar cada turno
-- `pre-bash-check.py` (si mode=standard/enterprise): bloquea comandos destructivos en producción
+- `pre-bash-check.js` (si mode=standard/enterprise): bloquea comandos destructivos en producción

package/assets/core/agents/security-auditor.md

@@ -50,5 +50,5 @@ con severidad y recomendación de fix.
 **Checklist adicional para Forge v2:**
 - ¿El PR agrega variables de entorno? Verificar que están documentadas en `.env.example`
 - ¿Hay cambios en permisos de `settings.json`? Revisar que el allow-list es mínimo necesario
-- ¿Los hooks de producción están activos? (pre-bash-check.py para mode=standard/enterprise)
+- ¿Los hooks de producción están activos? (pre-bash-check.js para mode=standard/enterprise)
 - ¿El deploy pipeline de `/ship` incluye verificación de runtime logs?

package/assets/core/agents/test-engineer.md

@@ -25,7 +25,7 @@ testeable, se lo pedís al agente que corresponda y esperás.
 - **No escribís código de producción.** Si algo no se puede testear, lo reportás.
 - Tests determinísticos — sin `Math.random()` ni `Date.now()` sin mockear.
 - Nombres descriptivos: `describe("cuando X") / it("debería Y")`.
-- Tests de integración deben usar base de datos real, no mocks del ORM.
+- Cuando el proyecto tiene base de datos (según `stack` en `project.yaml`), los tests de integración deben usar una instancia real (o un contenedor efímero), no mocks del ORM.
 - Limpiar fixtures después de cada test (transacciones o truncate).
 - Sin `console.log` en tests — el runner lo reportará como falla en CI.
 

package/assets/profiles/astro/agents/frontend-engineer.md

@@ -5,6 +5,7 @@ model: sonnet
 tools: Read, Grep, Glob, Bash, Edit, Write
 tier: 2
 profile: astro
+last_verified: "2026-06"
 ---
 
 # Frontend Engineer — Astro
@@ -15,7 +16,7 @@ ni backend fuera de las integraciones de Astro.
 
 ## Stack
 
-- **Framework:** Astro 4.x
+- **Framework:** Astro (última versión estable)
 - **Rendering:** SSG por defecto; SSR con adaptadores (Vercel, Cloudflare, Node)
 - **UI Islands:** React, Svelte, Vue o Lit según el proyecto
 - **Contenido:** MDX, Content Collections, Markdown
@@ -36,7 +37,7 @@ ni backend fuera de las integraciones de Astro.
 
 - **Sin JavaScript innecesario:** Astro carga 0 JS por defecto — mantenerlo así salvo islands explícitas.
 - **Content Collections tipadas:** toda colección define su schema Zod en `src/content/config.ts`.
-- **Sin secrets en el cliente:** variables de entorno con `VITE_` prefix son públicas — solo usarlas para config no sensible.
+- **Sin secrets en el cliente:** variables de entorno con prefijo `PUBLIC_` son públicas (`import.meta.env.PUBLIC_*`) — solo usarlas para config no sensible.
 - **Accesibilidad:** HTML semántico, atributos `alt`, roles ARIA cuando el HTML no es suficiente.
 - **Sin spec, sin código:** la spec debe existir en `docs/specs/` antes de implementar.
 
@@ -66,7 +67,7 @@ Antes de tocar cualquier archivo, verificar que existe una spec en `docs/specs/`
 Este agente puede invocar los slash commands definidos en `.claude/commands/` del proyecto. Revisar qué comandos están disponibles con `/help` antes de empezar.
 
 ### Hooks activos en este stack
-- **`pre-edit-check.py`**: se ejecuta antes de cada edición y bloquea debug statements en archivos `.astro`, `.ts` y `.tsx`. No dejes `console.log`, `debugger` ni comentarios `// TODO` sin ticket.
+- **`pre-edit-check.js`**: se ejecuta antes de cada edición y bloquea debug statements en archivos `.astro`, `.ts` y `.tsx`. No dejes `console.log`, `debugger` ni comentarios `// TODO` sin ticket.
 - **`post-turn-check.sh`**: se ejecuta al terminar cada turno. Verifica que `astro build` no tenga errores de TypeScript ni warnings de compilación.
 
 ### Reglas de scope

package/assets/profiles/django/agents/api-engineer.md

@@ -1,10 +1,11 @@
 ---
 name: api-engineer
-description: "Implementa el backend del proyecto. Django 4.x/5.x + DRF/Django Ninja + PostgreSQL. Scope: apps/ y config/."
+description: "Implementa el backend del proyecto. Django (última versión estable) + DRF/Django Ninja + PostgreSQL. Scope: apps/ y config/."
 model: sonnet
 tools: Read, Grep, Glob, Bash, Edit, Write
 tier: 2
 profile: django
+last_verified: "2026-06"
 ---
 
 # API Engineer — Django
@@ -14,7 +15,7 @@ Implementás el backend del proyecto. Tu scope es `apps/` y `config/` (estructur
 ## Stack
 
 - **Runtime:** Python 3.11+
-- **Framework:** Django 4.x / 5.x. NO usar Flask ni FastAPI.
+- **Framework:** Django (última versión estable, preferir la LTS vigente). NO usar Flask ni FastAPI.
 - **API:** Django REST Framework (DRF) con ViewSets y Routers, o Django Ninja para APIs tipadas. No mezcles los dos en el mismo proyecto.
 - **ORM:** Django ORM. NO usar queries raw salvo en migraciones de datos complejas.
 - **Migraciones:** `manage.py makemigrations` + `manage.py migrate`. Un concepto por migración; nombres descriptivos.

package/assets/profiles/expo/agents/mobile-engineer.md

@@ -5,6 +5,7 @@ model: sonnet
 tools: Read, Grep, Glob, Bash, Edit, Write
 tier: 2
 profile: expo
+last_verified: "2026-06"
 ---
 
 # Mobile Engineer — Expo SDK
@@ -23,7 +24,7 @@ Leé ese archivo antes de empezar.
 
 ## Reglas
 
-1. **Bundle size controlado:** iOS <200KB, Android <250KB por defecto. Verificar con `expo bundle-size`.
+1. **Bundle size controlado:** iOS <200KB, Android <250KB por defecto. Verificar con `npx expo export` + análisis del output (o `source-map-explorer`) y `npx expo-doctor`.
 2. **API idiomática:** exponer la funcionalidad como hooks React (`useConsent()`, `useFeature()`).
 3. **No mezclar APIs nativas y JS bridge en el mismo flujo.** Si necesitás algo nativo, va en su propio módulo aislado.
 4. **Permisos explícitos:** no solicitar permisos antes de que el usuario entienda por qué.
@@ -61,7 +62,7 @@ Antes de tocar cualquier archivo, verificar que existe una spec en `docs/specs/`
 Este agente puede invocar los slash commands definidos en `.claude/commands/` del proyecto. Revisar qué comandos están disponibles con `/help` antes de empezar.
 
 ### Hooks activos en este stack
-- **`pre-edit-check.py`**: se ejecuta antes de cada edición. Detecta debug statements (`console.log`, `debugger`) en archivos `.ts` y `.tsx`.
+- **`pre-edit-check.js`**: se ejecuta antes de cada edición. Detecta debug statements (`console.log`, `debugger`) en archivos `.ts` y `.tsx`.
 - **`post-turn-check.sh`**: se ejecuta al terminar cada turno. Corre `tsc --noEmit` para verificar TypeScript estricto. El proyecto usa `strict: true` — cualquier error de tipos bloquea el turno. Corregir antes de reportar al orchestrator.
 
 ### Reglas de scope

package/assets/profiles/express/agents/api-engineer.md

@@ -5,6 +5,7 @@ model: sonnet
 tools: Read, Grep, Glob, Bash, Edit, Write
 tier: 2
 profile: express
+last_verified: "2026-06"
 ---
 
 # API Engineer — Express + Node.js

package/assets/profiles/fastapi/agents/api-engineer.md

@@ -5,6 +5,7 @@ model: sonnet
 tools: Read, Grep, Glob, Bash, Edit, Write
 tier: 2
 profile: fastapi
+last_verified: "2026-06"
 ---
 
 # API Engineer — FastAPI
@@ -77,8 +78,8 @@ El proyecto puede tener slash commands en `.claude/commands/`. Revisarlos antes
 
 ### Hooks activos en este stack
 
-- **`pre-edit-check.py`** (PreToolUse/Edit|Write): detecta `print()` en archivos `.py` que no sean scripts de forge ni archivos en `.agentic/`. En FastAPI, usar `logging` en lugar de `print()` para toda salida de diagnóstico. Además bloquea secrets hardcodeados y protege la rama `main`.
-- **`pre-bash-check.py`** (PreToolUse/Bash): bloquea comandos destructivos en producción. Detecta `alembic downgrade base` y `DROP TABLE` si el contexto apunta a producción.
+- **`pre-edit-check.js`** (PreToolUse/Edit|Write): detecta `print()` en archivos `.py` que no sean scripts de forge ni archivos en `.agentic/`. En FastAPI, usar `logging` en lugar de `print()` para toda salida de diagnóstico. Además bloquea secrets hardcodeados y protege la rama `main`.
+- **`pre-bash-check.js`** (PreToolUse/Bash): bloquea comandos destructivos en producción. Detecta `alembic downgrade base` y `DROP TABLE` si el contexto apunta a producción.
 
 ### Reglas de scope
 

package/assets/profiles/go-gin/agents/api-engineer.md

@@ -5,6 +5,7 @@ model: sonnet
 tools: Read, Grep, Glob, Bash, Edit, Write
 tier: 2
 profile: go-gin
+last_verified: "2026-06"
 ---
 
 # API Engineer — Go + Gin

package/assets/profiles/hono-drizzle/agents/api-engineer.md

@@ -5,6 +5,7 @@ model: sonnet
 tools: Read, Grep, Glob, Bash, Edit, Write
 tier: 2
 profile: hono-drizzle
+last_verified: "2026-06"
 ---
 
 # API Engineer — Hono + Drizzle
@@ -72,8 +73,8 @@ El proyecto puede tener slash commands en `.claude/commands/`. Revisarlos antes
 
 ### Hooks activos en este stack
 
-- **`pre-bash-check.py`** (PreToolUse/Bash): bloquea `prisma migrate reset` y otros comandos destructivos en contexto de producción. **Crítico para Drizzle:** también detecta `drizzle-kit push` sin bandera `--force` en producción.
-- **`pre-edit-check.py`** (PreToolUse/Edit|Write): detecta `console.log` y `debugger` en archivos `.ts`/`.tsx`, bloquea secrets hardcodeados, y protege la rama `main`.
+- **`pre-bash-check.js`** (PreToolUse/Bash): bloquea `prisma migrate reset` y otros comandos destructivos en contexto de producción. **Crítico para Drizzle:** también detecta `drizzle-kit push` sin bandera `--force` en producción.
+- **`pre-edit-check.js`** (PreToolUse/Edit|Write): detecta `console.log` y `debugger` en archivos `.ts`/`.tsx`, bloquea secrets hardcodeados, y protege la rama `main`.
 
 ### Reglas de scope
 

package/assets/profiles/laravel/agents/api-engineer.md

@@ -1,10 +1,11 @@
 ---
 name: api-engineer
-description: "Implementa el backend del proyecto. Laravel 10+ + Sanctum/Passport + PostgreSQL/MySQL. Scope: app/ y routes/api.php."
+description: "Implementa el backend del proyecto. Laravel (última versión estable) + Sanctum/Passport + PostgreSQL/MySQL. Scope: app/ y routes/api.php."
 model: sonnet
 tools: Read, Grep, Glob, Bash, Edit, Write
 tier: 2
 profile: laravel
+last_verified: "2026-06"
 ---
 
 # API Engineer — Laravel
@@ -14,7 +15,7 @@ Implementás el backend del proyecto. Tu scope es `app/` y `routes/api.php`. Le
 ## Stack
 
 - **Runtime:** PHP 8.2+
-- **Framework:** Laravel 10, 11 o 12. NO usar Lumen ni micro-frameworks.
+- **Framework:** Laravel (última versión estable). NO usar Lumen ni micro-frameworks.
 - **API:** Laravel Resources + ResourceCollections para transformación de respuestas. Form Requests para validación.
 - **ORM:** Eloquent. Sin queries raw salvo en migraciones de datos o reportes complejos con `DB::select()` + parámetros.
 - **Migraciones:** `artisan make:migration` + `artisan migrate`. Un concepto por migración; nombres descriptivos en snake_case.
@@ -104,8 +105,8 @@ El proyecto puede tener slash commands en `.claude/commands/`. Revisarlos antes
 
 ### Hooks activos en este stack
 
-- **`pre-edit-check.py`** (PreToolUse/Edit|Write): detecta patrones de debug PHP (`var_dump()`, `dd()`, `print_r()`) en archivos `.php`, bloquea secrets hardcodeados, y protege la rama `main`. Relevante en controladores y modelos Eloquent donde `dd()` se usa frecuentemente en desarrollo.
-- **`pre-bash-check.py`** (PreToolUse/Bash): bloquea comandos destructivos en producción. Detecta `php artisan migrate:reset` y `php artisan migrate:fresh` si el contexto de producción está activo.
+- **`pre-edit-check.js`** (PreToolUse/Edit|Write): detecta patrones de debug PHP (`var_dump()`, `dd()`, `print_r()`) en archivos `.php`, bloquea secrets hardcodeados, y protege la rama `main`. Relevante en controladores y modelos Eloquent donde `dd()` se usa frecuentemente en desarrollo.
+- **`pre-bash-check.js`** (PreToolUse/Bash): bloquea comandos destructivos en producción. Detecta `php artisan migrate:reset` y `php artisan migrate:fresh` si el contexto de producción está activo.
 
 ### Reglas de scope
 

package/assets/profiles/laravel/agents/fullstack-engineer.md

@@ -5,6 +5,7 @@ model: sonnet
 tools: Read, Grep, Glob, Bash, Edit, Write
 tier: 2
 profile: laravel
+last_verified: "2026-06"
 ---
 
 # Fullstack Engineer — Laravel
@@ -14,7 +15,7 @@ Implementás features full-stack en el proyecto Laravel. Tu scope es `app/`, `re
 ## Stack
 
 - **Runtime:** PHP 8.2+
-- **Framework:** Laravel 10, 11 o 12.
+- **Framework:** Laravel (última versión estable).
 - **Frontend:** Blade + Livewire 3 por defecto. Si el proyecto usa Inertia.js (Vue 3 o React), el `CLAUDE.md` lo indicará.
 - **Estilos:** Tailwind CSS. Sin Bootstrap salvo que el proyecto lo establezca.
 - **Auth:** Laravel Breeze (simple) o Jetstream (equipos + 2FA). No reinventar autenticación.

package/assets/profiles/laravel/agents/migration-specialist.md

@@ -5,6 +5,7 @@ model: sonnet
 tools: Read, Grep, Glob, Bash, Edit, Write
 tier: 2
 profile: laravel
+last_verified: "2026-06"
 ---
 
 # Migration Specialist — Laravel

package/assets/profiles/nestjs/agents/api-engineer.md

@@ -5,6 +5,7 @@ model: sonnet
 tools: Read, Grep, Glob, Bash, Edit, Write
 tier: 2
 profile: nestjs
+last_verified: "2026-06"
 ---
 
 # API Engineer — NestJS
@@ -15,7 +16,7 @@ Leé ese archivo antes de empezar.
 ## Stack
 
 - **Runtime:** Node.js 20 LTS.
-- **Framework:** NestJS 10+. Arquitectura modular: un módulo por dominio.
+- **Framework:** NestJS (última versión estable). Arquitectura modular: un módulo por dominio.
 - **ORM:** Prisma (preferido) o TypeORM con decoradores. NO usar query builders ad-hoc.
 - **Validación:** class-validator + class-transformer en DTOs. Usar `ValidationPipe` global.
 - **Autenticación:** `@nestjs/passport` + JWT. Guards para proteger rutas.

package/assets/profiles/nextjs-admin/agents/admin-engineer.md

@@ -1,13 +1,14 @@
 ---
 name: admin-engineer
-description: Construye el dashboard de administración del proyecto con Next.js 15 + shadcn/ui. NO trabaja fuera del directorio de admin definido en project.yaml.
+description: Construye el dashboard de administración del proyecto con Next.js (última versión estable) + shadcn/ui. NO trabaja fuera del directorio de admin definido en project.yaml.
 model: sonnet
 tools: Read, Grep, Glob, Bash, Edit, Write
 tier: 2
 profile: nextjs-admin
+last_verified: "2026-06"
 ---
 
-# Admin Engineer — Next.js 15 + shadcn/ui
+# Admin Engineer — Next.js (última versión estable) + shadcn/ui
 
 Construís el dashboard de administración del proyecto. Tu scope es el directorio de admin
 definido en el `CLAUDE.md` del proyecto (típicamente `packages/admin/` o `apps/admin/`).
@@ -15,7 +16,7 @@ Leé ese archivo antes de empezar.
 
 ## Stack
 
-- **Framework:** Next.js 15 con App Router.
+- **Framework:** Next.js (última versión estable) con App Router.
 - **UI:** shadcn/ui + Tailwind 4. NO Tailwind 3, NO Material UI, NO Chakra, NO Mantine.
 - **Forms:** React Hook Form + Zod.
 - **Estado servidor:** TanStack Query. NO SWR, NO useEffect para fetch.
@@ -68,8 +69,8 @@ El proyecto puede tener slash commands en `.claude/commands/`. Revisarlos antes
 
 ### Hooks activos en este stack
 
-- **`pre-edit-check.py`** (PreToolUse/Edit|Write): detecta `console.log` y `debugger` en archivos `.ts`/`.tsx`, bloquea secrets hardcodeados, y protege la rama `main`. Especialmente relevante en componentes React donde los `console.log` de debug son comunes.
-- **`pre-bash-check.py`** (PreToolUse/Bash): bloquea comandos destructivos en producción. Aplica si el proyecto usa Prisma como ORM (detecta `prisma migrate reset`).
+- **`pre-edit-check.js`** (PreToolUse/Edit|Write): detecta `console.log` y `debugger` en archivos `.ts`/`.tsx`, bloquea secrets hardcodeados, y protege la rama `main`. Especialmente relevante en componentes React donde los `console.log` de debug son comunes.
+- **`pre-bash-check.js`** (PreToolUse/Bash): bloquea comandos destructivos en producción. Aplica si el proyecto usa Prisma como ORM (detecta `prisma migrate reset`).
 
 ### Reglas de scope
 

package/assets/profiles/playwright-crawler/agents/scanner-engineer.md

@@ -5,6 +5,7 @@ model: sonnet
 tools: Read, Grep, Glob, Bash, Edit, Write
 tier: 2
 profile: playwright-crawler
+last_verified: "2026-06"
 ---
 
 # Scanner Engineer — Playwright + BullMQ

package/assets/profiles/rails/agents/fullstack-engineer.md

@@ -5,6 +5,7 @@ model: sonnet
 tools: Read, Grep, Glob, Bash, Edit, Write
 tier: 2
 profile: rails
+last_verified: "2026-06"
 ---
 
 # Fullstack Engineer — Ruby on Rails
@@ -14,7 +15,7 @@ proyecto Rails (app/, db/, config/, spec/). Leé el `CLAUDE.md` del proyecto ant
 
 ## Stack
 
-- **Framework:** Ruby on Rails 7.x o 8.x.
+- **Framework:** Ruby on Rails (última versión estable).
 - **Base de datos:** PostgreSQL. Sin SQLite en producción.
 - **Frontend:** Hotwire (Turbo + Stimulus) por defecto. Si el proyecto usa React/Vue, el `CLAUDE.md` lo indicará.
 - **Tests:** RSpec + FactoryBot + Shoulda Matchers. Capybara para tests de sistema.

package/assets/profiles/sveltekit/agents/frontend-engineer.md

@@ -5,6 +5,7 @@ model: sonnet
 tools: Read, Grep, Glob, Bash, Edit, Write
 tier: 2
 profile: sveltekit
+last_verified: "2026-06"
 ---
 
 # Frontend Engineer — SvelteKit

package/assets/profiles/vuenuxt/agents/frontend-engineer.md

@@ -1,19 +1,20 @@
 ---
 name: frontend-engineer
-description: "Construye apps con Nuxt 3 + Vue 3 Composition API + Pinia + TypeScript. Scope: app/ o src/ (páginas, componentes, composables, stores)."
+description: "Construye apps con Nuxt (última versión estable) + Vue 3 Composition API + Pinia + TypeScript. Scope: app/ o src/ (páginas, componentes, composables, stores)."
 model: sonnet
 tools: Read, Grep, Glob, Bash, Edit, Write
 tier: 2
 profile: vuenuxt
+last_verified: "2026-06"
 ---
 
 # Frontend Engineer — Vue/Nuxt
 
-Construís aplicaciones con Nuxt 3 y Vue 3. Tu scope es `app/` o `src/` según cómo esté configurado el proyecto. Leé el `CLAUDE.md` del proyecto antes de empezar.
+Construís aplicaciones con Nuxt (última versión estable) y Vue 3. Tu scope es `app/` o `src/` según cómo esté configurado el proyecto. Leé el `CLAUDE.md` del proyecto antes de empezar.
 
 ## Stack
 
-- **Framework:** Nuxt 3 (última versión estable). NO usar Nuxt 2 ni Vue 2.
+- **Framework:** Nuxt (última versión estable). NO usar Nuxt 2 ni Vue 2.
 - **UI:** Vue 3 con Composition API (`<script setup>`). NO usar Options API salvo en componentes heredados que no se pueden migrar.
 - **State:** Pinia para estado global. Composables con `ref`/`computed` para estado local.
 - **Routing:** File-based routing de Nuxt (`pages/`). No usar vue-router directamente salvo para configuración avanzada en `nuxt.config.ts`.

package/assets/profiles/wordpress/agents/divi-engineer.md

@@ -259,7 +259,7 @@ Antes de tocar cualquier archivo, verificar que existe una spec en `docs/specs/`
 Este agente puede invocar los slash commands definidos en `.claude/commands/` del proyecto. Revisar qué comandos están disponibles con `/help` antes de empezar.
 
 ### Hooks activos en este stack
-- **`pre-edit-check.py`**: se ejecuta antes de cada edición. Detecta patrones de debug PHP (`var_dump()`, `print_r()`, `error_log()`) en archivos `.php` del child theme y módulos personalizados.
+- **`pre-edit-check.js`**: se ejecuta antes de cada edición. Detecta patrones de debug PHP (`var_dump()`, `print_r()`, `error_log()`) en archivos `.php` del child theme y módulos personalizados.
 - **`post-turn-check.sh`**: se ejecuta al terminar cada turno. Verifica que no haya residuos de debug y que el child theme esté activo (`wp theme status`).
 
 ### APIs de terceros y seguridad

package/assets/profiles/wordpress/agents/elementor-engineer.md

@@ -14,8 +14,8 @@ Diseñás e implementás sitios con Elementor Free y Elementor Pro. Tu scope inc
 
 ## Stack
 
-- **WordPress:** 6.4+.
-- **Elementor Free:** última versión estable (4.x).
+- **WordPress:** última versión estable.
+- **Elementor Free:** última versión estable (serie 3.x).
 - **Elementor Pro:** última versión estable (requerido para Theme Builder, Dynamic Tags, Loop Grid, Popup Builder, Form Builder).
 - **PHP:** 8.1+.
 - **Child theme:** obligatorio. Nunca modificar el parent theme directamente.
@@ -295,7 +295,7 @@ Antes de tocar cualquier archivo, verificar que existe una spec en `docs/specs/`
 Este agente puede invocar los slash commands definidos en `.claude/commands/` del proyecto. Revisar qué comandos están disponibles con `/help` antes de empezar.
 
 ### Hooks activos en este stack
-- **`pre-edit-check.py`**: se ejecuta antes de cada edición. Detecta patrones de debug PHP (`var_dump()`, `print_r()`, `error_log()`) en archivos `.php` del child theme, widgets personalizados y dynamic tags.
+- **`pre-edit-check.js`**: se ejecuta antes de cada edición. Detecta patrones de debug PHP (`var_dump()`, `print_r()`, `error_log()`) en archivos `.php` del child theme, widgets personalizados y dynamic tags.
 - **`post-turn-check.sh`**: se ejecuta al terminar cada turno. Verifica que el CSS de Elementor esté regenerado (`wp elementor flush-css`) si se modificaron archivos de estilo.
 
 ### APIs de terceros y seguridad

package/assets/profiles/wordpress/agents/wp-engineer.md

@@ -14,7 +14,7 @@ Implementás features en WordPress usando las APIs modernas del core. Tu scope e
 
 ## Stack
 
-- **WordPress:** 6.4+ (Full Site Editing disponible desde 6.0, iA activa desde 6.4).
+- **WordPress:** última versión estable (Full Site Editing desde 6.0). Verificar con `wp core version`.
 - **PHP:** 8.1+. Sin código legacy con `mysql_*` ni funciones deprecadas.
 - **Editor:** Gutenberg / Block Editor. Sin Classic Editor salvo que el `CLAUDE.md` lo exija.
 - **Bloques:** `@wordpress/create-block` para scaffolding. Bloques dinámicos con PHP render callback cuando el contenido es dinámico.
@@ -202,7 +202,7 @@ Antes de tocar cualquier archivo, verificar que existe una spec en `docs/specs/`
 Este agente puede invocar los slash commands definidos en `.claude/commands/` del proyecto. Revisar qué comandos están disponibles con `/help` antes de empezar.
 
 ### Hooks activos en este stack
-- **`pre-edit-check.py`**: se ejecuta antes de cada edición. Detecta patrones de debug PHP (`var_dump()`, `print_r()`, `error_log()`) en archivos `.php`. Estos nunca deben llegar a producción.
+- **`pre-edit-check.js`**: se ejecuta antes de cada edición. Detecta patrones de debug PHP (`var_dump()`, `print_r()`, `error_log()`) en archivos `.php`. Estos nunca deben llegar a producción.
 - **`post-turn-check.sh`**: se ejecuta al terminar cada turno. Corre `composer test` (PHPUnit) y `./vendor/bin/phpcs --standard=WordPress` si están configurados. Corregir errores antes de reportar.
 
 ### APIs de terceros y seguridad

package/dist/commands/init.js

@@ -410,7 +410,7 @@ export async function init(args) {
                         ...allAgents.map(a => `.claude/agents/${a}.md`),
                     ];
                     const ts = new Date().toISOString();
-                    saveManifest(projectRoot, buildManifest(runtime, installedFiles, projectRoot, '2.9.4', ts));
+                    saveManifest(projectRoot, buildManifest(runtime, installedFiles, projectRoot, '2.9.5', ts));
                 },
             },
         ]);

package/dist/version.d.ts

@@ -1,3 +1,3 @@
 /** Single source of truth for the CLI version (kept in sync with package.json). */
-export declare const VERSION = "2.9.4";
+export declare const VERSION = "2.9.5";
 //# sourceMappingURL=version.d.ts.map

package/dist/version.js

@@ -1,3 +1,3 @@
 /** Single source of truth for the CLI version (kept in sync with package.json). */
-export const VERSION = '2.9.4';
+export const VERSION = '2.9.5';
 //# sourceMappingURL=version.js.map

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@cristiancorreau/forge",
-  "version": "2.9.4",
+  "version": "2.9.5",
   "description": "Agentic development framework — multi-runtime support for Claude Code, OpenCode, Codex and Kiro",
   "author": "Cristian Correa <cristian@socialweb.cl>",
   "license": "Apache-2.0",