@geekbeer/minion 4.3.4 → 4.5.1

package/core/lib/claude-settings-sync.js

@@ -0,0 +1,106 @@
+'use strict'
+
+/**
+ * Sync bundled Claude Code settings (permissions + hooks) into
+ * <homeDir>/.claude/settings.json. Shared by the Linux and Windows servers so
+ * both platforms get identical baseline permissions and the PreToolUse hooks.
+ *
+ * User overrides live in settings.local.json which Claude merges on top of the
+ * settings.json we write here, so re-syncing on every boot is safe.
+ */
+
+const fs = require('fs')
+const path = require('path')
+
+// packages/minion/core/lib/claude-settings-sync.js -> packages/minion
+const PACKAGE_ROOT = path.join(__dirname, '..', '..')
+
+/**
+ * Copy bundled hook scripts to <claudeDir>/hooks/ and return the PreToolUse
+ * hook config block to embed in settings.json. Returns null when no hooks are
+ * bundled.
+ *
+ * Currently wires block-hq-navigation.js, which denies Playwright navigation to
+ * HQ (*.minion-agent.com) so the minion uses the API instead of scraping the
+ * dashboard.
+ */
+function syncHookScripts(claudeDir, log) {
+  try {
+    const bundledHooksDir = path.join(PACKAGE_ROOT, 'settings', 'hooks')
+    if (!fs.existsSync(bundledHooksDir)) return null
+
+    const targetHooksDir = path.join(claudeDir, 'hooks')
+    if (!fs.existsSync(targetHooksDir)) {
+      fs.mkdirSync(targetHooksDir, { recursive: true })
+    }
+
+    const files = fs.readdirSync(bundledHooksDir).filter((f) => f.endsWith('.js'))
+    for (const file of files) {
+      fs.copyFileSync(
+        path.join(bundledHooksDir, file),
+        path.join(targetHooksDir, file),
+      )
+    }
+
+    const navHook = path.join(targetHooksDir, 'block-hq-navigation.js')
+    if (!fs.existsSync(navHook)) return null
+
+    log(`[Hooks] Synced ${files.length} hook script(s) to ~/.claude/hooks/`)
+    return {
+      PreToolUse: [
+        {
+          matcher: 'mcp__playwright__browser_navigate',
+          hooks: [{ type: 'command', command: `node ${navHook}` }],
+        },
+      ],
+    }
+  } catch (err) {
+    log(`[Hooks] Failed to sync hook scripts: ${err.message}`)
+    return null
+  }
+}
+
+/**
+ * Sync bundled permissions + hooks to <homeDir>/.claude/settings.json.
+ * @param {string} homeDir - the minion HOME (config.HOME_DIR)
+ * @param {(msg: string) => void} [log] - logger (defaults to console.log)
+ */
+function syncClaudeSettings(homeDir, log = console.log) {
+  const bundledPath = path.join(PACKAGE_ROOT, 'settings', 'permissions.json')
+  const settingsDir = path.join(homeDir, '.claude')
+  const settingsPath = path.join(settingsDir, 'settings.json')
+
+  try {
+    if (!fs.existsSync(bundledPath)) return
+
+    const bundled = JSON.parse(fs.readFileSync(bundledPath, 'utf-8'))
+
+    let settings = {}
+    if (fs.existsSync(settingsPath)) {
+      try {
+        settings = JSON.parse(fs.readFileSync(settingsPath, 'utf-8'))
+      } catch {
+        log('[Permissions] existing settings.json invalid, overwriting')
+      }
+    }
+
+    settings.permissions = {
+      allow: bundled.allow || [],
+      deny: bundled.deny || [],
+    }
+
+    fs.mkdirSync(settingsDir, { recursive: true })
+
+    const hooks = syncHookScripts(settingsDir, log)
+    if (hooks) {
+      settings.hooks = hooks
+    }
+
+    fs.writeFileSync(settingsPath, JSON.stringify(settings, null, 2) + '\n', 'utf-8')
+    log(`[Permissions] Synced: allow=${(bundled.allow || []).length}, deny=${(bundled.deny || []).length}`)
+  } catch (err) {
+    log(`[Permissions] Failed to sync permissions: ${err.message}`)
+  }
+}
+
+module.exports = { syncClaudeSettings }

package/core/routes/variables.js

@@ -108,6 +108,29 @@ function variableRoutes(fastify, _opts, done) {
     return { success: true, scopes: variableStore.listVariableScopes() }
   })
 
+  // Move a variable from one workspace scope to another. Body:
+  // { from_workspace_id, to_workspace_id } — omit/empty string targets the
+  // minion-wide bucket. The destination is never overwritten on conflict.
+  fastify.post('/api/variables/:key/move', async (request, reply) => {
+    if (!verifyToken(request)) {
+      return reply.code(401).send({ error: 'Unauthorized' })
+    }
+    const { key } = request.params
+    const from = typeof request.body?.from_workspace_id === 'string' ? request.body.from_workspace_id : ''
+    const to = typeof request.body?.to_workspace_id === 'string' ? request.body.to_workspace_id : ''
+    const result = variableStore.moveVariable(from, to, key)
+    if (result.status === 'same_scope') {
+      return reply.code(400).send({ error: 'Source and destination scopes are the same.' })
+    }
+    if (result.status === 'not_found') {
+      return reply.code(404).send({ error: `Variable not found: ${key}` })
+    }
+    if (result.status === 'conflict') {
+      return reply.code(409).send({ error: `A variable with the same key already exists in the destination scope: ${key}` })
+    }
+    return { success: true, key, from_workspace_id: result.from, to_workspace_id: result.to }
+  })
+
   // ─── Secrets (sensitive, workspace-scoped) ────────────────────────────
   //
   // Secrets are scoped per workspace. Pass ?workspace_id=<uuid> to target a
@@ -118,11 +141,6 @@ function variableRoutes(fastify, _opts, done) {
   // Values are never returned via the API by design — only key names. Secrets
   // never leave the minion: the HQ proxy is a pure pass-through.
 
-  function readWorkspaceId(request) {
-    const rawWs = request.query?.workspace_id
-    return (typeof rawWs === 'string') ? rawWs : ''
-  }
-
   fastify.get('/api/secrets', async (request, reply) => {
     if (!verifyToken(request)) {
       return reply.code(401).send({ error: 'Unauthorized' })
@@ -175,6 +193,30 @@ function variableRoutes(fastify, _opts, done) {
     return { success: true, scopes: variableStore.listSecretScopes() }
   })
 
+  // Move a secret from one workspace scope to another. Body:
+  // { from_workspace_id, to_workspace_id } — omit/empty string targets the
+  // minion-wide bucket. The value is moved within the minion (it never leaves);
+  // the destination is never overwritten on conflict.
+  fastify.post('/api/secrets/:key/move', async (request, reply) => {
+    if (!verifyToken(request)) {
+      return reply.code(401).send({ error: 'Unauthorized' })
+    }
+    const { key } = request.params
+    const from = typeof request.body?.from_workspace_id === 'string' ? request.body.from_workspace_id : ''
+    const to = typeof request.body?.to_workspace_id === 'string' ? request.body.to_workspace_id : ''
+    const result = variableStore.moveSecret(from, to, key)
+    if (result.status === 'same_scope') {
+      return reply.code(400).send({ error: 'Source and destination scopes are the same.' })
+    }
+    if (result.status === 'not_found') {
+      return reply.code(404).send({ error: `Secret not found: ${key}` })
+    }
+    if (result.status === 'conflict') {
+      return reply.code(409).send({ error: `A secret with the same key already exists in the destination scope: ${key}` })
+    }
+    return { success: true, key, from_workspace_id: result.from, to_workspace_id: result.to }
+  })
+
   done()
 }
 

package/core/stores/variable-store.js

@@ -177,6 +177,36 @@ function deleteEntry(table, workspaceId, key) {
   return { removed: info.changes > 0, wsId }
 }
 
+/**
+ * Move a single entry from one workspace scope to another, atomically.
+ *
+ * Used to fix entries that were registered under the wrong workspace scope.
+ * The destination is NEVER overwritten: if the key already exists at the
+ * destination, the move is refused (`status: 'conflict'`) so no value is lost.
+ *
+ * @returns {{status: 'moved'|'not_found'|'conflict'|'same_scope', value?: string, from?: string, to?: string}}
+ */
+function moveEntry(table, fromWorkspaceId, toWorkspaceId, key) {
+  const from = normalizeWorkspaceId(fromWorkspaceId)
+  const to = normalizeWorkspaceId(toWorkspaceId)
+  if (from === to) return { status: 'same_scope' }
+
+  const db = getDb()
+  const src = db.prepare(`SELECT value FROM ${table} WHERE workspace_id = ? AND key = ?`).get(from, key)
+  if (!src) return { status: 'not_found' }
+
+  const dst = db.prepare(`SELECT 1 FROM ${table} WHERE workspace_id = ? AND key = ?`).get(to, key)
+  if (dst) return { status: 'conflict' }
+
+  const tx = db.transaction(() => {
+    db.prepare(`INSERT INTO ${table} (workspace_id, key, value, updated_at) VALUES (?, ?, ?, ?)`)
+      .run(to, key, src.value, Date.now())
+    db.prepare(`DELETE FROM ${table} WHERE workspace_id = ? AND key = ?`).run(from, key)
+  })
+  tx()
+  return { status: 'moved', value: src.value, from, to }
+}
+
 function listScopes(table) {
   const db = getDb()
   const rows = db.prepare(`SELECT DISTINCT workspace_id FROM ${table}`).all()
@@ -219,6 +249,19 @@ function removeVariable(workspaceId, key) {
   return removed
 }
 
+/**
+ * Move a variable from one workspace scope to another. The destination is not
+ * overwritten on conflict — see `moveEntry`.
+ */
+function moveVariable(fromWorkspaceId, toWorkspaceId, key) {
+  migrateLegacyVariablesFile()
+  const r = moveEntry('variables', fromWorkspaceId, toWorkspaceId, key)
+  if (r.status === 'moved') {
+    console.log(`[VariableStore] Moved variable ${key}: ${r.from || 'minion-wide'} -> ${r.to || 'minion-wide'}`)
+  }
+  return r
+}
+
 function listVariableKeys(workspaceId) {
   migrateLegacyVariablesFile()
   const rows = getRowsForScope('variables', workspaceId)
@@ -280,6 +323,24 @@ function removeSecret(workspaceId, key) {
   return removed
 }
 
+/**
+ * Move a secret from one workspace scope to another. The destination is not
+ * overwritten on conflict — see `moveEntry`.
+ *
+ * Keeps `process.env` in sync: leaving the minion-wide bucket removes the env
+ * var; entering it sets the env var. WS-scoped secrets never touch process.env.
+ */
+function moveSecret(fromWorkspaceId, toWorkspaceId, key) {
+  migrateLegacySecretsFile()
+  const r = moveEntry('secrets', fromWorkspaceId, toWorkspaceId, key)
+  if (r.status === 'moved') {
+    if (r.from === '') delete process.env[key]
+    if (r.to === '') process.env[key] = String(r.value ?? '')
+    console.log(`[VariableStore] Moved secret ${key}: ${r.from || 'minion-wide'} -> ${r.to || 'minion-wide'}`)
+  }
+  return r
+}
+
 function listSecretScopes() {
   migrateLegacySecretsFile()
   return listScopes('secrets')
@@ -345,6 +406,7 @@ module.exports = {
   getVariable,
   setVariable,
   removeVariable,
+  moveVariable,
   listVariableKeys,
   listVariableScopes,
   migrateLegacyVariablesFile,
@@ -355,6 +417,7 @@ module.exports = {
   listSecretKeys,
   setSecret,
   removeSecret,
+  moveSecret,
   listSecretScopes,
   migrateLegacySecretsFile,
 }

package/docs/api-reference.md

@@ -932,6 +932,20 @@ Response:
 
 同名キーがある場合はワークスペース別が優先される。`/api/secrets/*` エンドポイントは `?workspace_id=<uuid>` クエリパラメータでスコープを指定する。省略または空文字でミニオン全体を操作する。シークレット値はHQ DBには保存されず、HQ APIはpass-throughとして中継するのみ。
 
+#### スコープ間の移動
+
+誤ったワークスペーススコープに登録してしまったシークレット/変数は、削除・再登録せずに別スコープへ**移動**できる。移動はミニオン内部で1トランザクションとして実行され、シークレット値はミニオンの外に出ない。
+
+| Method | Endpoint | Description |
+|--------|----------|-------------|
+| POST | `/api/variables/:key/move` | 変数を別スコープへ移動。Body: `{from_workspace_id, to_workspace_id}` |
+| POST | `/api/secrets/:key/move` | シークレットを別スコープへ移動。Body: `{from_workspace_id, to_workspace_id}` |
+
+- `from_workspace_id` / `to_workspace_id` は省略または空文字 `""` でミニオン全体スコープを指す。
+- 移動先に同名キーが既に存在する場合、**上書きせず `409` を返す**（値の消失を防ぐため）。先に移動先の既存キーを削除すること。
+- 移動元にキーが無い場合は `404`、移動元と移動先が同一スコープの場合は `400`。
+- シークレットを移動した場合、ミニオン全体スコープから外れると `process.env` から除去され、ミニオン全体スコープに入ると `process.env` に反映される。
+
 ### Project Tasks
 
 タスクは5段階Kanban (`backlog`/`todo`/`doing`/`review`/`done`)で管理される。親子関係は2階層まで(孫タスク禁止)。担当は **ミニオンか人間の二択**(両方は不可、後勝ち null)。
@@ -2160,6 +2174,8 @@ POST `/api/minion/workspaces/:id/notes` body:
 
 PATCH body は workspace 版と共通: `{title?, content?, change_summary?}` (status は workspace 経由のみ受理)。
 
+> **ロックされたノート (423 Locked):** ユーザーが「ロック」したノート(パスワード等の保護用)は、ミニオンからの更新がすべて拒否され、`HTTP 423` (`{"code":"note_locked"}`) が返る。**ロックの解除は人間のみが HQ ダッシュボードで行える。ミニオンは解除できない。** 423 を受け取ったら、上書きを試み続けず、必要なら threads でユーザーにロック解除を依頼すること。ノート詳細(GET)では `is_locked` / `is_masked` フィールドで状態を確認できる(`is_masked` は HQ UI 上の表示マスクで、API レスポンスの本文には影響しない)。
+
 #### hq CLI ラッパー
 
 ```bash

package/docs/task-guides.md

@@ -41,6 +41,17 @@ curl -X POST http://localhost:8080/api/web/extract \
 | 「ログインしてダッシュボード操作」 | Playwright MCP |
 | 「フォームを送信」 | Playwright MCP |
 | 「複数ページ巡回して全件取得」 | `/api/web/extract` をループ呼び出し (各ページに対して) |
+| **HQ (`*.minion-agent.com`) のノート/タスク/プロジェクト** | **HQ API（Playwright禁止）** |
+
+### HQ (`*.minion-agent.com`) のリンクは API で取得する
+
+HQダッシュボードのページURLを Playwright MCP で開いてはならない（PreToolUse フック `block-hq-navigation.js` で拒否される）。受け取ったURL／タグは以下に変換する。チャットで参照された場合、本文はプロンプト先頭の「参照ノート」「参照チケット」ブロックに既に注入済みなので、まずそれを読む。
+
+| 受け取った形 | 取得方法 |
+|------|---------|
+| `[note:UUID]` / `…/notes/:id` | `GET $HQ_URL/api/minion/workspaces/:wsId/notes/:id`（または `…/projects/:pid/notes/:id`） |
+| `[task:UUID]` / `…/tasks/:id` | `GET $HQ_URL/api/minion/projects/:pid/tasks/:id` |
+| `…/projects/:id` | `GET $HQ_URL/api/minion/projects/:id` |
 
 ### キャッシュの確認・破棄 (debug)
 

package/linux/routes/chat.js

@@ -44,7 +44,7 @@ async function chatRoutes(fastify) {
       return { success: false, error: 'Unauthorized' }
     }
 
-    const { message, session_id, context, workspace_id, referenced_tasks } = request.body || {}
+    const { message, session_id, context, workspace_id, referenced_tasks, referenced_notes } = request.body || {}
 
     if (!message || typeof message !== 'string') {
       reply.code(400)
@@ -54,9 +54,10 @@ async function chatRoutes(fastify) {
     const workspaceId = workspace_id || null
 
     // Build prompt — add memory context on new sessions + page context + workspace
-    // referenced_tasks is injected into the prompt only (not stored in history)
-    // so the user's chat log keeps just the [task:UUID] tag, not a noisy dump.
-    const prompt = await buildContextPrefix(message, context, session_id, workspaceId, referenced_tasks)
+    // referenced_tasks / referenced_notes are injected into the prompt only (not
+    // stored in history) so the user's chat log keeps just the [task:UUID] /
+    // [note:UUID] tag (or pasted URL), not a noisy dump.
+    const prompt = await buildContextPrefix(message, context, session_id, workspaceId, referenced_tasks, referenced_notes)
 
     // Persist the user message BEFORE invoking the LLM so that crashes,
     // timeouts, or unparseable CLI output can't lose it. For new sessions we
@@ -267,7 +268,7 @@ ${indexed}`
  * On new sessions (no session_id), injects minion memory + recent daily logs.
  * No conversation history injection — Claude CLI handles that via --resume.
  */
-async function buildContextPrefix(message, context, sessionId, workspaceId, referencedTasks) {
+async function buildContextPrefix(message, context, sessionId, workspaceId, referencedTasks, referencedNotes) {
   const parts = []
 
   // Resolved [task:UUID] tags from HQ — surface ticket details so Claude can
@@ -288,6 +289,29 @@ async function buildContextPrefix(message, context, sessionId, workspaceId, refe
     parts.push('')
   }
 
+  // Resolved [note:UUID] tags / pasted note URLs from HQ — surface the note body
+  // inline so Claude answers WITHOUT opening the HQ page with Playwright. The
+  // body is a snippet; the full note is one API call away.
+  if (Array.isArray(referencedNotes) && referencedNotes.length > 0) {
+    parts.push('[参照ノート — ユーザーがメッセージ内で `[note:UUID]` 形式またはURLで参照しているHQノート。Playwrightで開かず、全文が必要なら下記APIを使うこと]')
+    const NOTE_LIMIT = 2000
+    for (const n of referencedNotes) {
+      if (!n || !n.id) continue
+      const body = String(n.content || '').trim()
+      const truncated = body.length > NOTE_LIMIT
+      const snippet = truncated ? body.slice(0, NOTE_LIMIT) : body
+      parts.push(`- [note:${n.id}] ${n.title || '(無題)'} (status: ${n.status || '?'})`)
+      if (snippet) {
+        parts.push('  ```', ...snippet.split('\n').map((l) => `  ${l}`), '  ```')
+      }
+      parts.push(
+        `  全文/更新: GET|PATCH $HQ_URL/api/minion/workspaces/${n.workspace_id}/notes/${n.id}` +
+          (truncated ? ' (本文は上記抜粋、全文はAPIで取得)' : ''),
+      )
+    }
+    parts.push('')
+  }
+
   // Inject workspace context so Claude Code knows which workspace it's operating in
   if (workspaceId) {
     const workspaceStore = require('../../core/stores/workspace-store')
@@ -388,6 +412,8 @@ async function buildContextPrefix(message, context, sessionId, workspaceId, refe
       '',
       'Playwright MCP (`mcp__playwright__*`) は **ログイン・フォーム入力・複数画面の対話操作**が必要な場合のみ使用する。',
       '単純な閲覧・要約・一覧取得用途ではMCPを使わない。',
+      '',
+      'HQ (`*.minion-agent.com`) のページURLは **Playwrightで開かずAPIで取得する**。ノートは `GET $HQ_URL/api/minion/workspaces/:wsId/notes/:id`、タスクは `GET $HQ_URL/api/minion/projects/:pid/tasks/:id`。チャットで参照されたノート/タスクの本文は上記「参照ノート」「参照チケット」ブロックに既に注入済み。',
       ''
     )
   }
@@ -399,6 +425,7 @@ async function buildContextPrefix(message, context, sessionId, workspaceId, refe
       '成果物の保存先は以下のルールに従うこと。`/home/minion/` 直下にファイルを保存しないこと。',
       '',
       '- **テキスト成果物**（レポート、調査結果、要約等）→ ノートに保存: `hq note create <project_id> --title "タイトル" --content "本文"` (プロジェクト紐づけなしは `hq note create --workspace <ws_id> ...`)',
+      '  - ロックされたノートの更新は `HTTP 423`（`note_locked`）で拒否される。解除は人間のみ可能なので、上書きを繰り返さずユーザーに依頼すること。',
       '- **バイナリファイル**（PDF、画像、ZIP等）→ `~/files/` に配置（ユーザーがHQからダウンロード可能）',
       '- **一時ファイル** → `/tmp/` に配置（作業後に削除）',
       '',

package/linux/server.js

@@ -38,6 +38,7 @@ const PACKAGE_ROOT = path.join(__dirname, '..')
 // Core shared modules
 const { config, validate, isHqConfigured } = require('../core/config')
 const { sendHeartbeat } = require('../core/api')
+const { syncClaudeSettings } = require('../core/lib/claude-settings-sync')
 const { version } = require('../package.json')
 
 const workflowStore = require('../core/stores/workflow-store')
@@ -159,34 +160,11 @@ process.on('SIGTERM', () => shutdown('SIGTERM'))
 process.on('SIGINT', () => shutdown('SIGINT'))
 
 /**
- * Sync bundled permissions into ~/.claude/settings.json.
+ * Sync bundled permissions + PreToolUse hooks into ~/.claude/settings.json.
+ * Delegates to the shared core module so Linux and Windows stay in sync.
  */
 function syncPermissions() {
-  const bundledPath = path.join(PACKAGE_ROOT, 'settings', 'permissions.json')
-  const settingsDir = path.join(config.HOME_DIR, '.claude')
-  const settingsPath = path.join(settingsDir, 'settings.json')
-
-  try {
-    if (!fs.existsSync(bundledPath)) return
-
-    const bundled = JSON.parse(fs.readFileSync(bundledPath, 'utf-8'))
-
-    let settings = {}
-    if (fs.existsSync(settingsPath)) {
-      settings = JSON.parse(fs.readFileSync(settingsPath, 'utf-8'))
-    }
-
-    settings.permissions = {
-      allow: bundled.allow || [],
-      deny: bundled.deny || [],
-    }
-
-    fs.mkdirSync(settingsDir, { recursive: true })
-    fs.writeFileSync(settingsPath, JSON.stringify(settings, null, 2) + '\n', 'utf-8')
-    console.log(`[Permissions] Synced: allow=${bundled.allow.length}, deny=${bundled.deny.length}`)
-  } catch (err) {
-    console.error(`[Permissions] Failed to sync permissions: ${err.message}`)
-  }
+  syncClaudeSettings(config.HOME_DIR, (msg) => console.log(msg))
 }
 
 /**

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@geekbeer/minion",
-  "version": "4.3.4",
+  "version": "4.5.1",
   "description": "AI Agent runtime for Minion - manages status and skill deployment on VPS",
   "main": "linux/server.js",
   "bin": {

package/rules/core.md

@@ -47,6 +47,20 @@ Minion
 - **Workspace**: ミニオンは複数のワークスペースに所属でき、スキルやプロジェクトはワークスペース単位でスコープされる。チャットセッションもワークスペース別に分離される。所属ワークスペースはハートビートで自動同期され、`hq list workspaces` で確認できる。
 - ミニオンは複数プロジェクトに `pm`、`engineer`、`accountant` として参加できる。
 
+## HQ リソースへのリンクは API で取得する
+
+`*.minion-agent.com`（HQダッシュボード）のページURLを **Playwright MCP で開いてはならない**。ほぼ全リソースがAPIで取得できる。受け取ったURL／タグは以下のAPIに変換して使うこと。
+
+| 受け取った形 | 取得方法 |
+|------|---------|
+| `[note:UUID]` / `…/notes/:id` | `GET $HQ_URL/api/minion/workspaces/:wsId/notes/:id`（プロジェクト紐づきなら `…/projects/:pid/notes/:id` も可） |
+| `[task:UUID]` / `…/tasks/:id` | `GET $HQ_URL/api/minion/projects/:pid/tasks/:id` |
+| `…/projects/:id` | `GET $HQ_URL/api/minion/projects/:id` |
+
+- チャットでユーザーが `[note:UUID]` / `[task:UUID]` やノートURLを貼った場合、**本文はプロンプト先頭の「参照ノート」「参照チケット」ブロックに既に注入済み**。まずそれを読むこと。全文・最新版が要るときだけ上記APIを叩く。
+- 認証なしのPlaywright閲覧はログイン画面や不完全なHTMLを掴むため結果が壊れる。HQリンクは必ずAPIで取得する。
+- このルールは PreToolUse フックでも強制されており、`mcp__playwright__browser_navigate` で `*.minion-agent.com` を開こうとすると拒否される。
+
 ## Email
 
 各ミニオンには専用メールアドレス `m-{MINION_ID}@minion-agent.com` が割り当てられている。
@@ -224,7 +238,7 @@ Routine 実行中は以下もtmuxセッション環境で利用可能:
 - `MINION_ROUTINE_NAME` — ルーティン名
 - `MINION_ROUTINE_WORKSPACE_ID` — ルーティンが特定ワークスペースにバインドされている場合のワークスペースUUID（未バインドなら空文字）
 
-**変数**（ワークスペース変数・プロジェクト変数・ワークフロー変数・ミニオン変数）はスキル本文の `{{VAR_NAME}}` テンプレートとして実行時に展開される。スキル作成時にパラメータ化したい値は `{{変数名}}` で記述すること。展開優先順位: ワークスペース < プロジェクト < ワークフロー < ミニオン（後者が優先）。ミニオンが最終オーバーライドとなる設計で、ミニオン運用者がHQ側のデフォルトを差し替えられる経路を保証する。ミニオン変数はさらにミニオン全体スコープとワークスペース別スコープに分かれ、当該ワークスペースのコンテキストで動く実行時はWS別がミニオン全体を上書きする。`/api/variables/*` は `?workspace_id=<uuid>` でスコープ指定（省略時はミニオン全体）。
+**変数**（ワークスペース変数・プロジェクト変数・ワークフロー変数・ミニオン変数）はスキル本文の `{{VAR_NAME}}` テンプレートとして実行時に展開される。スキル作成時にパラメータ化したい値は `{{変数名}}` で記述すること。展開優先順位: ワークスペース < プロジェクト < ワークフロー < ミニオン（後者が優先）。ミニオンが最終オーバーライドとなる設計で、ミニオン運用者がHQ側のデフォルトを差し替えられる経路を保証する。ミニオン変数はさらにミニオン全体スコープとワークスペース別スコープに分かれ、当該ワークスペースのコンテキストで動く実行時はWS別がミニオン全体を上書きする。`/api/variables/*` は `?workspace_id=<uuid>` でスコープ指定（省略時はミニオン全体）。誤ったスコープに登録してしまった変数・シークレットは `POST /api/variables/:key/move`・`POST /api/secrets/:key/move`（body: `{from_workspace_id, to_workspace_id}`）で削除・再登録せずに別スコープへ移動できる。移動先に同名キーがある場合は上書きせず `409` を返す。
 
 DAGワークフローでは、HQ側スコープ（workspace/project/dag_workflow）の変数は **`POST /api/dag/minion/claim-node` のレスポンス `template_vars`** に乗って降ってきて、ミニオン側で minion-local 変数とマージしたうえで `POST /api/skills/fetch/:name?vars=...` の base64 JSON に詰めて HQ に渡し、HQ 側で SKILL.md の `{{VAR}}` を置換して返す。つまり HQ-scope 変数の更新は **次のノード claim から反映される**（既存のミニオン上 SKILL.md は次回 fetch で上書きされる）。DAGワークフロー単位の変数は `dag_workflow_variables` テーブルに格納され、DAGエディタの "Variables" ボタンから編集可能。
 
@@ -471,6 +485,8 @@ hq note search --workspace <workspace_id> "キーワード"
 
 **削除はミニオンから実行できない**(事故防止のため人間操作限定)。不要なノートは `hq note update ... --status archived` (または PATCH の `status: "archived"`) でアーカイブすること。
 
+**ロックされたノートは更新できない。** ユーザーがパスワード等を保護するために「ロック」したノートは、`hq note update` / PATCH が `HTTP 423`(`{"code":"note_locked"}`)で拒否される。**ロック解除は人間のみ**が HQ ダッシュボードで行えるため、ミニオンは解除できない。423 を受けたら上書きを繰り返さず、更新が必要な場合は threads でユーザーにロック解除を依頼すること。
+
 ### ノート内のユーザーメンション
 
 人間ユーザーがノート編集UIで `Ctrl+I` を押すと、自分の発言を示すアバター付きチップが行頭に挿入される。マークダウン上は次の形式で永続化される:

package/settings/hooks/block-hq-navigation.js

@@ -0,0 +1,114 @@
+#!/usr/bin/env node
+/**
+ * PreToolUse hook: block Playwright navigation to HQ (*.minion-agent.com).
+ *
+ * The minion must read HQ resources (notes, tasks, projects) via the Agent/HQ
+ * API, not by scraping the dashboard with Playwright — unauthenticated browser
+ * navigation just lands on a login page or partial HTML and corrupts results.
+ * This hook is the enforcement layer behind the "HQ リソースへのリンクは API で
+ * 取得する" rule in core.md.
+ *
+ * Wired into ~/.claude/settings.json as:
+ *   hooks.PreToolUse[] -> matcher "mcp__playwright__browser_navigate"
+ *
+ * Receives the tool call as JSON on stdin; denies via hookSpecificOutput when
+ * the target host matches HQ, allows everything else. Blocked attempts are
+ * appended to ~/.minion/logs/hq-nav-blocks.log for effectiveness measurement.
+ */
+const fs = require('fs')
+const os = require('os')
+const path = require('path')
+
+function readStdin() {
+  try {
+    return fs.readFileSync(0, 'utf8')
+  } catch {
+    return ''
+  }
+}
+
+/** Hosts considered "HQ". Overridable via HQ_NAV_BLOCK_HOSTS (comma-separated). */
+function blockedHostSuffixes() {
+  const fromEnv = (process.env.HQ_NAV_BLOCK_HOSTS || '')
+    .split(',')
+    .map((s) => s.trim().toLowerCase())
+    .filter(Boolean)
+  const suffixes = new Set(['minion-agent.com', ...fromEnv])
+  // Also include the configured HQ host, in case it lives on a custom domain.
+  if (process.env.HQ_URL) {
+    try {
+      suffixes.add(new URL(process.env.HQ_URL).hostname.toLowerCase())
+    } catch {
+      /* ignore malformed HQ_URL */
+    }
+  }
+  return [...suffixes]
+}
+
+function isBlocked(rawUrl, suffixes) {
+  let host
+  try {
+    host = new URL(rawUrl).hostname.toLowerCase()
+  } catch {
+    return false
+  }
+  return suffixes.some((s) => host === s || host.endsWith(`.${s}`))
+}
+
+function logBlock(url) {
+  try {
+    const dir = path.join(os.homedir(), '.minion', 'logs')
+    fs.mkdirSync(dir, { recursive: true })
+    fs.appendFileSync(
+      path.join(dir, 'hq-nav-blocks.log'),
+      `${new Date().toISOString()}\t${url}\n`,
+    )
+  } catch {
+    /* best-effort logging only */
+  }
+}
+
+function allow() {
+  process.exit(0)
+}
+
+function deny(url) {
+  logBlock(url)
+  const reason =
+    `Playwright で ${url} を開くことは禁止されています。HQ (*.minion-agent.com) の` +
+    'リソースはAPIで取得してください。例: ノートは `GET $HQ_URL/api/minion/workspaces/:wsId/notes/:id`、' +
+    'タスクは `GET $HQ_URL/api/minion/projects/:pid/tasks/:id`。' +
+    'チャットで参照されたノート/タスクの本文はプロンプト先頭の「参照ノート」「参照チケット」ブロックに既に注入されています。'
+  process.stdout.write(
+    JSON.stringify({
+      hookSpecificOutput: {
+        hookEventName: 'PreToolUse',
+        permissionDecision: 'deny',
+        permissionDecisionReason: reason,
+      },
+    }),
+  )
+  process.exit(0)
+}
+
+function main() {
+  let payload
+  try {
+    payload = JSON.parse(readStdin() || '{}')
+  } catch {
+    allow()
+    return
+  }
+  const url = payload?.tool_input?.url
+  if (typeof url !== 'string' || !url) {
+    allow()
+    return
+  }
+  if (isBlocked(url, blockedHostSuffixes())) {
+    deny(url)
+  } else {
+    allow()
+  }
+}
+
+main()

package/win/routes/chat.js

@@ -119,7 +119,7 @@ async function chatRoutes(fastify) {
       return { success: false, error: 'Unauthorized' }
     }
 
-    const { message, session_id, context, wsl_mode, workspace_id, referenced_tasks } = request.body || {}
+    const { message, session_id, context, wsl_mode, workspace_id, referenced_tasks, referenced_notes } = request.body || {}
     if (!message || typeof message !== 'string') {
       reply.code(400)
       return { success: false, error: 'message is required' }
@@ -128,7 +128,7 @@ async function chatRoutes(fastify) {
     const workspaceId = workspace_id || null
     // referenced_tasks is injected into the prompt only (not stored in history)
     // so the user's chat log keeps just the [task:UUID] tag, not a noisy dump.
-    const prompt = await buildContextPrefix(message, context, session_id, workspaceId, referenced_tasks)
+    const prompt = await buildContextPrefix(message, context, session_id, workspaceId, referenced_tasks, referenced_notes)
     const currentSessionId = session_id || null
 
     // Persist the user message BEFORE invoking the LLM so that crashes,
@@ -336,7 +336,7 @@ ${indexed}`
   })
 }
 
-async function buildContextPrefix(message, context, sessionId, workspaceId, referencedTasks) {
+async function buildContextPrefix(message, context, sessionId, workspaceId, referencedTasks, referencedNotes) {
   const parts = []
 
   // Resolved [task:UUID] tags from HQ — surface ticket details so Claude can
@@ -355,6 +355,29 @@ async function buildContextPrefix(message, context, sessionId, workspaceId, refe
     parts.push('')
   }
 
+  // Resolved [note:UUID] tags / pasted note URLs from HQ — surface the note body
+  // inline so Claude answers WITHOUT opening the HQ page with Playwright. The
+  // body is a snippet; the full note is one API call away.
+  if (Array.isArray(referencedNotes) && referencedNotes.length > 0) {
+    parts.push('[参照ノート — ユーザーがメッセージ内で `[note:UUID]` 形式またはURLで参照しているHQノート。Playwrightで開かず、全文が必要なら下記APIを使うこと]')
+    const NOTE_LIMIT = 2000
+    for (const n of referencedNotes) {
+      if (!n || !n.id) continue
+      const body = String(n.content || '').trim()
+      const truncated = body.length > NOTE_LIMIT
+      const snippet = truncated ? body.slice(0, NOTE_LIMIT) : body
+      parts.push(`- [note:${n.id}] ${n.title || '(無題)'} (status: ${n.status || '?'})`)
+      if (snippet) {
+        parts.push('  ```', ...snippet.split('\n').map((l) => `  ${l}`), '  ```')
+      }
+      parts.push(
+        `  全文/更新: GET|PATCH $HQ_URL/api/minion/workspaces/${n.workspace_id}/notes/${n.id}` +
+          (truncated ? ' (本文は上記抜粋、全文はAPIで取得)' : ''),
+      )
+    }
+    parts.push('')
+  }
+
   // Inject workspace context so Claude Code knows which workspace it's operating in
   if (workspaceId) {
     const workspaceStore = require('../../core/stores/workspace-store')
@@ -454,6 +477,8 @@ async function buildContextPrefix(message, context, sessionId, workspaceId, refe
       '',
       'Playwright MCP (`mcp__playwright__*`) は **ログイン・フォーム入力・複数画面の対話操作**が必要な場合のみ使用する。',
       '単純な閲覧・要約・一覧取得用途ではMCPを使わない。',
+      '',
+      'HQ (`*.minion-agent.com`) のページURLは **Playwrightで開かずAPIで取得する**。ノートは `GET $HQ_URL/api/minion/workspaces/:wsId/notes/:id`、タスクは `GET $HQ_URL/api/minion/projects/:pid/tasks/:id`。チャットで参照されたノート/タスクの本文は上記「参照ノート」「参照チケット」ブロックに既に注入済み。',
       ''
     )
   }
@@ -465,6 +490,7 @@ async function buildContextPrefix(message, context, sessionId, workspaceId, refe
       '成果物の保存先は以下のルールに従うこと。`/home/minion/` 直下にファイルを保存しないこと。',
       '',
       '- **テキスト成果物**（レポート、調査結果、要約等）→ ノートに保存: `hq note create <project_id> --title "タイトル" --content "本文"` (プロジェクト紐づけなしは `hq note create --workspace <ws_id> ...`)',
+      '  - ロックされたノートの更新は `HTTP 423`（`note_locked`）で拒否される。解除は人間のみ可能なので、上書きを繰り返さずユーザーに依頼すること。',
       '- **バイナリファイル**（PDF、画像、ZIP等）→ `~/files/` に配置（ユーザーがHQからダウンロード可能）',
       '- **一時ファイル** → `/tmp/` に配置（作業後に削除）',
       '',

package/win/server.js

@@ -35,6 +35,7 @@ const { getConfigWarnings } = require('../core/lib/config-warnings')
 
 // Bundled skill deployment (version-gated, see core/lib/bundled-skills.js)
 const { syncBundledSkills } = require('../core/lib/bundled-skills')
+const { syncClaudeSettings } = require('../core/lib/claude-settings-sync')
 const { getActiveSkillDirs } = require('../core/llm-plugins/lib/skill-dirs')
 
 // Pull-model daemons (from core/)
@@ -126,27 +127,11 @@ process.on('SIGTERM', () => shutdown('SIGTERM'))
 process.on('SIGINT', () => shutdown('SIGINT'))
 
 /**
- * Sync bundled permissions into ~/.claude/settings.json.
+ * Sync bundled permissions + PreToolUse hooks into ~/.claude/settings.json.
+ * Delegates to the shared core module so Linux and Windows stay in sync.
  */
 function syncPermissions() {
-  const bundledPath = path.join(__dirname, '..', 'settings', 'permissions.json')
-  const settingsDir = path.join(config.HOME_DIR, '.claude')
-  const settingsPath = path.join(settingsDir, 'settings.json')
-
-  try {
-    if (!fs.existsSync(bundledPath)) return
-    const bundled = JSON.parse(fs.readFileSync(bundledPath, 'utf-8'))
-    let settings = {}
-    if (fs.existsSync(settingsPath)) {
-      settings = JSON.parse(fs.readFileSync(settingsPath, 'utf-8'))
-    }
-    settings.permissions = { allow: bundled.allow || [], deny: bundled.deny || [] }
-    fs.mkdirSync(settingsDir, { recursive: true })
-    fs.writeFileSync(settingsPath, JSON.stringify(settings, null, 2) + '\n', 'utf-8')
-    console.log(`[Permissions] Synced: allow=${bundled.allow.length}, deny=${bundled.deny.length}`)
-  } catch (err) {
-    console.error(`[Permissions] Failed to sync permissions: ${err.message}`)
-  }
+  syncClaudeSettings(config.HOME_DIR, (msg) => console.log(msg))
 }
 
 /**