@geekbeer/minion 4.4.0 → 4.5.1

package/core/routes/variables.js

@@ -108,6 +108,29 @@ function variableRoutes(fastify, _opts, done) {
     return { success: true, scopes: variableStore.listVariableScopes() }
   })
 
+  // Move a variable from one workspace scope to another. Body:
+  // { from_workspace_id, to_workspace_id } — omit/empty string targets the
+  // minion-wide bucket. The destination is never overwritten on conflict.
+  fastify.post('/api/variables/:key/move', async (request, reply) => {
+    if (!verifyToken(request)) {
+      return reply.code(401).send({ error: 'Unauthorized' })
+    }
+    const { key } = request.params
+    const from = typeof request.body?.from_workspace_id === 'string' ? request.body.from_workspace_id : ''
+    const to = typeof request.body?.to_workspace_id === 'string' ? request.body.to_workspace_id : ''
+    const result = variableStore.moveVariable(from, to, key)
+    if (result.status === 'same_scope') {
+      return reply.code(400).send({ error: 'Source and destination scopes are the same.' })
+    }
+    if (result.status === 'not_found') {
+      return reply.code(404).send({ error: `Variable not found: ${key}` })
+    }
+    if (result.status === 'conflict') {
+      return reply.code(409).send({ error: `A variable with the same key already exists in the destination scope: ${key}` })
+    }
+    return { success: true, key, from_workspace_id: result.from, to_workspace_id: result.to }
+  })
+
   // ─── Secrets (sensitive, workspace-scoped) ────────────────────────────
   //
   // Secrets are scoped per workspace. Pass ?workspace_id=<uuid> to target a
@@ -118,11 +141,6 @@ function variableRoutes(fastify, _opts, done) {
   // Values are never returned via the API by design — only key names. Secrets
   // never leave the minion: the HQ proxy is a pure pass-through.
 
-  function readWorkspaceId(request) {
-    const rawWs = request.query?.workspace_id
-    return (typeof rawWs === 'string') ? rawWs : ''
-  }
-
   fastify.get('/api/secrets', async (request, reply) => {
     if (!verifyToken(request)) {
       return reply.code(401).send({ error: 'Unauthorized' })
@@ -175,6 +193,30 @@ function variableRoutes(fastify, _opts, done) {
     return { success: true, scopes: variableStore.listSecretScopes() }
   })
 
+  // Move a secret from one workspace scope to another. Body:
+  // { from_workspace_id, to_workspace_id } — omit/empty string targets the
+  // minion-wide bucket. The value is moved within the minion (it never leaves);
+  // the destination is never overwritten on conflict.
+  fastify.post('/api/secrets/:key/move', async (request, reply) => {
+    if (!verifyToken(request)) {
+      return reply.code(401).send({ error: 'Unauthorized' })
+    }
+    const { key } = request.params
+    const from = typeof request.body?.from_workspace_id === 'string' ? request.body.from_workspace_id : ''
+    const to = typeof request.body?.to_workspace_id === 'string' ? request.body.to_workspace_id : ''
+    const result = variableStore.moveSecret(from, to, key)
+    if (result.status === 'same_scope') {
+      return reply.code(400).send({ error: 'Source and destination scopes are the same.' })
+    }
+    if (result.status === 'not_found') {
+      return reply.code(404).send({ error: `Secret not found: ${key}` })
+    }
+    if (result.status === 'conflict') {
+      return reply.code(409).send({ error: `A secret with the same key already exists in the destination scope: ${key}` })
+    }
+    return { success: true, key, from_workspace_id: result.from, to_workspace_id: result.to }
+  })
+
   done()
 }
 

package/core/stores/variable-store.js

@@ -177,6 +177,36 @@ function deleteEntry(table, workspaceId, key) {
   return { removed: info.changes > 0, wsId }
 }
 
+/**
+ * Move a single entry from one workspace scope to another, atomically.
+ *
+ * Used to fix entries that were registered under the wrong workspace scope.
+ * The destination is NEVER overwritten: if the key already exists at the
+ * destination, the move is refused (`status: 'conflict'`) so no value is lost.
+ *
+ * @returns {{status: 'moved'|'not_found'|'conflict'|'same_scope', value?: string, from?: string, to?: string}}
+ */
+function moveEntry(table, fromWorkspaceId, toWorkspaceId, key) {
+  const from = normalizeWorkspaceId(fromWorkspaceId)
+  const to = normalizeWorkspaceId(toWorkspaceId)
+  if (from === to) return { status: 'same_scope' }
+
+  const db = getDb()
+  const src = db.prepare(`SELECT value FROM ${table} WHERE workspace_id = ? AND key = ?`).get(from, key)
+  if (!src) return { status: 'not_found' }
+
+  const dst = db.prepare(`SELECT 1 FROM ${table} WHERE workspace_id = ? AND key = ?`).get(to, key)
+  if (dst) return { status: 'conflict' }
+
+  const tx = db.transaction(() => {
+    db.prepare(`INSERT INTO ${table} (workspace_id, key, value, updated_at) VALUES (?, ?, ?, ?)`)
+      .run(to, key, src.value, Date.now())
+    db.prepare(`DELETE FROM ${table} WHERE workspace_id = ? AND key = ?`).run(from, key)
+  })
+  tx()
+  return { status: 'moved', value: src.value, from, to }
+}
+
 function listScopes(table) {
   const db = getDb()
   const rows = db.prepare(`SELECT DISTINCT workspace_id FROM ${table}`).all()
@@ -219,6 +249,19 @@ function removeVariable(workspaceId, key) {
   return removed
 }
 
+/**
+ * Move a variable from one workspace scope to another. The destination is not
+ * overwritten on conflict — see `moveEntry`.
+ */
+function moveVariable(fromWorkspaceId, toWorkspaceId, key) {
+  migrateLegacyVariablesFile()
+  const r = moveEntry('variables', fromWorkspaceId, toWorkspaceId, key)
+  if (r.status === 'moved') {
+    console.log(`[VariableStore] Moved variable ${key}: ${r.from || 'minion-wide'} -> ${r.to || 'minion-wide'}`)
+  }
+  return r
+}
+
 function listVariableKeys(workspaceId) {
   migrateLegacyVariablesFile()
   const rows = getRowsForScope('variables', workspaceId)
@@ -280,6 +323,24 @@ function removeSecret(workspaceId, key) {
   return removed
 }
 
+/**
+ * Move a secret from one workspace scope to another. The destination is not
+ * overwritten on conflict — see `moveEntry`.
+ *
+ * Keeps `process.env` in sync: leaving the minion-wide bucket removes the env
+ * var; entering it sets the env var. WS-scoped secrets never touch process.env.
+ */
+function moveSecret(fromWorkspaceId, toWorkspaceId, key) {
+  migrateLegacySecretsFile()
+  const r = moveEntry('secrets', fromWorkspaceId, toWorkspaceId, key)
+  if (r.status === 'moved') {
+    if (r.from === '') delete process.env[key]
+    if (r.to === '') process.env[key] = String(r.value ?? '')
+    console.log(`[VariableStore] Moved secret ${key}: ${r.from || 'minion-wide'} -> ${r.to || 'minion-wide'}`)
+  }
+  return r
+}
+
 function listSecretScopes() {
   migrateLegacySecretsFile()
   return listScopes('secrets')
@@ -345,6 +406,7 @@ module.exports = {
   getVariable,
   setVariable,
   removeVariable,
+  moveVariable,
   listVariableKeys,
   listVariableScopes,
   migrateLegacyVariablesFile,
@@ -355,6 +417,7 @@ module.exports = {
   listSecretKeys,
   setSecret,
   removeSecret,
+  moveSecret,
   listSecretScopes,
   migrateLegacySecretsFile,
 }

package/docs/api-reference.md

@@ -932,6 +932,20 @@ Response:
 
 同名キーがある場合はワークスペース別が優先される。`/api/secrets/*` エンドポイントは `?workspace_id=<uuid>` クエリパラメータでスコープを指定する。省略または空文字でミニオン全体を操作する。シークレット値はHQ DBには保存されず、HQ APIはpass-throughとして中継するのみ。
 
+#### スコープ間の移動
+
+誤ったワークスペーススコープに登録してしまったシークレット/変数は、削除・再登録せずに別スコープへ**移動**できる。移動はミニオン内部で1トランザクションとして実行され、シークレット値はミニオンの外に出ない。
+
+| Method | Endpoint | Description |
+|--------|----------|-------------|
+| POST | `/api/variables/:key/move` | 変数を別スコープへ移動。Body: `{from_workspace_id, to_workspace_id}` |
+| POST | `/api/secrets/:key/move` | シークレットを別スコープへ移動。Body: `{from_workspace_id, to_workspace_id}` |
+
+- `from_workspace_id` / `to_workspace_id` は省略または空文字 `""` でミニオン全体スコープを指す。
+- 移動先に同名キーが既に存在する場合、**上書きせず `409` を返す**（値の消失を防ぐため）。先に移動先の既存キーを削除すること。
+- 移動元にキーが無い場合は `404`、移動元と移動先が同一スコープの場合は `400`。
+- シークレットを移動した場合、ミニオン全体スコープから外れると `process.env` から除去され、ミニオン全体スコープに入ると `process.env` に反映される。
+
 ### Project Tasks
 
 タスクは5段階Kanban (`backlog`/`todo`/`doing`/`review`/`done`)で管理される。親子関係は2階層まで(孫タスク禁止)。担当は **ミニオンか人間の二択**(両方は不可、後勝ち null)。
@@ -2160,6 +2174,8 @@ POST `/api/minion/workspaces/:id/notes` body:
 
 PATCH body は workspace 版と共通: `{title?, content?, change_summary?}` (status は workspace 経由のみ受理)。
 
+> **ロックされたノート (423 Locked):** ユーザーが「ロック」したノート(パスワード等の保護用)は、ミニオンからの更新がすべて拒否され、`HTTP 423` (`{"code":"note_locked"}`) が返る。**ロックの解除は人間のみが HQ ダッシュボードで行える。ミニオンは解除できない。** 423 を受け取ったら、上書きを試み続けず、必要なら threads でユーザーにロック解除を依頼すること。ノート詳細(GET)では `is_locked` / `is_masked` フィールドで状態を確認できる(`is_masked` は HQ UI 上の表示マスクで、API レスポンスの本文には影響しない)。
+
 #### hq CLI ラッパー
 
 ```bash

package/linux/routes/chat.js

@@ -425,6 +425,7 @@ async function buildContextPrefix(message, context, sessionId, workspaceId, refe
       '成果物の保存先は以下のルールに従うこと。`/home/minion/` 直下にファイルを保存しないこと。',
       '',
       '- **テキスト成果物**（レポート、調査結果、要約等）→ ノートに保存: `hq note create <project_id> --title "タイトル" --content "本文"` (プロジェクト紐づけなしは `hq note create --workspace <ws_id> ...`)',
+      '  - ロックされたノートの更新は `HTTP 423`（`note_locked`）で拒否される。解除は人間のみ可能なので、上書きを繰り返さずユーザーに依頼すること。',
       '- **バイナリファイル**（PDF、画像、ZIP等）→ `~/files/` に配置（ユーザーがHQからダウンロード可能）',
       '- **一時ファイル** → `/tmp/` に配置（作業後に削除）',
       '',

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@geekbeer/minion",
-  "version": "4.4.0",
+  "version": "4.5.1",
   "description": "AI Agent runtime for Minion - manages status and skill deployment on VPS",
   "main": "linux/server.js",
   "bin": {

package/rules/core.md

@@ -238,7 +238,7 @@ Routine 実行中は以下もtmuxセッション環境で利用可能:
 - `MINION_ROUTINE_NAME` — ルーティン名
 - `MINION_ROUTINE_WORKSPACE_ID` — ルーティンが特定ワークスペースにバインドされている場合のワークスペースUUID（未バインドなら空文字）
 
-**変数**（ワークスペース変数・プロジェクト変数・ワークフロー変数・ミニオン変数）はスキル本文の `{{VAR_NAME}}` テンプレートとして実行時に展開される。スキル作成時にパラメータ化したい値は `{{変数名}}` で記述すること。展開優先順位: ワークスペース < プロジェクト < ワークフロー < ミニオン（後者が優先）。ミニオンが最終オーバーライドとなる設計で、ミニオン運用者がHQ側のデフォルトを差し替えられる経路を保証する。ミニオン変数はさらにミニオン全体スコープとワークスペース別スコープに分かれ、当該ワークスペースのコンテキストで動く実行時はWS別がミニオン全体を上書きする。`/api/variables/*` は `?workspace_id=<uuid>` でスコープ指定（省略時はミニオン全体）。
+**変数**（ワークスペース変数・プロジェクト変数・ワークフロー変数・ミニオン変数）はスキル本文の `{{VAR_NAME}}` テンプレートとして実行時に展開される。スキル作成時にパラメータ化したい値は `{{変数名}}` で記述すること。展開優先順位: ワークスペース < プロジェクト < ワークフロー < ミニオン（後者が優先）。ミニオンが最終オーバーライドとなる設計で、ミニオン運用者がHQ側のデフォルトを差し替えられる経路を保証する。ミニオン変数はさらにミニオン全体スコープとワークスペース別スコープに分かれ、当該ワークスペースのコンテキストで動く実行時はWS別がミニオン全体を上書きする。`/api/variables/*` は `?workspace_id=<uuid>` でスコープ指定（省略時はミニオン全体）。誤ったスコープに登録してしまった変数・シークレットは `POST /api/variables/:key/move`・`POST /api/secrets/:key/move`（body: `{from_workspace_id, to_workspace_id}`）で削除・再登録せずに別スコープへ移動できる。移動先に同名キーがある場合は上書きせず `409` を返す。
 
 DAGワークフローでは、HQ側スコープ（workspace/project/dag_workflow）の変数は **`POST /api/dag/minion/claim-node` のレスポンス `template_vars`** に乗って降ってきて、ミニオン側で minion-local 変数とマージしたうえで `POST /api/skills/fetch/:name?vars=...` の base64 JSON に詰めて HQ に渡し、HQ 側で SKILL.md の `{{VAR}}` を置換して返す。つまり HQ-scope 変数の更新は **次のノード claim から反映される**（既存のミニオン上 SKILL.md は次回 fetch で上書きされる）。DAGワークフロー単位の変数は `dag_workflow_variables` テーブルに格納され、DAGエディタの "Variables" ボタンから編集可能。
 
@@ -485,6 +485,8 @@ hq note search --workspace <workspace_id> "キーワード"
 
 **削除はミニオンから実行できない**(事故防止のため人間操作限定)。不要なノートは `hq note update ... --status archived` (または PATCH の `status: "archived"`) でアーカイブすること。
 
+**ロックされたノートは更新できない。** ユーザーがパスワード等を保護するために「ロック」したノートは、`hq note update` / PATCH が `HTTP 423`(`{"code":"note_locked"}`)で拒否される。**ロック解除は人間のみ**が HQ ダッシュボードで行えるため、ミニオンは解除できない。423 を受けたら上書きを繰り返さず、更新が必要な場合は threads でユーザーにロック解除を依頼すること。
+
 ### ノート内のユーザーメンション
 
 人間ユーザーがノート編集UIで `Ctrl+I` を押すと、自分の発言を示すアバター付きチップが行頭に挿入される。マークダウン上は次の形式で永続化される:

package/win/routes/chat.js

@@ -490,6 +490,7 @@ async function buildContextPrefix(message, context, sessionId, workspaceId, refe
       '成果物の保存先は以下のルールに従うこと。`/home/minion/` 直下にファイルを保存しないこと。',
       '',
       '- **テキスト成果物**（レポート、調査結果、要約等）→ ノートに保存: `hq note create <project_id> --title "タイトル" --content "本文"` (プロジェクト紐づけなしは `hq note create --workspace <ws_id> ...`)',
+      '  - ロックされたノートの更新は `HTTP 423`（`note_locked`）で拒否される。解除は人間のみ可能なので、上書きを繰り返さずユーザーに依頼すること。',
       '- **バイナリファイル**（PDF、画像、ZIP等）→ `~/files/` に配置（ユーザーがHQからダウンロード可能）',
       '- **一時ファイル** → `/tmp/` に配置（作業後に削除）',
       '',