@inso_web/els-mcp 0.1.0

package/README.md

@@ -0,0 +1,482 @@
+# @inso/els-mcp
+
+MCP-сервер поверх INSO Error Logs Service (ELS). Даёт LLM-агентам (Claude
+Desktop, mcp-inspector, любой MCP-клиент) read-only доступ к логам ошибок и
+аналитическим эндпоинтам — для триажа, поиска паттернов и анализа трендов.
+
+> **Phase 1+3 готовы.** stdio + Streamable HTTP transport, 8 базовых read-only
+> tools, OIDC через INSO Auth, RFC 9728 resource metadata.
+> Полный roadmap (resources, prompts, cache, AI) —
+> в `/todo/error-logs-service/mcp/` (см. `12-migration-rollout.md`).
+
+## TL;DR
+
+```bash
+npm install
+npm test
+ELS_API_KEY=els_live_... npm run dev
+```
+
+## Quickstart
+
+### 1. Установить зависимости
+
+```bash
+npm install
+```
+
+### 2. Сконфигурировать ELS endpoint
+
+Скопируйте `.env.example` → `.env` и задайте `ELS_API_KEY`:
+
+```bash
+ELS_API_KEY=els_live_xxxxxxxxxxxxxxxxxxxx
+ELS_BASE_URL=http://localhost:4010    # или https://api.insoweb.ru/els
+MCP_LOG_LEVEL=info
+```
+
+По умолчанию `ELS_BASE_URL` берётся из `NODE_ENV`:
+- `development` → `http://localhost:4010`
+- `production`  → `https://api.insoweb.ru/els`
+
+### 3. Запустить локально
+
+```bash
+npm run dev   # tsx src/cli.ts — без сборки
+```
+
+или после `npm run build`:
+
+```bash
+node dist/cli.js
+```
+
+stdout зарезервирован под JSON-RPC; все логи идут в stderr.
+
+### 4. Запустить тесты и typecheck
+
+```bash
+npm test         # vitest run — 36 unit-тестов
+npm run typecheck
+```
+
+## Claude Desktop integration
+
+Добавьте в `~/Library/Application Support/Claude/claude_desktop_config.json`
+(macOS) или `%APPDATA%\Claude\claude_desktop_config.json` (Windows):
+
+```json
+{
+  "mcpServers": {
+    "els": {
+      "command": "node",
+      "args": ["/absolute/path/to/event-log-mcp-service/dist/cli.js"],
+      "env": {
+        "ELS_API_KEY": "els_live_xxxxxxxxxxxxxxxxxxxx",
+        "ELS_BASE_URL": "https://api.insoweb.ru/els",
+        "MCP_LOG_LEVEL": "info"
+      }
+    }
+  }
+}
+```
+
+Перезапустите Claude Desktop — в списке инструментов появятся 8 ELS-tools.
+
+## Доступные tools (Phase 1)
+
+| Tool | ELS endpoint | Описание |
+|------|---|---|
+| `search_logs` | `GET /errors` | Search логов с фасет-фильтрами (level, serviceName, appVersion, url, fingerprint, sessionId) + facets + histogram. |
+| `get_log_details` | `GET /errors/:traceId` | Полные детали одного лога: stack, headers, context. |
+| `find_similar_errors` | `GET /errors/:traceId/similar` | Агрегаты по похожим ошибкам: totalOccurrences, lastHour/24h/7d, topUrls/IPs, sourceSplit. |
+| `find_correlated_errors` | `GET /errors/:traceId/correlated` | Ошибки в ±N минут вокруг указанного traceId — каскадные сбои. |
+| `top_error_messages` | `GET /analytics/top-messages` | Топ-N сообщений по частоте (deduped). |
+| `error_histogram` | `GET /analytics/histogram` | Time-series histogram (auto bucket: 5m/30m/1h/1d). |
+| `traffic_stats` | `GET /analytics/traffic` | RPM + latency p50/p95/p99 per service. |
+| `list_apps` | `GET /apps` | Список tenant-ов (master key — все, обычный — fallback на current-app). |
+
+Все tools — `errors:read` scope. `list_apps` требует master key; на 403
+graceful fallback (`apps: [{ slug: '(current-app)' }]`).
+
+## Response format
+
+Все listing-tools поддерживают `response_format`:
+
+- **`compact`** (default) — без `stack`/`componentStack`/`userAgent`, `message` ≤ 200ch. Дешёво по LLM-контексту.
+- **`full`** — все поля.
+- **`summary`** — только `traceId`/`message`/`level`/`lastSeen`. Для ranked-list view.
+
+Если хотя бы один `message` обрезан, в `_meta.truncated = true`.
+
+## Pagination (seek-cursor)
+
+Listing-tools используют opaque `cursor` (НЕ `page`/`offset`). Внутри
+зашит `filtersHash` — если клиент сменил фильтры между страницами,
+сервер вернёт `INVALID_ARGS` с предложением начать с первой страницы.
+
+> Phase 1 — cursor transitional: внутри хранятся `page`/`limit` (ELS пока
+> offset-based). Phase 4 переключится на настоящий seek `(receivedAt, id)` —
+> формат cursor останется тот же.
+
+## Error shape
+
+Все ошибки приходят как MCP-стандартный tool error:
+
+```json
+{
+  "isError": true,
+  "content": [{ "type": "text", "text": "[RATE_LIMITED] ..." }],
+  "_meta": { "code": "RATE_LIMITED", "retryAfter": 60 }
+}
+```
+
+Коды: `RATE_LIMITED`, `UPSTREAM_UNAVAILABLE`, `INVALID_ARGS`, `NOT_FOUND`,
+`INSUFFICIENT_SCOPE`, `QUOTA_EXCEEDED`, `INTERNAL`.
+
+## Конфигурация
+
+| ENV | Default | Описание |
+|---|---|---|
+| `ELS_API_KEY` | — (required) | Bearer key (`els_live_*` или `els_test_*`). |
+| `ELS_BASE_URL` | dev:`localhost:4010` / prod:`api.insoweb.ru/els` | Upstream ELS. |
+| `MCP_LOG_LEVEL` | `info` | pino level. |
+| `MCP_DISABLE_TOOLS` | — | CSV с именами tools для отключения. |
+| `MCP_UPSTREAM_TIMEOUT_MS` | `30000` | Таймаут одного ELS-запроса. |
+
+## HTTP transport (Phase 3)
+
+В дополнение к stdio сервер поддерживает Streamable HTTP transport через
+`MCP_TRANSPORT=http`. Используется для hosted endpoint'а
+`https://mcp.insoweb.ru/els/` (ChatGPT Custom Connector, remote Claude).
+
+### Запуск локально
+
+```bash
+MCP_TRANSPORT=http \
+MCP_HTTP_PORT=3030 \
+MCP_OIDC_DEMO_APP_SLUG=acme \
+ELS_API_KEY=els_live_xxx \
+npm run dev
+```
+
+Локально OIDC можно направить на dev-инстанс INSO Auth:
+
+```bash
+MCP_OIDC_ISSUER=http://localhost:4002 \
+MCP_OIDC_JWKS_URL=http://localhost:4002/oidc/.well-known/jwks.json \
+MCP_TRANSPORT=http npm run dev
+```
+
+### Маршруты
+
+| Method | URL | Назначение |
+|---|---|---|
+| `POST /els/mcp` | MCP JSON-RPC (Streamable HTTP) | Требует Bearer (ELS-key или OIDC JWT) |
+| `GET /els/mcp` | Long-lived SSE (server→client notifications) | Требует Bearer |
+| `DELETE /els/mcp` | Terminate session | Требует Bearer |
+| `GET /els/healthz` | Liveness probe (всегда 200) | Public |
+| `GET /els/readyz` | Readiness probe (ELS upstream check) | Public |
+| `GET /els/.well-known/oauth-protected-resource` | RFC 9728 resource metadata | Public |
+| `GET /els/.well-known/mcp` | MCP discovery (tools list, transports) | Public |
+
+### Quick curl
+
+```bash
+# liveness
+curl http://localhost:3030/els/healthz
+# {"status":"ok"}
+
+# resource metadata
+curl http://localhost:3030/els/.well-known/oauth-protected-resource
+# { "resource": "https://mcp.insoweb.ru/els/",
+#   "authorization_servers": ["https://auth.insoweb.ru"],
+#   "scopes_supported": ["errors:mcp-read"],
+#   "bearer_methods_supported": ["header"] }
+
+# MCP discovery
+curl http://localhost:3030/els/.well-known/mcp
+
+# Bearer ELS-key — без OIDC
+curl -X POST http://localhost:3030/els/mcp \
+  -H "Authorization: Bearer els_live_xxx" \
+  -H "Content-Type: application/json" \
+  -H "Accept: application/json, text/event-stream" \
+  -d '{"jsonrpc":"2.0","id":1,"method":"initialize","params":{"protocolVersion":"2025-03-26","clientInfo":{"name":"curl","version":"1"},"capabilities":{}}}'
+# Response includes Mcp-Session-Id header; используй его для последующих запросов.
+```
+
+### Аутентификация
+
+Поддерживаются два path'а (детектится по shape Bearer):
+
+1. **ELS-key** — `Authorization: Bearer els_(live|test)_<key>` — passthrough в ELS.
+   Используется в CI/CD, server-to-server и debug-сценариях.
+2. **OIDC JWT** — `Authorization: Bearer <jwt>` — локально валидируется через
+   JWKS INSO Auth (`https://auth.insoweb.ru/oidc/.well-known/jwks.json`,
+   RS256, audience `els-mcp`, scope `errors:mcp-read`).
+
+Если оба Bearer-ы отсутствуют — 401 + `WWW-Authenticate: Bearer realm="els-mcp",
+resource_metadata="https://mcp.insoweb.ru/els/.well-known/oauth-protected-resource"`.
+
+### Sessions
+
+`Mcp-Session-Id` header возвращается на первый `initialize`-запрос и должен
+передаваться во все последующие. TTL — 30 мин idle. В Phase 3 хранение
+in-memory (Map); Phase 4 переедет в Redis.
+
+> **Phase 3 workaround:** OIDC `sub → appSlug` resolver пока не подключён к
+> LK API — все OIDC-юзеры мапятся на один app через `MCP_OIDC_DEMO_APP_SLUG`.
+> TODO: реализовать настоящий resolver в Phase 4.
+
+### ENV-переменные транспорта
+
+| ENV | Default | Описание |
+|---|---|---|
+| `MCP_TRANSPORT` | `stdio` | `stdio` или `http` |
+| `MCP_HTTP_PORT` | `3030` | Порт listen для HTTP-режима |
+| `MCP_PUBLIC_URL` | `https://mcp.insoweb.ru/els` | Используется в WWW-Authenticate и discovery |
+| `MCP_OIDC_ISSUER` | `https://auth.insoweb.ru` | OIDC issuer |
+| `MCP_OIDC_JWKS_URL` | derived | JWKS endpoint |
+| `MCP_OIDC_AUDIENCE` | `els-mcp` | Expected `aud` claim |
+| `MCP_OIDC_DEMO_APP_SLUG` | — | Phase 3 workaround для всех OIDC-юзеров |
+| `MCP_CORS_ORIGINS` | `https://claude.ai,https://chat.openai.com` | CSV allowed origins (в dev добавляется localhost) |
+
+## Security: PII redaction (Phase 5)
+
+По умолчанию все ответы tools проходят через redaction pipeline до отдачи
+LLM. Применяемые правила:
+
+| Поле | Действие |
+|---|---|
+| `ip` (IPv4) | Last octet → `0` (`192.168.1.42` → `192.168.1.0`) |
+| `ip` (IPv6) | `/64` prefix |
+| `email` | → `[EMAIL_REDACTED]` |
+| `jwt` / `Bearer …` | → `[JWT_REDACTED]` / `[BEARER_REDACTED]` |
+| `phone` | → `[PHONE_REDACTED]` |
+| credit card (Luhn-valid) | → `[CARD_REDACTED]` |
+| `userAgent` | family-only (Chrome / Firefox / Safari / …) |
+| `url`, `referrer` | strip query string |
+| `message`, `stack` | wrap в `<untrusted>…</untrusted>` + PII regex |
+| sensitive args ключи (`password`, `token`, `secret`, `email`, `ip` и т.п.) | drop value → `[REDACTED]` |
+
+### Prompt-injection mitigation
+
+Все строковые поля из логов оборачиваются в `<untrusted>…</untrusted>` теги.
+В description каждого tool — system note, что LLM **не** должен следовать
+инструкциям из такого контента. Параллельно работает regex deny-list (см.
+`src/redaction/promptInjection.ts`): при совпадении (`ignore previous
+instructions`, `system:`, `jailbreak`, …) в `_meta.suspiciousContentBlocked
+= true` + `_meta.suspiciousRule = <name>`.
+
+### Конфигурация
+
+| ENV | Default | Описание |
+|---|---|---|
+| `MCP_REDACTION_ENABLED` | `true` | Включена ли редакция целиком |
+| `MCP_REDACTION_FIELDS` | — | CSV whitelist полей (пусто → редактим все) |
+
+## Billing / quotas (Phase 5)
+
+Tier-matrix (см. также
+`todo/error-logs-service/mcp/08-billing-integration.md` §1):
+
+| Tier | req/день | concurrent SSE | AI-explain/день |
+|---|---|---|---|
+| `FREE` | 1 000 | 2 | 20 |
+| `STANDARD` | 50 000 | 20 | 500 |
+| `PREMIUM` | 500 000 | 100 | 5 000 |
+| `UNLIMITED` | ∞ | 500 | ∞ |
+
+Перед каждым tool-call middleware (`src/middleware/withMiddleware.ts`)
+проверяет дневной лимит через usage tracker. При превышении возвращается
+`TIER_QUOTA_EXCEEDED` с `retryAfter` до полуночи UTC. До 110 % лимита
+работает grace-zone (`_meta.overage = true`). После запроса
+fire-and-forget пишутся `mcp_audit.audit_log` и `mcp_billing.usage_daily`.
+
+### Audit log
+
+- Append-only, schema `mcp_audit` (отдельная БД от ELS).
+- Hash-chain: `prevHash` + `rowHash` (sha256) per `appId`-partition.
+- Партиционирование по месяцу (RANGE `createdAt`). См.
+  `prisma/migrations/init/migration.sql`.
+- Запись non-blocking: если БД недоступна, tool-call продолжает работать
+  (silent fail с warn-логом).
+
+### Что НЕ пишется в audit
+
+- Полный API-ключ (только prefix 8 символов).
+- Контент логов (только метаданные tool-call).
+- Полный IP (anonymized).
+- Cookies, Authorization headers.
+
+### Конфигурация
+
+| ENV | Default | Описание |
+|---|---|---|
+| `MCP_DATABASE_URL` | — | Postgres URL для audit/billing. Если пусто → no-op |
+| `MCP_DEFAULT_APP_ID` | `default` | Используется в stdio-режиме |
+| `MCP_DEFAULT_TIER` | `STANDARD` | Tier по умолчанию для quota-check |
+
+### Prisma setup
+
+```bash
+# Сгенерировать клиент (output → node_modules/.prisma/mcp)
+npm run prisma:generate
+
+# Применить миграцию (создаёт schemas + partitioned audit table)
+psql $MCP_DATABASE_URL -f prisma/migrations/init/migration.sql
+```
+
+## Cache & Observability (Phase 4)
+
+### Redis cache
+
+Lookup-aside кэш для read-heavy эндпоинтов. TTL — по классам (см.
+`src/cache/policies.ts`):
+
+| Class | TTL | Tool(s) |
+|---|---|---|
+| `log_details` | 1h | `get_log_details` |
+| `top_messages` | 2m | `top_error_messages` |
+| `histogram` | 1m | `error_histogram` |
+| `heatmap` | 5m | `error_heatmap` |
+| `traffic_long` | 5m | `traffic_stats` |
+| `search_recent` | 15s | `search_logs` |
+| `list_apps` | 30s | `list_apps` |
+| `stats_breakdown` | 2m | `error_stats_breakdown` |
+| `baseline` | 5m | `baseline_compare` |
+| `version_timeline` | 5m | `version_regression` |
+| `grouped_errors` | 2m | `grouped_errors` |
+
+Все cache keys обязательно tenant-prefixed:
+`mcp:cache:{class}:{appSlug | k:keyPrefix}:{...}`. Это защищает от
+cross-tenant data leak (см. `05-high-load.md` § 2.1).
+
+**Graceful degradation.** Если Redis недоступен или
+`MCP_CACHE_ENABLED=false` — все запросы прозрачно идут в ELS без ошибок
+(cache miss во всех случаях). Sub-25ms задержка коннекта/PING не блокирует
+старт процесса (`lazyConnect: true`).
+
+**Compression.** Значения > 10 KB автоматически gzip-сжимаются (префикс
+`gz:`) и расшифровываются при чтении.
+
+### Prometheus метрики
+
+Endpoint: `GET /els/metrics` (Prometheus text format).
+
+Ключевые метрики:
+
+- `mcp_requests_total{tool,status,cached}` — counter всех tool-call'ов
+- `mcp_request_duration_seconds{tool}` — histogram (12 buckets:
+  0.01, 0.025, 0.05, 0.1, 0.25, 0.5, 1, 2, 5, 10, 20, 30)
+- `mcp_errors_total{tool,code}`
+- `mcp_cache_hits_total{tool_class}`, `mcp_cache_misses_total{tool_class}`,
+  `mcp_cache_hit_ratio{tool_class}`
+- `mcp_els_upstream_errors_total{endpoint,status}`
+- `mcp_sse_connections_active`
+- `mcp_redaction_applied_total{field}`
+- `mcp_billing_events_total{appSlug,tier}`
+
+**Prometheus scrape config:**
+
+```yaml
+scrape_configs:
+  - job_name: els-mcp
+    scrape_interval: 15s
+    metrics_path: /els/metrics
+    static_configs:
+      - targets: ['mcp-1.internal:3030', 'mcp-2.internal:3030']
+```
+
+**Grafana dashboard (минимальный JSON):**
+
+```json
+{
+  "title": "MCP — Overview",
+  "panels": [
+    { "title": "RPS by tool",
+      "targets": [{ "expr": "sum by (tool) (rate(mcp_requests_total[1m]))" }] },
+    { "title": "p95 latency",
+      "targets": [{ "expr": "histogram_quantile(0.95, sum by (tool, le) (rate(mcp_request_duration_seconds_bucket[5m])))" }] },
+    { "title": "Cache hit ratio",
+      "targets": [{ "expr": "mcp_cache_hit_ratio" }] },
+    { "title": "Upstream errors",
+      "targets": [{ "expr": "sum by (status) (rate(mcp_els_upstream_errors_total[5m]))" }] }
+  ]
+}
+```
+
+Полный SRE-dashboard + per-tool + per-tenant — `07-observability.md` § 4.
+
+### Логи (Loki shipper)
+
+Логи pino → stderr (stdio-mode) или stdout (HTTP-mode) → Promtail → Loki.
+
+**Promtail config (минимальный):**
+
+```yaml
+scrape_configs:
+  - job_name: els-mcp
+    static_configs:
+      - targets: [localhost]
+        labels:
+          job: els-mcp
+          service: els-mcp
+          __path__: /var/log/els-mcp/*.log
+    pipeline_stages:
+      - json:
+          expressions:
+            level: level
+            tool: tool
+            appSlug: appSlug
+            requestId: requestId
+      - labels:
+          level:
+          tool:
+```
+
+Чувствительные поля (`*.token`, `*.apiKey`, `Authorization` headers и т.д.)
+автоматически замещаются на `<REDACTED>` в pino-логах (см.
+`src/observability/logger.ts`).
+
+### Tracing (OpenTelemetry)
+
+Опциональный — включается через `OTEL_EXPORTER_OTLP_ENDPOINT`. Если не
+задан, SDK вообще не загружается (zero overhead).
+
+Auto-instrumentation: HTTP, undici (ELS calls), ioredis, Express.
+
+### Health endpoints
+
+- `GET /els/healthz` — liveness (всегда 200 если процесс жив).
+- `GET /els/readyz` — readiness: проверяет Redis ping + ELS upstream
+  reachability. Возвращает 503 если хотя бы одна зависимость не отвечает.
+  Готовые handler'ы — `src/http/routes/metrics.ts` (подключаются
+  Phase 3 transport-роутером).
+
+### ENV-переменные (Phase 4)
+
+| ENV | Default | Описание |
+|---|---|---|
+| `MCP_REDIS_URL` | `redis://localhost:6379` | Redis URL |
+| `MCP_CACHE_ENABLED` | `true` | Включить cache layer |
+| `MCP_METRICS_ENABLED` | `true` | Включить `/els/metrics` |
+| `MCP_CACHE_TTL_OVERRIDE_*` | — | Override TTL per class (секунды) |
+| `OTEL_EXPORTER_OTLP_ENDPOINT` | — | OTLP traces; если не задан → no-op |
+| `MCP_LOG_PRETTY` | `true` в dev | Pretty-print pino |
+
+## Что дальше (roadmap)
+
+Полная дорожная карта — `/todo/error-logs-service/mcp/12-migration-rollout.md`:
+
+- **Phase 2** — оставшиеся 10 tools + Resources (5 URI) + Prompts (4 templates) ✓
+- **Phase 3** — Streamable HTTP transport + OIDC через INSO Auth ✓
+- **Phase 4** — Redis cache + observability (Prometheus, OTel) + LK resolver для OIDC sub ✓
+- **Phase 5** — PII redaction + audit log + billing tracking ✓
+- **Phase 6** — Security hardening (deny-list, STRIDE), Mistral `explain_error`
+- **Phase 7** — Packaging (npm, Docker, Helm)
+
+## License
+
+Internal INSO project. Not for public distribution.

package/dist/audit/prisma.d.ts

@@ -0,0 +1,67 @@
+/**
+ * Тонкая обёртка над Prisma client, который **опционально** доступен.
+ *
+ * Подход:
+ *   - Импорт `@prisma/client` (path: ../../node_modules/.prisma/mcp) делается
+ *     лениво и в try/catch — если пакет не сгенерирован, audit/billing
+ *     модули переходят в no-op режим.
+ *   - В Phase 5 мы НЕ требуем live Postgres для тестов / dev — все
+ *     `prisma.*`-операции в тестах подменяются через `vi.mock`.
+ *
+ * Контракт:
+ *   - `getPrisma()` возвращает либо живой client, либо null (если MCP_DATABASE_URL
+ *     не задан или пакет не сгенерирован).
+ *   - Идемпотентен: повторные вызовы возвращают тот же instance.
+ */
+import type { Logger } from 'pino';
+/**
+ * Минимальный интерфейс клиента, который мы используем.
+ * Совпадает по форме с реальным Prisma client.
+ */
+export interface McpPrismaClient {
+    $disconnect(): Promise<void>;
+    $transaction<T>(fn: (tx: McpPrismaClient) => Promise<T>): Promise<T>;
+    mcpAuditLog: {
+        findFirst(args: {
+            where?: Record<string, unknown>;
+            orderBy?: Record<string, 'asc' | 'desc'>;
+            select?: Record<string, boolean>;
+        }): Promise<{
+            rowHash: string;
+        } | null>;
+        create(args: {
+            data: Record<string, unknown>;
+        }): Promise<unknown>;
+    };
+    mcpUsageDaily: {
+        upsert(args: {
+            where: Record<string, unknown>;
+            update: Record<string, unknown>;
+            create: Record<string, unknown>;
+        }): Promise<unknown>;
+        aggregate(args: {
+            where: Record<string, unknown>;
+            _sum: {
+                count: true;
+            };
+        }): Promise<{
+            _sum: {
+                count: bigint | null;
+            };
+        }>;
+    };
+}
+export interface PrismaInitOptions {
+    databaseUrl?: string;
+    log?: Logger;
+}
+/**
+ * Lazy init. Если пакет недоступен — возвращает null, логирует warn.
+ */
+export declare function getPrisma(opts?: PrismaInitOptions): Promise<McpPrismaClient | null>;
+/**
+ * Для тестов — позволяет инжектировать mock-client.
+ */
+export declare function setPrismaForTests(client: McpPrismaClient | null): void;
+export declare function resetPrismaForTests(): void;
+//# sourceMappingURL=prisma.d.ts.map

package/dist/audit/prisma.d.ts.map

@@ -0,0 +1 @@
+{"version":3,"file":"prisma.d.ts","sourceRoot":"","sources":["../../src/audit/prisma.ts"],"names":[],"mappings":"AAAA;;;;;;;;;;;;;;GAcG;AAEH,OAAO,KAAK,EAAE,MAAM,EAAE,MAAM,MAAM,CAAC;AAEnC;;;GAGG;AACH,MAAM,WAAW,eAAe;IAC9B,WAAW,IAAI,OAAO,CAAC,IAAI,CAAC,CAAC;IAC7B,YAAY,CAAC,CAAC,EAAE,EAAE,EAAE,CAAC,EAAE,EAAE,eAAe,KAAK,OAAO,CAAC,CAAC,CAAC,GAAG,OAAO,CAAC,CAAC,CAAC,CAAC;IACrE,WAAW,EAAE;QACX,SAAS,CAAC,IAAI,EAAE;YACd,KAAK,CAAC,EAAE,MAAM,CAAC,MAAM,EAAE,OAAO,CAAC,CAAC;YAChC,OAAO,CAAC,EAAE,MAAM,CAAC,MAAM,EAAE,KAAK,GAAG,MAAM,CAAC,CAAC;YACzC,MAAM,CAAC,EAAE,MAAM,CAAC,MAAM,EAAE,OAAO,CAAC,CAAC;SAClC,GAAG,OAAO,CAAC;YAAE,OAAO,EAAE,MAAM,CAAA;SAAE,GAAG,IAAI,CAAC,CAAC;QACxC,MAAM,CAAC,IAAI,EAAE;YAAE,IAAI,EAAE,MAAM,CAAC,MAAM,EAAE,OAAO,CAAC,CAAA;SAAE,GAAG,OAAO,CAAC,OAAO,CAAC,CAAC;KACnE,CAAC;IACF,aAAa,EAAE;QACb,MAAM,CAAC,IAAI,EAAE;YACX,KAAK,EAAE,MAAM,CAAC,MAAM,EAAE,OAAO,CAAC,CAAC;YAC/B,MAAM,EAAE,MAAM,CAAC,MAAM,EAAE,OAAO,CAAC,CAAC;YAChC,MAAM,EAAE,MAAM,CAAC,MAAM,EAAE,OAAO,CAAC,CAAC;SACjC,GAAG,OAAO,CAAC,OAAO,CAAC,CAAC;QACrB,SAAS,CAAC,IAAI,EAAE;YACd,KAAK,EAAE,MAAM,CAAC,MAAM,EAAE,OAAO,CAAC,CAAC;YAC/B,IAAI,EAAE;gBAAE,KAAK,EAAE,IAAI,CAAA;aAAE,CAAC;SACvB,GAAG,OAAO,CAAC;YAAE,IAAI,EAAE;gBAAE,KAAK,EAAE,MAAM,GAAG,IAAI,CAAA;aAAE,CAAA;SAAE,CAAC,CAAC;KACjD,CAAC;CACH;AAKD,MAAM,WAAW,iBAAiB;IAChC,WAAW,CAAC,EAAE,MAAM,CAAC;IACrB,GAAG,CAAC,EAAE,MAAM,CAAC;CACd;AAED;;GAEG;AACH,wBAAsB,SAAS,CAAC,IAAI,GAAE,iBAAsB,GAAG,OAAO,CAAC,eAAe,GAAG,IAAI,CAAC,CAoC7F;AAED;;GAEG;AACH,wBAAgB,iBAAiB,CAAC,MAAM,EAAE,eAAe,GAAG,IAAI,GAAG,IAAI,CAGtE;AAED,wBAAgB,mBAAmB,IAAI,IAAI,CAG1C"}

package/dist/audit/prisma.js

@@ -0,0 +1,65 @@
+/**
+ * Тонкая обёртка над Prisma client, который **опционально** доступен.
+ *
+ * Подход:
+ *   - Импорт `@prisma/client` (path: ../../node_modules/.prisma/mcp) делается
+ *     лениво и в try/catch — если пакет не сгенерирован, audit/billing
+ *     модули переходят в no-op режим.
+ *   - В Phase 5 мы НЕ требуем live Postgres для тестов / dev — все
+ *     `prisma.*`-операции в тестах подменяются через `vi.mock`.
+ *
+ * Контракт:
+ *   - `getPrisma()` возвращает либо живой client, либо null (если MCP_DATABASE_URL
+ *     не задан или пакет не сгенерирован).
+ *   - Идемпотентен: повторные вызовы возвращают тот же instance.
+ */
+let cachedClient = null;
+let attempted = false;
+/**
+ * Lazy init. Если пакет недоступен — возвращает null, логирует warn.
+ */
+export async function getPrisma(opts = {}) {
+    if (cachedClient)
+        return cachedClient;
+    if (attempted)
+        return null;
+    attempted = true;
+    if (!opts.databaseUrl || opts.databaseUrl.length === 0) {
+        opts.log?.debug?.('MCP_DATABASE_URL not set; audit/billing in no-op mode');
+        return null;
+    }
+    try {
+        // Динамический импорт — не падаем, если @prisma/client не сгенерирован.
+        // Path указывает на custom-output из schema.prisma. Спецификатор —
+        // переменная (не литерал), чтобы TS не пытался резолвить путь во время
+        // компиляции (модуль может физически отсутствовать).
+        const segments = ['..', '..', 'node_modules', '.prisma', 'mcp', 'index.js'];
+        const modPath = segments.join('/');
+        const mod = (await import(modPath /* @vite-ignore */).catch(() => null));
+        if (!mod || typeof mod.PrismaClient !== 'function') {
+            opts.log?.warn?.('MCP Prisma client not generated (node_modules/.prisma/mcp). Run `npm run prisma:generate`. Audit/billing disabled.');
+            return null;
+        }
+        cachedClient = new mod.PrismaClient({
+            datasources: { db: { url: opts.databaseUrl } },
+        });
+        opts.log?.info?.('MCP Prisma client initialised');
+        return cachedClient;
+    }
+    catch (err) {
+        opts.log?.warn?.({ err }, 'Failed to init MCP Prisma client; audit/billing disabled');
+        return null;
+    }
+}
+/**
+ * Для тестов — позволяет инжектировать mock-client.
+ */
+export function setPrismaForTests(client) {
+    cachedClient = client;
+    attempted = true;
+}
+export function resetPrismaForTests() {
+    cachedClient = null;
+    attempted = false;
+}
+//# sourceMappingURL=prisma.js.map

package/dist/audit/prisma.js.map

@@ -0,0 +1 @@
+{"version":3,"file":"prisma.js","sourceRoot":"","sources":["../../src/audit/prisma.ts"],"names":[],"mappings":"AAAA;;;;;;;;;;;;;;GAcG;AAgCH,IAAI,YAAY,GAA2B,IAAI,CAAC;AAChD,IAAI,SAAS,GAAG,KAAK,CAAC;AAOtB;;GAEG;AACH,MAAM,CAAC,KAAK,UAAU,SAAS,CAAC,OAA0B,EAAE;IAC1D,IAAI,YAAY;QAAE,OAAO,YAAY,CAAC;IACtC,IAAI,SAAS;QAAE,OAAO,IAAI,CAAC;IAC3B,SAAS,GAAG,IAAI,CAAC;IAEjB,IAAI,CAAC,IAAI,CAAC,WAAW,IAAI,IAAI,CAAC,WAAW,CAAC,MAAM,KAAK,CAAC,EAAE,CAAC;QACvD,IAAI,CAAC,GAAG,EAAE,KAAK,EAAE,CAAC,uDAAuD,CAAC,CAAC;QAC3E,OAAO,IAAI,CAAC;IACd,CAAC;IAED,IAAI,CAAC;QACH,wEAAwE;QACxE,mEAAmE;QACnE,uEAAuE;QACvE,qDAAqD;QACrD,MAAM,QAAQ,GAAG,CAAC,IAAI,EAAE,IAAI,EAAE,cAAc,EAAE,SAAS,EAAE,KAAK,EAAE,UAAU,CAAC,CAAC;QAC5E,MAAM,OAAO,GAAW,QAAQ,CAAC,IAAI,CAAC,GAAG,CAAC,CAAC;QAC3C,MAAM,GAAG,GAAG,CAAC,MAAM,MAAM,CAAC,OAAO,CAAC,kBAAkB,CAAC,CAAC,KAAK,CAAC,GAAG,EAAE,CAAC,IAAI,CAAC,CAE/D,CAAC;QAET,IAAI,CAAC,GAAG,IAAI,OAAO,GAAG,CAAC,YAAY,KAAK,UAAU,EAAE,CAAC;YACnD,IAAI,CAAC,GAAG,EAAE,IAAI,EAAE,CACd,oHAAoH,CACrH,CAAC;YACF,OAAO,IAAI,CAAC;QACd,CAAC;QACD,YAAY,GAAG,IAAI,GAAG,CAAC,YAAY,CAAC;YAClC,WAAW,EAAE,EAAE,EAAE,EAAE,EAAE,GAAG,EAAE,IAAI,CAAC,WAAW,EAAE,EAAE;SAC/C,CAAC,CAAC;QACH,IAAI,CAAC,GAAG,EAAE,IAAI,EAAE,CAAC,+BAA+B,CAAC,CAAC;QAClD,OAAO,YAAY,CAAC;IACtB,CAAC;IAAC,OAAO,GAAG,EAAE,CAAC;QACb,IAAI,CAAC,GAAG,EAAE,IAAI,EAAE,CAAC,EAAE,GAAG,EAAE,EAAE,0DAA0D,CAAC,CAAC;QACtF,OAAO,IAAI,CAAC;IACd,CAAC;AACH,CAAC;AAED;;GAEG;AACH,MAAM,UAAU,iBAAiB,CAAC,MAA8B;IAC9D,YAAY,GAAG,MAAM,CAAC;IACtB,SAAS,GAAG,IAAI,CAAC;AACnB,CAAC;AAED,MAAM,UAAU,mBAAmB;IACjC,YAAY,GAAG,IAAI,CAAC;IACpB,SAAS,GAAG,KAAK,CAAC;AACpB,CAAC"}