npm - @luanpdd/kit-mcp - Versions diffs - 1.5.1 → 1.5.3 - Mend

@luanpdd/kit-mcp 1.5.1 → 1.5.3

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (7) hide show

package/CHANGELOG.md CHANGED Viewed

@@ -6,6 +6,43 @@ Format: [Keep a Changelog](https://keepachangelog.com/en/1.1.0/) · Versioning:
 ## [Unreleased]
+## [1.5.3] - 2026-05-05
+Patch bundle de auditoria — 4 melhorias quick-win (1 segurança, 1 infra, 2 token-economy).
+### Segurança
+- **POST /shutdown agora valida Origin** ([src/ui/server.js](src/ui/server.js)). Antes, qualquer página local podia derrubar o sidecar via fetch cross-origin (CSRF local por DNS rebinding). Agora retorna 403 em Origin não permitido — alinha com o comportamento de POST /publish. Novo teste em [test/integration/ui-server.test.js](test/integration/ui-server.test.js) cobre o caso.
+### Infraestrutura
+- **Fix do extrator de release notes** ([.github/workflows/publish.yml](.github/workflows/publish.yml)). O awk regex `## [VERSION]` interpretava `[…]` como bracket class em vez de literal — todo release desde a v1.0.0 caía em fallback `Release vX.Y.Z.` em vez de pegar o body do CHANGELOG. Corrigido com `[[]VERSION[]]` (POSIX char-class trick para casar `[` e `]` literais). Validado localmente contra o CHANGELOG da v1.5.2.
+### Economia de tokens
+- **`mcp__kit__kit list-*` não retorna mais `absPath`** ([src/mcp-server/index.js](src/mcp-server/index.js), [src/cli/index.js](src/cli/index.js)). Caminhos absolutos do filesystem (especialmente em Windows com Long Paths) custam tokens em todo turn que liste agents/commands/skills sem trazer benefício para o consumidor IA. Para o caminho específico de um item, use `action=get`.
+- **Tabela "Vago/Correto" do `planner.md` reduzida de 5 → 2 linhas** ([kit/agents/planner.md](kit/agents/planner.md)). Mantém a heurística de teste sem repetir 5 exemplos didáticos. Cada agente carregado paga menos.
+### Sem mudanças de API runtime
+`absPath` segue disponível via `mcp__kit__kit action=get`. Stable API v1.0+ preservada.
+## [1.5.2] - 2026-05-05
+Patch de lifecycle: sidecar não desliga mais sozinho por idle.
+### Corrigido
+- **Sidecar encerrava sozinho após 30min** mesmo com a aba aberta sem eventos. Default de `idleMs` mudou de `30 * 60 * 1000` (30min) para `0` (nunca encerra). Resolve "abro a sidecar pra acompanhar trabalho longo, saio almoçar, volto e tá morta". Quem quiser o comportamento antigo: `kit ui start --idle-ms 1800000`.
+### Sem mudanças de API
+Patch isolado em `src/ui/server.js`. Stable API v1.0+ preservada.
+### Heads-up
+Se você tem `@luanpdd/kit-mcp` instalado globalmente (`npm i -g`) e `kit ui start` está dando "unknown command 'ui'", a versão global está stale. Atualize com `npm i -g @luanpdd/kit-mcp@latest`.
 ## [1.5.1] - 2026-05-05
 Patch da UI sidecar: auto-reconnect quando o server reinicia + bordas com respiro.

package/bin/ui.js CHANGED Viewed

@@ -33,7 +33,7 @@ if (args.help) {
     'Usage: node bin/ui.js [options]',
     '  --project-root <path>   project root for lockfile keying (default: cwd)',
     '  --port <n>              bind to a specific port (default: auto-pick 7100-7199)',
-    '  --idle-ms <ms>          idle shutdown timeout (default: 1800000 = 30min; 0 = never)',
+    '  --idle-ms <ms>          idle shutdown timeout (default: 0 = never; pass e.g. 1800000 for 30min)',
     '  --version               print version and exit',
     '  --help                  this text',
     '',

package/kit/agents/planner.md CHANGED Viewed

@@ -242,11 +242,8 @@ Isso evita o anti-padrão de "caça ao tesouro" onde executores exploram a base
 | VAGO DEMAIS | CORRETO |
 |-------------|---------|
-| "Adicionar autenticação" | "Adicionar auth JWT com rotação de refresh usando biblioteca jose, armazenar em cookie httpOnly, 15min acesso / 7dias refresh" |
-| "Criar a API" | "Criar endpoint POST /api/projects aceitando {name, description}, valida comprimento do nome 3-50 chars, retorna 201 com objeto project" |
-| "Estilizar o dashboard" | "Adicionar classes Tailwind ao Dashboard.tsx: layout grid (3 colunas no lg, 1 no mobile), sombras nos cards, estados hover nos botões de ação" |
-| "Tratar erros" | "Envolver chamadas de API em try/catch, retornar {error: string} em 4xx/5xx, exibir toast via sonner no cliente" |
-| "Configurar o banco de dados" | "Adicionar modelos User e Project ao schema.prisma com UUIDs, constraint unique no email, timestamps createdAt/updatedAt, executar prisma db push" |
+| "Adicionar autenticação" | "Adicionar auth JWT com rotação de refresh usando jose, cookie httpOnly, 15min/7d" |
+| "Criar a API" | "POST /api/projects aceitando {name, description}, valida nome 3-50 chars, retorna 201" |
 **Teste:** Outra instância do Claude poderia executar sem fazer perguntas esclarecedoras? Se não, adicione especificidade.

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
   "name": "@luanpdd/kit-mcp",
-  "version": "1.5.1",
+  "version": "1.5.3",
   "description": "Generic infrastructure to ship YOUR personal kit of agents/commands/skills as an MCP server, with cross-IDE sync (Claude Code, Cursor, Codex, Gemini, Windsurf, Antigravity, Copilot, Trae).",
   "type": "module",
   "bin": {

package/src/cli/index.js CHANGED Viewed

@@ -145,7 +145,7 @@ function fail(msg) {
 }
 function slim(x) {
-  return { kind: x.kind, name: x.name, description: x.description, absPath: x.absPath };
+  return { kind: x.kind, name: x.name, description: x.description };
 }
 // --- kit ---
@@ -379,7 +379,7 @@ ui.command('start')
   .description('Start the sidecar HTTP server in foreground (Ctrl+C to stop). Prints URL on stderr.')
   .option('--project-root <path>', 'Project root for lockfile keying (default: cwd)')
   .option('--port <n>', 'Bind to a specific port (default: auto-pick 7100-7199)')
-  .option('--idle-ms <ms>', 'Idle shutdown timeout (default 30min; 0 = never)')
+  .option('--idle-ms <ms>', 'Idle shutdown timeout (default 0 = never; e.g. 1800000 for 30min)')
   .option('--no-open', 'Skip auto-opening the browser')
   .action(async (opts) => {
     const projectRoot = opts.projectRoot || process.cwd();

package/src/mcp-server/index.js CHANGED Viewed

@@ -253,7 +253,9 @@ const HANDLERS = {
 };
 function slim(x) {
-  return { kind: x.kind, name: x.name, description: x.description, absPath: x.absPath };
+  // absPath omitted by design — list-* tools are AI-consumed in tight context budgets.
+  // Use action=get to fetch the absPath (and content) for a specific item.
+  return { kind: x.kind, name: x.name, description: x.description };
 }
 // --- server bootstrap ---

package/src/ui/server.js CHANGED Viewed

@@ -33,7 +33,7 @@ const HOST = '127.0.0.1';
 const HEARTBEAT_INTERVAL_MS = 15_000;
 const RING_BUFFER_SIZE = 200;
 const MAX_SSE_SUBSCRIBERS = 32;
-const DEFAULT_IDLE_MS = 30 * 60 * 1000; // 30 minutes
+const DEFAULT_IDLE_MS = 0; // never auto-shutdown by default — pass --idle-ms 1800000 to opt back in
 const SSE_HEADERS = {
   'Content-Type': 'text/event-stream; charset=utf-8',
@@ -320,7 +320,11 @@ export function createServer({
     });
   }
-  async function handleShutdownRequest(res) {
+  async function handleShutdownRequest(req, res) {
+    if (!isOriginAllowed(req, listeningPort)) {
+      sendJson(res, 403, { error: 'origin_not_allowed' });
+      return;
+    }
     sendJson(res, 200, { ok: true, draining: true });
     setImmediate(() => {
       shutdown('explicit').catch((err) => logErr('shutdown error:', err.message));
@@ -360,7 +364,7 @@ export function createServer({
         case 'POST /publish':
           return handlePublish(req, res);
         case 'POST /shutdown':
-          return handleShutdownRequest(res);
+          return handleShutdownRequest(req, res);
         default:
           return sendJson(res, 404, { error: 'not_found', route });
       }