npm - @luanpdd/kit-mcp - Versions diffs - 1.5.2 → 1.5.3 - Mend

@luanpdd/kit-mcp 1.5.2 → 1.5.3

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (6) hide show

package/CHANGELOG.md CHANGED Viewed

@@ -6,6 +6,27 @@ Format: [Keep a Changelog](https://keepachangelog.com/en/1.1.0/) · Versioning:
 ## [Unreleased]
+## [1.5.3] - 2026-05-05
+Patch bundle de auditoria — 4 melhorias quick-win (1 segurança, 1 infra, 2 token-economy).
+### Segurança
+- **POST /shutdown agora valida Origin** ([src/ui/server.js](src/ui/server.js)). Antes, qualquer página local podia derrubar o sidecar via fetch cross-origin (CSRF local por DNS rebinding). Agora retorna 403 em Origin não permitido — alinha com o comportamento de POST /publish. Novo teste em [test/integration/ui-server.test.js](test/integration/ui-server.test.js) cobre o caso.
+### Infraestrutura
+- **Fix do extrator de release notes** ([.github/workflows/publish.yml](.github/workflows/publish.yml)). O awk regex `## [VERSION]` interpretava `[…]` como bracket class em vez de literal — todo release desde a v1.0.0 caía em fallback `Release vX.Y.Z.` em vez de pegar o body do CHANGELOG. Corrigido com `[[]VERSION[]]` (POSIX char-class trick para casar `[` e `]` literais). Validado localmente contra o CHANGELOG da v1.5.2.
+### Economia de tokens
+- **`mcp__kit__kit list-*` não retorna mais `absPath`** ([src/mcp-server/index.js](src/mcp-server/index.js), [src/cli/index.js](src/cli/index.js)). Caminhos absolutos do filesystem (especialmente em Windows com Long Paths) custam tokens em todo turn que liste agents/commands/skills sem trazer benefício para o consumidor IA. Para o caminho específico de um item, use `action=get`.
+- **Tabela "Vago/Correto" do `planner.md` reduzida de 5 → 2 linhas** ([kit/agents/planner.md](kit/agents/planner.md)). Mantém a heurística de teste sem repetir 5 exemplos didáticos. Cada agente carregado paga menos.
+### Sem mudanças de API runtime
+`absPath` segue disponível via `mcp__kit__kit action=get`. Stable API v1.0+ preservada.
 ## [1.5.2] - 2026-05-05
 Patch de lifecycle: sidecar não desliga mais sozinho por idle.

package/kit/agents/planner.md CHANGED Viewed

@@ -242,11 +242,8 @@ Isso evita o anti-padrão de "caça ao tesouro" onde executores exploram a base
 | VAGO DEMAIS | CORRETO |
 |-------------|---------|
-| "Adicionar autenticação" | "Adicionar auth JWT com rotação de refresh usando biblioteca jose, armazenar em cookie httpOnly, 15min acesso / 7dias refresh" |
-| "Criar a API" | "Criar endpoint POST /api/projects aceitando {name, description}, valida comprimento do nome 3-50 chars, retorna 201 com objeto project" |
-| "Estilizar o dashboard" | "Adicionar classes Tailwind ao Dashboard.tsx: layout grid (3 colunas no lg, 1 no mobile), sombras nos cards, estados hover nos botões de ação" |
-| "Tratar erros" | "Envolver chamadas de API em try/catch, retornar {error: string} em 4xx/5xx, exibir toast via sonner no cliente" |
-| "Configurar o banco de dados" | "Adicionar modelos User e Project ao schema.prisma com UUIDs, constraint unique no email, timestamps createdAt/updatedAt, executar prisma db push" |
+| "Adicionar autenticação" | "Adicionar auth JWT com rotação de refresh usando jose, cookie httpOnly, 15min/7d" |
+| "Criar a API" | "POST /api/projects aceitando {name, description}, valida nome 3-50 chars, retorna 201" |
 **Teste:** Outra instância do Claude poderia executar sem fazer perguntas esclarecedoras? Se não, adicione especificidade.

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
   "name": "@luanpdd/kit-mcp",
-  "version": "1.5.2",
+  "version": "1.5.3",
   "description": "Generic infrastructure to ship YOUR personal kit of agents/commands/skills as an MCP server, with cross-IDE sync (Claude Code, Cursor, Codex, Gemini, Windsurf, Antigravity, Copilot, Trae).",
   "type": "module",
   "bin": {

package/src/cli/index.js CHANGED Viewed

@@ -145,7 +145,7 @@ function fail(msg) {
 }
 function slim(x) {
-  return { kind: x.kind, name: x.name, description: x.description, absPath: x.absPath };
+  return { kind: x.kind, name: x.name, description: x.description };
 }
 // --- kit ---

package/src/mcp-server/index.js CHANGED Viewed

@@ -253,7 +253,9 @@ const HANDLERS = {
 };
 function slim(x) {
-  return { kind: x.kind, name: x.name, description: x.description, absPath: x.absPath };
+  // absPath omitted by design — list-* tools are AI-consumed in tight context budgets.
+  // Use action=get to fetch the absPath (and content) for a specific item.
+  return { kind: x.kind, name: x.name, description: x.description };
 }
 // --- server bootstrap ---

package/src/ui/server.js CHANGED Viewed

@@ -320,7 +320,11 @@ export function createServer({
     });
   }
-  async function handleShutdownRequest(res) {
+  async function handleShutdownRequest(req, res) {
+    if (!isOriginAllowed(req, listeningPort)) {
+      sendJson(res, 403, { error: 'origin_not_allowed' });
+      return;
+    }
     sendJson(res, 200, { ok: true, draining: true });
     setImmediate(() => {
       shutdown('explicit').catch((err) => logErr('shutdown error:', err.message));
@@ -360,7 +364,7 @@ export function createServer({
         case 'POST /publish':
           return handlePublish(req, res);
         case 'POST /shutdown':
-          return handleShutdownRequest(res);
+          return handleShutdownRequest(req, res);
         default:
           return sendJson(res, 404, { error: 'not_found', route });
       }