@nitra/cursor 1.13.58 → 1.13.60

package/.claude-template/hooks/capture-decisions.sh

@@ -44,9 +44,12 @@ fi
 # Extract role + text + thinking + tool_use names from JSONL transcript.
 # We keep reasoning/decisions visible to the analyzer but drop large tool outputs.
 TRANSCRIPT=$(jq -r '
-  select(.type == "user" or .type == "assistant")
+  select(
+    .type == "user" or .type == "assistant"
+    or .role == "user" or .role == "assistant"
+  )
   | .message as $m
-  | ($m.role // .type) as $role
+  | ($m.role // .role // .type) as $role
   | ($m.content
       | if type == "string" then .
         else (
@@ -79,6 +82,7 @@ if (( ${#TRANSCRIPT} > MAX_CHARS )); then
 fi
 
 if [[ -z "$TRANSCRIPT" ]]; then
+  log "  → empty transcript after jq (Claude Code: .type; Cursor Agent: .role)"
   exit 0
 fi
 

package/CHANGELOG.md

@@ -4,11 +4,18 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
-## [1.13.58] - 2026-05-20
+## [1.13.60] - 2026-05-20
+
+### Fixed
+
+- Генерація **`AGENTS.md`** і **`CLAUDE.md`** при `npx @nitra/cursor`: Mustache-секції більше не вставляють порожній рядок між кожним пунктом списку (MD012), а фінальний markdown згортає зайві `\n\n\n` на стиках секцій — не потрібен окремий `lint-text` лише заради зачистки згенерованих файлів. Зачеплено: [generated-markdown.mjs](scripts/utils/generated-markdown.mjs) (`expandMustacheSection` — trim inner + `join('\n')`, `collapseMultipleBlankLines`, `formatGeneratedMarkdownLines`), [n-cursor.js](bin/n-cursor.js) (імпорт утиліт замість inline-логіки), [generated-markdown.test.mjs](scripts/utils/generated-markdown.test.mjs).
+
+## [1.13.59] - 2026-05-20
 
 ### Added
 
-- `check security`: новий concern **`security.sample_secret`** — placeholder фейкових credential-значень у прикладних файлах має бути `sample-secret`, а не bare `secret`. Причина: `sample-secret` містить підрядок `sample` із вшитого списку `DefaultFalsePositives` TruffleHog і відсіюється сканером гарантовано та незалежно від версії; bare `secret` наразі ігнорується лише тому, що випадково присутнє у словнику `fp_words.txt` — крихка, версієзалежна поведінка. [check.mjs](rules/security/fix/sample_secret/check.mjs) обходить дерево, відбирає прикладні файли (basename із суфіксом `.example`/`.sample`/`.template`/`.dist` чи infix `.example.`/`.sample.`/`.template.`, а також усе всередині каталогів `fixtures`/`fixture`/`__fixtures__`) і порядково шукає `secret` у позиції значення — одразу після `=`, `:` або `=>` з опційними лапками; імена ключів (`client_secret`, `JWT_SECRET`) не чіпаються, бо матч прив'язаний до значення. Решта файлів не сканується — там `secret` майже завжди частина реального коду. Скан текстовий (regex, не AST/Rego): прикладні файли — різнорідні конфіги (`.env`, YAML, JSON, TOML, plain `.dist`) без єдиного AST, а відбір файлів потребує обходу дерева. Зачеплено: [check.mjs](rules/security/fix/sample_secret/check.mjs) і [check.test.mjs](rules/security/fix/sample_secret/check.test.mjs) (новий concern + 9 тестів), [security.mdc](rules/security/security.mdc) (нова секція «Placeholder для секретів — `sample-secret`» та секція «Перевірка»). Bump `security.mdc` `2.0` → `2.1`.
+- Нове `alwaysApply`-правило **`feedback`** ([feedback.mdc](rules/feedback/feedback.mdc)) — ефемерний канал зворотного звʼязку до пакета `@nitra/cursor`. Виконуючи будь-який скіл пакета (`n-lint`, `n-fix`, `n-taze`, `n-adr-normalize`, `n-llm-patch`, `n-publish-telegram`, `mdc-check`), агент проходить крізь `.cursor/rules/`, `SKILL.md` і `npx @nitra/cursor check` — і бачить «тертя»: неоднозначні інструкції, відсутні `check-*.mjs`, false positive, порушення без автофіксу, повторювані патерни. Правило вимагає наприкінці скілу, **після** основного резюме, додати у відповідь чату секцію `## 🔧 Покращення @nitra/cursor` з пунктами за схемою `target` (`rule`/`skill`/`check`) · `id` · `kind` (`ambiguous-doc`/`missing-check`/`false-positive`/`no-autofix`/`recurring-pattern`) · `evidence` · `suggestion`. Резюме **навмисно ефемерне** — живе лише у відповіді чату: правило забороняє запис файлів/чернеток, GitHub issue/PR і редагування самого пакета; розробник, читаючи відповідь, сам вирішує, чи переносити пункт у пакет. Якщо тертя не було — секція повністю пропускається. Правило чисто документаційне (як `ci4`), `check-*.mjs` не має, бо поведінка агента програмно не верифікується. Зачеплено: новий каталог [rules/feedback/](rules/feedback/) з `feedback.mdc` (`version: '1.0'`), додано `"feedback"` у `rules` кореневого `.n-cursor.json` — після синку правило копіюється як `.cursor/rules/n-feedback.mdc` і потрапляє в `AGENTS.md`.
+- `check security`: новий concern **`security.sample_secret`** — placeholder фейкових credential-значень у прикладних файлах має бути `sample-secret`, а не bare `secret`. Причина: `sample-secret` містить підрядок `sample` із вшитого списку `DefaultFalsePositives` TruffleHog і відсіюється сканером гарантовано та незалежно від версії; bare `secret` наразі ігнорується лише тому, що випадково присутнє у словнику `fp_words.txt` — крихка поведінка, що залежить від версії інструмента. [check.mjs](rules/security/fix/sample_secret/check.mjs) обходить дерево, відбирає прикладні файли (basename із суфіксом `.example`/`.sample`/`.template`/`.dist` чи infix `.example.`/`.sample.`/`.template.`, а також усе всередині каталогів `fixtures`/`fixture`/`__fixtures__`) і порядково шукає `secret` у позиції значення — одразу після `=`, `:` або `=>` з опційними лапками; імена ключів (`client_secret`, `JWT_SECRET`) не чіпаються, бо матч прив'язаний до значення. Решта файлів не сканується — там `secret` майже завжди частина реального коду. Скан текстовий (regex, не AST/Rego): прикладні файли — різнорідні конфіги (`.env`, YAML, JSON, TOML, plain `.dist`) без єдиного AST, а відбір файлів потребує обходу дерева. Зачеплено: [check.mjs](rules/security/fix/sample_secret/check.mjs) і [check.test.mjs](rules/security/fix/sample_secret/check.test.mjs) (новий concern + 9 тестів), [security.mdc](rules/security/security.mdc) (нова секція «Placeholder для секретів — `sample-secret`» та секція «Перевірка»). Bump `security.mdc` `2.0` → `2.1`.
 
 ## [1.13.57] - 2026-05-19
 

package/bin/n-cursor.js

@@ -67,6 +67,7 @@ import { cwd, env } from 'node:process'
 import { fileURLToPath } from 'node:url'
 
 import { buildAgentsCommandBulletItems } from '../scripts/build-agents-commands.mjs'
+import { formatGeneratedMarkdownLines, renderAgentsTemplate } from '../scripts/utils/generated-markdown.mjs'
 import { inlineTemplateLinks } from '../scripts/utils/inline-template-links.mjs'
 import {
   detectAutoRules,
@@ -481,50 +482,6 @@ function formatClaudeCommandFrontmatter(descriptionRaw) {
   return `---\ndescription: >-\n  ${text}\n---\n\n`
 }
 
-/**
- * Розгортає в шаблоні блок Mustache {{#section}} … {{/section}} для масиву елементів
- * @param {string} template вихідний текст шаблону
- * @param {string} section ім'я секції (наприклад services)
- * @param {Record<string, string>[]} items елементи для повторення тіла секції
- * @param {string} prop ключ поля для підстановки замість {{prop}}
- * @returns {string} текст після розгортання усіх входжень блоку
- */
-function expandMustacheSection(template, section, items, prop) {
-  const open = `{{#${section}}}`
-  const close = `{{/${section}}}`
-  const placeholder = `{{${prop}}}`
-  let result = template
-  let start = result.indexOf(open)
-  let end = result.indexOf(close)
-  while (start !== -1 && end !== -1 && end > start) {
-    const inner = result.slice(start + open.length, end)
-    const rendered = items.map(item => inner.split(placeholder).join(String(item[prop]))).join('')
-    result = result.slice(0, start) + rendered + result.slice(end + close.length)
-    start = result.indexOf(open)
-    end = result.indexOf(close)
-  }
-  return result
-}
-
-/**
- * Підставляє у вміст AGENTS.template.md список шляхів до файлів правил, skills і команд з package.json
- * @param {string} templateText вміст AGENTS.template.md
- * @param {string[]} mdcBasenames імена файлів (*.mdc) з .cursor/rules
- * @param {{ name: string }[]} skillItems рядки для секції Skills
- * @param {{ name: string }[]} commandItems рядки для секції commands
- * @returns {string} готовий markdown для AGENTS.md
- */
-function renderAgentsTemplate(templateText, mdcBasenames, skillItems, commandItems) {
-  let result = templateText
-  const serviceItems = mdcBasenames.map(mdcName => ({
-    name: `- ${RULES_DIR}/${mdcName}`
-  }))
-  result = expandMustacheSection(result, 'services', serviceItems, 'name')
-  result = expandMustacheSection(result, 'skills', skillItems, 'name')
-  result = expandMustacheSection(result, 'commands', commandItems, 'name')
-  return result
-}
-
 /**
  * Повертає відсортовані імена *.mdc у .cursor/rules поточного проєкту
  * @returns {Promise<string[]>} базові імена файлів (лише .mdc)
@@ -712,10 +669,10 @@ async function syncClaudeMd(ignore) {
   lines.push(...buildClaudeLintParallelismSectionLines())
 
   const skillsSectionLines = await buildClaudeSkillsSectionLines()
-  lines.push(...skillsSectionLines, '')
+  lines.push(...skillsSectionLines)
   const claudeMdPath = join(cwd(), 'CLAUDE.md')
   const hadFile = existsSync(claudeMdPath)
-  await writeFile(claudeMdPath, lines.join('\n'), 'utf8')
+  await writeFile(claudeMdPath, formatGeneratedMarkdownLines(lines), 'utf8')
   console.log(hadFile ? `📝 Оновлено CLAUDE.md` : `📝 Створено CLAUDE.md`)
 }
 
@@ -739,8 +696,7 @@ async function syncAgentsMd(agentsTemplatePath = BUNDLED_AGENTS_TEMPLATE_PATH) {
   const body = renderAgentsTemplate(templateText, mdcFiles, skillItems, commandItems)
   const agentsPath = join(cwd(), AGENTS_FILE)
   const hadFile = existsSync(agentsPath)
-  const out = body.endsWith('\n') ? body : `${body}\n`
-  await writeFile(agentsPath, out, 'utf8')
+  await writeFile(agentsPath, body.endsWith('\n') ? body : `${body}\n`, 'utf8')
   console.log(
     hadFile
       ? `📝 Оновлено ${AGENTS_FILE} з ${AGENTS_TEMPLATE_FILE}`

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.13.58",
+  "version": "1.13.60",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/feedback/feedback.mdc

@@ -0,0 +1,63 @@
+---
+description: Ефемерне резюме «тертя» з пакетом @nitra/cursor наприкінці кожного скілу — агент називає, що в правилах / SKILL.md / check заважало, без запису у файли
+alwaysApply: true
+version: '1.0'
+---
+
+Правило про **зворотний звʼязок до пакета `@nitra/cursor`**. Виконуючи скіл пакета (`n-lint`, `n-fix`, `n-taze`, `n-adr-normalize`, `n-llm-patch`, `n-publish-telegram`, `mdc-check`), агент проходить крізь правила `.cursor/rules/`, інструкції `SKILL.md` і програмні перевірки `npx @nitra/cursor check`. Саме тут видно, що в пакеті недопрацьовано: неоднозначна інструкція, відсутня перевірка, хибне спрацювання, порушення без автофіксу. Ця інформація цінна для розробників пакета, але без явного кроку зникає разом із сесією.
+
+## Коли застосовувати
+
+Лише якщо в цій сесії агент **виконав хоча б один скіл** `@nitra/cursor`. Без виконання skills правило інертне — додавати нічого не треба.
+
+## Що зробити
+
+Наприкінці скілу, **після** основного резюме роботи, додай у відповідь чату секцію `## 🔧 Покращення @nitra/cursor` — але лише якщо під час виконання було помічене **тертя** з пакетом.
+
+**Тертя** — усе, що ускладнило роботу скілу й стосується самого пакета `@nitra/cursor`, а не коду користувацького проєкту:
+
+- неоднозначна чи неповна інструкція в `SKILL.md` або `.mdc`;
+- правило вимагає поведінку, яку можна перевірити програмно, але `check-*.mjs` для неї немає;
+- хибне спрацювання перевірки (false positive);
+- порушення, яке правило вимагає виправляти вручну, хоча реальний автофікс можливий;
+- повторюваний патерн, який варто закодувати в правило чи скіл.
+
+Звичайні порушення **коду користувача**, які скіл і має виправляти, — це **не** тертя.
+
+## Формат секції
+
+Кожен пункт — за схемою:
+
+- **target** — `rule` | `skill` | `check`
+- **id** — який саме (`lint`, `text`, `js-lint`, …)
+- **kind** — `ambiguous-doc` | `missing-check` | `false-positive` | `no-autofix` | `recurring-pattern`
+- **evidence** — конкретний `файл:рядок` або вивід команди з цього запуску
+- **suggestion** — запропонована зміна
+
+Приклад:
+
+```text
+## 🔧 Покращення @nitra/cursor
+
+- skill `n-lint`, `ambiguous-doc` — крок 2 не каже, як діяти при частковому autofix
+  evidence: `oxlint --fix` лишив 3 no-autofix-помилки
+  suggestion: додати в SKILL.md підпункт про частковий autofix
+- rule `js-lint`, `missing-check` — немає програмної перевірки jscpd-порогу
+  evidence: jscpd впав, але `check js-lint` цього не ловить
+```
+
+## Ефемерність — обовʼязково
+
+Резюме живе **тільки в цій відповіді чату**. **Заборонено**:
+
+- записувати або створювати файли (чернетки, тимчасові нотатки на диску, будь-що в `docs/`);
+- створювати GitHub issue чи PR;
+- редагувати сам пакет `@nitra/cursor`.
+
+Це навмисний вибір: канал має бути легким і миттєвим. Розробник, читаючи відповідь, сам вирішує, чи переносити пункт у пакет.
+
+## Чесність
+
+- Лише **реальне** тертя, помічене в **цьому** запуску — без припущень і вигаданих прикладів.
+- Якщо тертя не було — **повністю пропусти** секцію; не пиши порожню секцію чи «все добре».
+- Не дублюй у секції переказ роботи скілу — лише конкретні, дієві пропозиції до пакета.

package/rules/security/fix/sample_secret/check.mjs

@@ -6,9 +6,9 @@
  *
  * `sample-secret` містить підрядок `sample`, який є у вшитому списку
  * `DefaultFalsePositives` TruffleHog — таке значення сканер відсіює
- * гарантовано й незалежно від версії. Bare `secret` наразі не репортиться
- * лише тому, що випадково присутнє у словнику `fp_words.txt`; це крихка,
- * версієзалежна поведінка, на яку не варто покладатися.
+ * гарантовано й незалежно від версії. Bare `secret` наразі не фіксується сканером
+ * лише тому, що випадково присутнє у словнику `fp_words.txt`; це крихка поведінка,
+ * що залежить від версії інструмента, на яку не варто покладатися.
  *
  * Прикладними вважаються файли, чий basename має суфікс `.example` / `.sample`
  * / `.template` / `.dist` або infix `.example.` / `.sample.` / `.template.`, а
@@ -46,7 +46,7 @@ const FIXTURE_DIR_RE = /(?:^|\/)(?:__fixtures__|fixtures?)(?:\/|$)/u
  * далі лише пробіли / завершальна пунктуація / коментар до кінця рядка. Прив'язка
  * до `$` гарантує, що `secret` — увесь токен значення (`secret-key`, `secretValue`
  * не матчаться); прив'язка до `[:=]` відсікає імена ключів (`client_secret`).
- * Регістронезалежно.
+ * Без урахування регістру символів.
  */
 const VALUE_SECRET_RE = /[:=]>?\s*(['"]?)secret\1[\s,;}\])]*(?:(?:#|\/\/).*)?$/iu
 
@@ -90,8 +90,8 @@ export async function check() {
       continue
     }
     const lines = content.split('\n')
-    for (let i = 0; i < lines.length; i++) {
-      const line = lines[i].endsWith('\r') ? lines[i].slice(0, -1) : lines[i]
+    for (const [i, line_] of lines.entries()) {
+      const line = line_.endsWith('\r') ? line_.slice(0, -1) : line_
       if (!VALUE_SECRET_RE.test(line)) continue
       violations++
       fail(`${rel}:${i + 1}: \`${line.trim()}\` — заміни placeholder \`secret\` на \`sample-secret\` (security.mdc)`)

package/rules/security/security.mdc

@@ -40,7 +40,7 @@ Workflow обовʼязковий — забезпечує незалежний
 
 Фейкові credential-значення у **прикладних файлах** (`.env.example`, `.env.dist`, `*.example`, `*.sample`, `*.template`, вміст каталогів `fixtures/`) пиши як `sample-secret`, а не як bare `secret`.
 
-`sample-secret` містить підрядок `sample` із вшитого списку `DefaultFalsePositives` TruffleHog — таке значення сканер відсіює **гарантовано** й незалежно від версії. Bare `secret` наразі не репортиться лише тому, що випадково присутнє у словнику `fp_words.txt`; це крихка, версієзалежна поведінка.
+`sample-secret` містить підрядок `sample` із вшитого списку `DefaultFalsePositives` TruffleHog — таке значення сканер відсіює **гарантовано** й незалежно від версії. Bare `secret` наразі не фіксується сканером лише тому, що випадково присутнє у словнику `fp_words.txt`; це крихка поведінка, що залежить від версії інструмента.
 
 - Правильно: `DB_PASSWORD=sample-secret`, `password: "sample-secret"`
 - Неправильно: `DB_PASSWORD=secret`, `password: "secret"`

package/scripts/utils/generated-markdown.mjs

@@ -0,0 +1,71 @@
+/**
+ * Утиліти генерації AGENTS.md / CLAUDE.md з шаблонів CLI `n-cursor`.
+ *
+ * Після розгортання Mustache-секцій і збирання рядків CLAUDE.md нормалізує markdown,
+ * щоб не лишати подвійні порожні рядки (MD012) між пунктами списку чи на стиках секцій.
+ */
+
+/**
+ * Згортає три й більше послідовних `\n` до рівно двох (один порожній рядок між блоками).
+ * @param {string} text вихідний markdown
+ * @returns {string} markdown без послідовностей з трьох і більше `\n`
+ */
+export function collapseMultipleBlankLines(text) {
+  return String(text).replaceAll(/\n{3,}/g, '\n\n')
+}
+
+/**
+ * Розгортає блок Mustache `{{#section}}…{{/section}}` для масиву елементів.
+ * Після `trim` тіла секції елементи зʼєднуються одним `\n` без зайвих порожніх рядків між ними.
+ * @param {string} template вихідний текст шаблону
+ * @param {string} section ім'я секції (наприклад services)
+ * @param {Record<string, string>[]} items елементи для повторення тіла секції
+ * @param {string} prop ключ поля для підстановки замість `{{prop}}`
+ * @returns {string} шаблон після підстановки всіх входжень блоку секції
+ */
+export function expandMustacheSection(template, section, items, prop) {
+  const open = `{{#${section}}}`
+  const close = `{{/${section}}}`
+  const placeholder = `{{${prop}}}`
+  let result = template
+  let start = result.indexOf(open)
+  let end = result.indexOf(close)
+  while (start !== -1 && end !== -1 && end > start) {
+    const inner = result.slice(start + open.length, end).trim()
+    const rendered = items.map(item => inner.split(placeholder).join(String(item[prop]))).join('\n')
+    result = result.slice(0, start) + rendered + result.slice(end + close.length)
+    start = result.indexOf(open)
+    end = result.indexOf(close)
+  }
+  return result
+}
+
+/**
+ * Підставляє у AGENTS.template.md списки правил, skills і команд.
+ * @param {string} templateText вміст AGENTS.template.md
+ * @param {string[]} mdcBasenames імена файлів (*.mdc) з .cursor/rules
+ * @param {{ name: string }[]} skillItems рядки для секції Skills
+ * @param {{ name: string }[]} commandItems рядки для секції commands
+ * @returns {string} готовий вміст AGENTS.md без подвійних порожніх рядків у списках
+ */
+export function renderAgentsTemplate(templateText, mdcBasenames, skillItems, commandItems) {
+  let result = templateText
+  const serviceItems = mdcBasenames.map(mdcName => ({
+    name: `- .cursor/rules/${mdcName}`
+  }))
+  result = expandMustacheSection(result, 'services', serviceItems, 'name')
+  result = expandMustacheSection(result, 'skills', skillItems, 'name')
+  result = expandMustacheSection(result, 'commands', commandItems, 'name')
+  return collapseMultipleBlankLines(result)
+}
+
+/**
+ * Збирає markdown з рядків, прибираючи подвійні порожні рядки на стиках секцій.
+ * @param {string[]} lines рядки документа
+ * @returns {string} зібраний markdown із завершальним `\n`
+ */
+export function formatGeneratedMarkdownLines(lines) {
+  const text = lines.join('\n')
+  const collapsed = collapseMultipleBlankLines(text)
+  return collapsed.endsWith('\n') ? collapsed : `${collapsed}\n`
+}