@nitra/cursor 12.11.3 → 12.13.0

package/scripts/docs/index.md

@@ -19,4 +19,5 @@ resource: npm/scripts/
 | [skills-cli.mjs](skills-cli.md)                                                     | JS Module |
 | [sync-claude-config.mjs](sync-claude-config.md)                                     | JS Module |
 | [sync-setup-bun-deps-action.mjs](sync-setup-bun-deps-action.md)                     | JS Module |
+| [update-blue-oak.mjs](update-blue-oak.md)                                           | JS Module |
 | [upgrade-nitra-cursor-and-install.mjs](upgrade-nitra-cursor-and-install.md)         | JS Module |

package/scripts/docs/update-blue-oak.md

@@ -0,0 +1,28 @@
+---
+type: JS Module
+title: update-blue-oak.mjs
+resource: npm/scripts/update-blue-oak.mjs
+docgen:
+  crc: f818f73b
+  model: omlx/gemma-4-e4b-it-OptiQ-4bit
+  score: 95
+---
+
+## Огляд
+
+Оновлює вбудований список ліцензій Blue Oak Council, отримуючи дані з https://blueoakcouncil.org/list.json. Витягує SPDX-ідентифікатори ліцензій рівнів Model, Gold, Silver та Bronze і зберігає їх у npm/data/blue-oak.json. Цей процес запускається вручну у середовищі @nitra/cursor командою bun npm/scripts/update-blue-oak.mjs. Оновлення відбувається рідко, але нові permissive ліцензії з'являються раз на кілька місяців. Lead-рівень (найгірший, GPL-compatible) навмисно виключений.
+
+## Поведінка
+
+1. Завантажує дані з https://blueoakcouncil.org/list.json.
+2. Перевіряє успішність отримання даних. У разі невдачі зупиняє виконання.
+3. Парсить отриманий JSON-відповідь.
+4. Ітерує по рейтингах у даних.
+5. Для кожного рейтингу перевіряє, чи належить він до рівнів Model, Gold, Silver або Bronze.
+6. Якщо рейтинг відповідає критеріям, витягує всі SPDX-ідентифікатори ліцензій, пов'язані з цим рейтингом, та додає їх до списку.
+7. Формує об'єкт, що містить версію даних та зібраний список SPDX-ідентифікаторів.
+8. Зберігає цей об'єкт у файл blue-oak.json у каталозі data.
+
+## Гарантії поведінки
+
+- (специфічних машинно-виведених гарантій немає)

package/scripts/lib/blue-oak.mjs

@@ -0,0 +1,45 @@
+/**
+ * Читає вбудований Blue Oak Council snapshot (`npm/data/blue-oak.json`).
+ * Повертає множину SPDX-ідентифікаторів рівнів Model+Gold+Silver+Bronze.
+ */
+import { readFileSync } from 'node:fs'
+import { dirname, join } from 'node:path'
+import { fileURLToPath } from 'node:url'
+
+const DATA_PATH = join(dirname(dirname(dirname(fileURLToPath(import.meta.url)))), 'data', 'blue-oak.json')
+
+/**
+ * Множина SPDX-ідентифікаторів Blue Oak Bronze і вище (Model+Gold+Silver+Bronze).
+ * Ліцензії з цього списку вважаються permissive-safe для комерційного проєкту.
+ * @returns {Set<string>}
+ */
+export function getBronzeAndAbove() {
+  const { bronzeAndAbove } = JSON.parse(readFileSync(DATA_PATH, 'utf8'))
+  return new Set(bronzeAndAbove)
+}
+
+/**
+ * Генерує TOML-рядок `[licenses]` для `deny.toml` (cargo-deny) на основі Blue Oak Bronze+.
+ * @returns {string}
+ */
+export function generateDenyTomlLicenses() {
+  const ids = [...getBronzeAndAbove()].toSorted()
+  const lines = ids.map(id => `    "${id}",`).join('\n')
+  return `[licenses]\nallow = [\n${lines}\n]\n`
+}
+
+/**
+ * Перевіряє SPDX-вираз проти Blue Oak Bronze+ allowlist.
+ * Підтримує: одиночний ID, `A OR B` (будь-який дозволений = OK), `A AND B` (усі мають бути дозволені).
+ * `NOASSERTION` і `NONE` завжди → false.
+ * @param {string} expression SPDX-вираз з pip-licenses або іншого інструмента
+ * @param {Set<string>} allowed множина дозволених SPDX-ідентифікаторів
+ * @returns {boolean}
+ */
+export function isSpdxAllowed(expression, allowed) {
+  if (!expression || expression === 'NOASSERTION' || expression === 'NONE') return false
+  const clean = s => s.trim().replace(/^\(|\)$/g, '')
+  if (expression.includes(' AND ')) return expression.split(' AND ').every(p => allowed.has(clean(p)))
+  if (expression.includes(' OR ')) return expression.split(' OR ').some(p => allowed.has(clean(p)))
+  return allowed.has(clean(expression))
+}

package/scripts/lib/discover-checkable-rules.mjs

@@ -17,6 +17,7 @@
 import { existsSync } from 'node:fs'
 import { readdir } from 'node:fs/promises'
 import { join } from 'node:path'
+import { globby } from 'globby'
 
 /**
  * @typedef {object} JsConcern
@@ -44,20 +45,12 @@ import { join } from 'node:path'
  */
 async function listJsConcerns(jsDir) {
   if (!existsSync(jsDir)) return []
-  const entries = await readdir(jsDir, { withFileTypes: true })
-  /** @type {JsConcern[]} */
-  const concerns = []
-  for (const entry of entries) {
-    if (!entry.isFile()) continue
-    if (!entry.name.endsWith('.mjs')) continue
-    if (entry.name.endsWith('.test.mjs')) continue
-    if (entry.name.startsWith('fix-')) continue
-    if (entry.name.startsWith('_')) continue
-    if (entry.name.startsWith('.')) continue
-    const name = entry.name.slice(0, -'.mjs'.length)
-    concerns.push({ name })
-  }
-  return concerns.toSorted((a, b) => a.name.localeCompare(b.name))
+  const files = await globby(['*.mjs', '!*.test.mjs', '!fix-*.mjs', '!_*'], {
+    cwd: jsDir,
+    onlyFiles: true,
+    gitignore: false
+  })
+  return files.map(f => ({ name: f.slice(0, -4) })).toSorted((a, b) => a.name.localeCompare(b.name))
 }
 
 /**

package/scripts/lib/docs/blue-oak.md

@@ -0,0 +1,29 @@
+---
+type: JS Module
+title: blue-oak.mjs
+resource: npm/scripts/lib/blue-oak.mjs
+docgen:
+  crc: 9039e57f
+  model: omlx/gemma-4-e4b-it-OptiQ-4bit
+  score: 100
+---
+
+## Огляд
+
+Модуль читає конфігурацію Blue Oak Council (`blue-oak.json`) для визначення дозволених рівнів SPDX. Він повертає множину SPDX-ідентифікаторів рівнів Model, Gold, Silver та Bronze. Модуль також генерує правила заборони ліцензій у форматі TOML та перевіряє відповідність будь-якого SPDX-ідентифікатора цьому списку.
+
+## Поведінка
+
+getBronzeAndAbove повертає множину SPDX-ідентифікаторів рівнів Model+Gold+Silver+Bronze, які беруться з конфігурації blue-oak.json.
+generateDenyTomlLicenses генерує TOML-рядок для `deny.toml` (cargo-deny), дозволяючи лише SPDX-ідентифікатори, що знаходяться у множині Blue Oak Bronze+.
+isSpdxAllowed перевіряє, чи відповідає наданий SPDX-вираз дозволеним ідентифікаторам, враховуючи логічні оператори `AND` та `OR`.
+
+## Публічний API
+
+getBronzeAndAbove — Визначає набір SPDX-ідентифікаторів (Model, Gold, Silver, Bronze), які вважаються безпечними для комерційного використання.
+generateDenyTomlLicenses — Створює конфігураційний рядок TOML для файлу `deny.toml`, що забороняє використання ліцензій нижче рівня Blue Oak Bronze.
+isSpdxAllowed — Визначає, чи відповідає заданий SPDX-ідентифікатор дозволеному списку Blue Oak Bronze+ згідно з логікою (одиночний ID, `A OR B`, `A AND B`).
+
+## Гарантії поведінки
+
+- Read-only: не виконує операцій запису (ФС/БД).

package/scripts/lib/docs/index.md

@@ -6,39 +6,39 @@ resource: npm/scripts/lib/
 
 # npm/scripts/lib
 
-| Файл | Тип |
-|---|---|
-| [assert-project-root.mjs](assert-project-root.md) | JS Module |
-| [changed-files.mjs](changed-files.md) | JS Module |
-| [check-mdc-template-refs.mjs](check-mdc-template-refs.md) | JS Module |
-| [check-reporter.mjs](check-reporter.md) | JS Module |
-| [diff-added-lines.mjs](diff-added-lines.md) | JS Module |
+| Файл                                                                        | Тип       |
+| --------------------------------------------------------------------------- | --------- |
+| [assert-project-root.mjs](assert-project-root.md)                           | JS Module |
+| [blue-oak.mjs](blue-oak.md)                                                 | JS Module |
+| [changed-files.mjs](changed-files.md)                                       | JS Module |
+| [check-reporter.mjs](check-reporter.md)                                     | JS Module |
+| [diff-added-lines.mjs](diff-added-lines.md)                                 | JS Module |
 | [discover-check-rules-from-cursor.mjs](discover-check-rules-from-cursor.md) | JS Module |
-| [discover-checkable-rules.mjs](discover-checkable-rules.md) | JS Module |
-| [ensure-tool.mjs](ensure-tool.md) | JS Module |
-| [generated-markdown.mjs](generated-markdown.md) | JS Module |
-| [gha-workflow.mjs](gha-workflow.md) | JS Module |
-| [inline-template-links.mjs](inline-template-links.md) | JS Module |
-| [list-project-rules-mdc.mjs](list-project-rules-mdc.md) | JS Module |
-| [list-rule-ids.mjs](list-rule-ids.md) | JS Module |
-| [load-cursor-config.mjs](load-cursor-config.md) | JS Module |
-| [mirror-parity.mjs](mirror-parity.md) | JS Module |
-| [read-n-cursor-config-lite.mjs](read-n-cursor-config-lite.md) | JS Module |
-| [resolve-target-files.mjs](resolve-target-files.md) | JS Module |
-| [root-notice.mjs](root-notice.md) | JS Module |
-| [rule-meta-helpers.mjs](rule-meta-helpers.md) | JS Module |
-| [rule-meta.mjs](rule-meta.md) | JS Module |
-| [rule-predicates.mjs](rule-predicates.md) | JS Module |
-| [run-conftest-batch.mjs](run-conftest-batch.md) | JS Module |
-| [run-lint-step.mjs](run-lint-step.md) | JS Module |
-| [run-lint.mjs](run-lint.md) | JS Module |
-| [run-rule-cli.mjs](run-rule-cli.md) | JS Module |
-| [run-rule.mjs](run-rule.md) | JS Module |
-| [run-standard-lint.mjs](run-standard-lint.md) | JS Module |
-| [run-standard-rule.mjs](run-standard-rule.md) | JS Module |
-| [skill-meta.mjs](skill-meta.md) | JS Module |
-| [sync-gitignore-worktree.mjs](sync-gitignore-worktree.md) | JS Module |
-| [template.mjs](template.md) | JS Module |
-| [timing-summary.mjs](timing-summary.md) | JS Module |
-| [workspaces.mjs](workspaces.md) | JS Module |
-| [worktree-notice.mjs](worktree-notice.md) | JS Module |
+| [discover-checkable-rules.mjs](discover-checkable-rules.md)                 | JS Module |
+| [ensure-tool.mjs](ensure-tool.md)                                           | JS Module |
+| [generated-markdown.mjs](generated-markdown.md)                             | JS Module |
+| [gha-workflow.mjs](gha-workflow.md)                                         | JS Module |
+| [inline-template-links.mjs](inline-template-links.md)                       | JS Module |
+| [list-project-rules-mdc.mjs](list-project-rules-mdc.md)                     | JS Module |
+| [list-rule-ids.mjs](list-rule-ids.md)                                       | JS Module |
+| [load-cursor-config.mjs](load-cursor-config.md)                             | JS Module |
+| [mirror-parity.mjs](mirror-parity.md)                                       | JS Module |
+| [read-n-cursor-config-lite.mjs](read-n-cursor-config-lite.md)               | JS Module |
+| [resolve-target-files.mjs](resolve-target-files.md)                         | JS Module |
+| [root-notice.mjs](root-notice.md)                                           | JS Module |
+| [rule-meta-helpers.mjs](rule-meta-helpers.md)                               | JS Module |
+| [rule-meta.mjs](rule-meta.md)                                               | JS Module |
+| [rule-predicates.mjs](rule-predicates.md)                                   | JS Module |
+| [run-conftest-batch.mjs](run-conftest-batch.md)                             | JS Module |
+| [run-lint-step.mjs](run-lint-step.md)                                       | JS Module |
+| [run-lint.mjs](run-lint.md)                                                 | JS Module |
+| [run-rule-cli.mjs](run-rule-cli.md)                                         | JS Module |
+| [run-rule.mjs](run-rule.md)                                                 | JS Module |
+| [run-standard-lint.mjs](run-standard-lint.md)                               | JS Module |
+| [run-standard-rule.mjs](run-standard-rule.md)                               | JS Module |
+| [skill-meta.mjs](skill-meta.md)                                             | JS Module |
+| [sync-gitignore-worktree.mjs](sync-gitignore-worktree.md)                   | JS Module |
+| [template.mjs](template.md)                                                 | JS Module |
+| [timing-summary.mjs](timing-summary.md)                                     | JS Module |
+| [workspaces.mjs](workspaces.md)                                             | JS Module |
+| [worktree-notice.mjs](worktree-notice.md)                                   | JS Module |

package/scripts/lib/docs/run-rule.md

@@ -3,23 +3,25 @@ type: JS Module
 title: run-rule.mjs
 resource: npm/scripts/lib/run-rule.mjs
 docgen:
-  crc: c9b164c7
+  crc: 500c35f6
   model: omlx/gemma-4-e4b-it-OptiQ-4bit
   score: 100
 ---
 
-Файл оркеструє виконання одного правила під CLI `fix`. Він послідовно застосовує `applies`-гейт, а потім виконує JS-концерни та Policy-концерни. Резолвер ділить кеш між концернами, а кожен concern має власний механізм звітності, що об'єднується в єдиний exit-код правила. Процес спирається на конфігураційні файли, зокрема `target.json` та `.n-cursor.json`.
+## Огляд
+
+Оркестратор виконує логіку одного правила під CLI `fix`. Він послідовно застосовує фільтр застосовності з `js/applies.mjs`. Далі виконуються JS-концерни для перевірки, а потім запускаються Policy-концерни, що зчитують конфігурації з `target.json` та `.n-cursor.json`. Резолвер ділить кеш між концернами, а їхні коди виходу об'єднуються в єдиний результат правила.
 
 ## Поведінка
 
-runTemplateSubsetConcern виконує перевірку концерну, де канон визначено у `target.json` як `template`, звіряючи вміст файлів-таргетів з шаблоном, визначеним у відповідному каталозі.
+runTemplateSubsetConcern виконує перевірку концерну, де канон (сніпет) береться з `template.json` та звіряється з вмістом актуальних файлів-таргетів, використовуючи логіку subset-of.
 
-runRule оркеструє виконання одного правила, послідовно застосовуючи `applies`-гейт, виконуючи JS-концерни, запускаючи policy-концерни та перевіряючи відсутність markdown-посилань у `main.mdc`.
+runRule оркеструє виконання одного правила, послідовно застосовуючи applies-гейт, а потім виконуючи JS-концерни та policy-концерни, збираючи загальний exit-код.
 
 ## Публічний API
 
-runTemplateSubsetConcern — Порівнює фактичний файл з канонічним шаблоном (`target.json:"check":"template"`), визначаючи, чи всі обов'язкові елементи з шаблону присутні у файлі.
-runRule — Виконує окреме правило, перевіряючи його відповідність через гейт, JavaScript-концерни та політики.
+runTemplateSubsetConcern — Порівнює фактичний файл з шаблоном, визначеним у `target.json`, перевіряючи, чи всі обов'язкові елементи з шаблону присутні у файлі.
+runRule — Виконує окреме правило, яке проходить через етапи застосування, перевірки на JS-концерни та політики.
 
 ## Гарантії поведінки
 

package/scripts/lib/fix/discover-t0-patterns.mjs

@@ -6,42 +6,13 @@
  * `t0.mjs` ініціалізує результат через top-level await (один раз при завантаженні модуля).
  */
 import { existsSync } from 'node:fs'
-import { readdir } from 'node:fs/promises'
 import { join } from 'node:path'
+import { globby } from 'globby'
 
 /**
  * @typedef {{ id: string, test: (output: string) => boolean, apply: (output: string, cwd: string) => Promise<{ok: boolean, action: string}> | {ok: boolean, action: string} }} T0Pattern
  */
 
-/**
- * Повертає абсолютні шляхи до `fix-*.mjs` файлів у директорії (плоско, без рекурсії).
- * @param {string} dir абсолютний шлях до директорії
- * @returns {Promise<string[]>}
- */
-async function findFixFiles(dir) {
-  if (!existsSync(dir)) return []
-  const entries = await readdir(dir, { withFileTypes: true })
-  return entries
-    .filter(e => e.isFile() && e.name.startsWith('fix-') && e.name.endsWith('.mjs'))
-    .map(e => join(dir, e.name))
-}
-
-/**
- * Повертає абсолютні шляхи до `policy/{concern}/fix-*.mjs` у правилі.
- * @param {string} policyDir абсолютний шлях `rules/{rule}/policy/`
- * @returns {Promise<string[]>}
- */
-async function findPolicyFixFiles(policyDir) {
-  if (!existsSync(policyDir)) return []
-  const entries = await readdir(policyDir, { withFileTypes: true })
-  const paths = []
-  for (const entry of entries) {
-    if (!entry.isDirectory()) continue
-    paths.push(...(await findFixFiles(join(policyDir, entry.name))))
-  }
-  return paths
-}
-
 /**
  * Збирає всі T0-паттерни з `fix-*.mjs` файлів усіх правил у `rulesDir`.
  * @param {string} rulesDir абсолютний шлях до `npm/rules/`
@@ -49,26 +20,22 @@ async function findPolicyFixFiles(policyDir) {
  */
 export async function discoverT0Patterns(rulesDir) {
   if (!existsSync(rulesDir)) return []
-  const ruleEntries = await readdir(rulesDir, { withFileTypes: true })
-  /** @type {T0Pattern[]} */
-  const allPatterns = []
-
-  for (const ruleEntry of ruleEntries) {
-    if (!ruleEntry.isDirectory() || ruleEntry.name.startsWith('.')) continue
-    const ruleDir = join(rulesDir, ruleEntry.name)
 
-    const fixPaths = [
-      ...(await findFixFiles(join(ruleDir, 'js'))),
-      ...(await findPolicyFixFiles(join(ruleDir, 'policy')))
-    ]
+  const relPaths = await globby(['*/js/fix-*.mjs', '*/policy/*/fix-*.mjs'], {
+    cwd: rulesDir,
+    onlyFiles: true,
+    gitignore: false
+  })
 
-    for (const fixPath of fixPaths) {
-      try {
-        const mod = await import(fixPath)
-        if (Array.isArray(mod.patterns)) allPatterns.push(...mod.patterns)
-      } catch (err) {
-        console.error(`[discover-t0-patterns] не вдалося імпортувати ${fixPath}: ${err.message}`)
-      }
+  /** @type {T0Pattern[]} */
+  const allPatterns = []
+  for (const rel of relPaths) {
+    const fixPath = join(rulesDir, rel)
+    try {
+      const mod = await import(fixPath)
+      if (Array.isArray(mod.patterns)) allPatterns.push(...mod.patterns)
+    } catch (err) {
+      console.error(`[discover-t0-patterns] не вдалося імпортувати ${fixPath}: ${err.message}`)
     }
   }
 

package/scripts/lib/fix/docs/index.md

@@ -6,16 +6,16 @@ resource: npm/scripts/lib/fix/
 
 # npm/scripts/lib/fix
 
-| Файл | Тип |
-|---|---|
-| [analyze-escalation.mjs](analyze-escalation.md) | JS Module |
-| [discover-t0-patterns.mjs](discover-t0-patterns.md) | JS Module |
-| [escalation-log.mjs](escalation-log.md) | JS Module |
-| [llm-fix-apply.mjs](llm-fix-apply.md) | JS Module |
-| [llm-lint-fix.mjs](llm-lint-fix.md) | JS Module |
-| [llm-worker.mjs](llm-worker.md) | JS Module |
-| [orchestrator.mjs](orchestrator.md) | JS Module |
+| Файл                                                  | Тип       |
+| ----------------------------------------------------- | --------- |
+| [analyze-escalation.mjs](analyze-escalation.md)       | JS Module |
+| [discover-t0-patterns.mjs](discover-t0-patterns.md)   | JS Module |
+| [escalation-log.mjs](escalation-log.md)               | JS Module |
+| [llm-fix-apply.mjs](llm-fix-apply.md)                 | JS Module |
+| [llm-lint-fix.mjs](llm-lint-fix.md)                   | JS Module |
+| [llm-worker.mjs](llm-worker.md)                       | JS Module |
+| [orchestrator.mjs](orchestrator.md)                   | JS Module |
 | [run-conformance-check.mjs](run-conformance-check.md) | JS Module |
-| [t0.mjs](t0.md) | JS Module |
-| [verbose-block.mjs](verbose-block.md) | JS Module |
-| [vscode-ext-add.mjs](vscode-ext-add.md) | JS Module |
+| [t0.mjs](t0.md)                                       | JS Module |
+| [verbose-block.mjs](verbose-block.md)                 | JS Module |
+| [vscode-ext-add.mjs](vscode-ext-add.md)               | JS Module |

package/scripts/lib/fix/docs/llm-worker.md

@@ -3,26 +3,31 @@ type: JS Module
 title: llm-worker.mjs
 resource: npm/scripts/lib/fix/llm-worker.mjs
 docgen:
-  crc: 55419474
+  crc: 5d019a98
   model: omlx/gemma-4-e4b-it-OptiQ-4bit
   score: 100
 ---
 
 ## Огляд
 
-Модуль виділяє унікальні відносні шляхи файлів, пов'язаних із порушеннями. Він також виконує роботу з великою мовною моделлю для аналізу даних про порушення, зчитуючи правила та обробляючи відповідні файли.
+Модуль виділяє унікальні відносні шляхи файлів, пов'язаних із порушеннями, та виконує LLM-виклик для виправлення одного rule-порушення. Підтримує вибір sub-check `.mdc` за конкретним target-файлом — замість повного `n-{id}.mdc` передає моделі лише релевантну секцію правила (1–2 KB замість 20+ KB).
 
 ## Поведінка
 
-extractFilePaths витягує унікальні відносні шляхи файлів із вихідних даних про порушення, розпізнаючи як явні файли, що потребують виправлення, так і файли, що надають контекст.
-runLlmWorker викликає LLM для виправлення одного порушення, зчитує відповідне правило, аналізує файли, формує промпт, отримує відповідь від моделі та застосовує виправлення.
+`extractFilePaths` витягує унікальні відносні шляхи файлів із violation output, пріоритетно розбираючи рядки ❌ (файли що потребують фіксу), потім generic-regex для контексту. Розуміє workspace-prefix `[npm] path/file.ext → npm/path/file.ext`.
+
+`selectSubCheckMdc` читає `policy/<concern>/target.json` з каталогу `npm/rules/{ruleId}/` пакету, знаходить concerns із `files.single`, що відповідають failing-файлам із violation output, і повертає конкатенацію відповідних `.mdc`. Повертає `null` якщо правило не має policy-підкаталогу або жоден concern не збігається з ❌-файлами.
+
+`runLlmWorker` спочатку викликає `selectSubCheckMdc` — і якщо отримує match, передає моделі лише той sub-check `.mdc`. Якщо match немає — fallback на повний `n-{id}.mdc`. Далі читає файли з violation output, будує prompt, викликає LLM через `callLlmRich` і застосовує зміни.
 
 ## Публічний API
 
-extractFilePaths — виділяє відносні шляхи файлів з виводу помилок, обробляючи префікс робочого простору та пріоритетно парсячи рядки, що вказують на необхідність виправлення.
-runLlmWorker — виправляє одне порушення правила за допомогою LLM, повертаючи результати змін чи діагнозу, що слугує інформацією для наступних етапів процесу.
+`extractFilePaths(output)` — повертає унікальні відносні шляхи файлів з violation output (❌-рядки першими).
+
+`runLlmWorker(ruleId, violationOutput, projectRoot, opts)` — виправляє одне порушення правила через LLM. Повертає `{ ok, error?, changes, diagnosis, reasoning, reasoningSource, promptSummary }`. `promptSummary.subCheckMdc: boolean` вказує чи використано точковий sub-check замість повного mdc.
 
 ## Гарантії поведінки
 
-- Read-only: не виконує операцій запису (ФС/БД).
-- Перехоплює помилки і не пропускає винятків назовні (fail-safe).
+- Читає `policy/` безпосередньо з пакету (`import.meta.dirname/../../../rules/`), без pre-generation файлів.
+- Fallback на повний `n-{id}.mdc` при: відсутності policy-підкаталогу, `walkGlob`-таргетах, відсутності ❌-файлів у violation, нульовому match.
+- Перехоплює всі помилки LLM і повертає структурований `{ ok: false, error }`.

package/scripts/lib/fix/docs/t0.md

@@ -3,25 +3,25 @@ type: JS Module
 title: t0.mjs
 resource: npm/scripts/lib/fix/t0.mjs
 docgen:
-  crc: 92c9348d
+  crc: 4cee4f45
   model: omlx/gemma-4-e4b-it-OptiQ-4bit
   score: 100
 ---
 
 ## Огляд
 
-Модуль забезпечує механізм автоматичного застосування паттернів T0-auto. Він дозволяє відфільтровувати правила, до яких застосовуються ці паттерни, та запускає повний цикл перевірки конформності з автоматичним виправленням через `runT0AutoCli`.
+Модуль забезпечує автоматичне застосування паттернів T0-auto до виявлених порушень. Він фільтрує доступні правила за допомогою `filterT0AutoRules`, застосовує паттерни до порушень за допомогою `applyT0Auto` та запускає повний процес перевірки та виведення результатів через `runT0AutoCli`.
 
 ## Поведінка
 
-applyT0Auto застосовує всі T0-auto паттерни до одного виявленого порушення, повертаючи результат застосування та список виконаних дій.
-filterT0AutoRules повертає список ID правил, для яких існують відповідні T0-auto паттерни, виходячи з виявлених порушень.
-runT0AutoCli запускає процес T0-auto: виконує перевірку конформності, застосовує T0-auto до порушень, повторно перевіряє змінені правила та виводить підсумок.
+applyT0Auto застосовує всі T0-auto паттерни до одного виявленого порушення, повертаючи результат застосування та список дій.
+filterT0AutoRules повертає список ID правил, для яких існує хоча б один T0-auto паттерн, виходячи з виявлених порушень.
+runT0AutoCli виконує повний цикл T0-auto: запускає перевірку конформності, застосовує T0-auto до провальних правил, повторно перевіряє змінені правила та виводить підсумок.
 
 ## Публічний API
 
-applyT0Auto — застосовує всі T0-auto шаблони до вихідних даних про порушення.
-filterT0AutoRules — визначає і повертає ідентифікатори правил, які мають принаймні один T0-auto шаблон, виходячи з результату `fix --json`.
+applyT0Auto — застосовує всі T0-auto шаблони до результату виявлення порушень.
+filterT0AutoRules — визначає і повертає ідентифікатори правил, які мають відповідні T0-auto шаблони у результаті `fix --json`.
 runT0AutoCli — виконує команду `n-cursor fix-t0 [rule...]`, яка запускає `fix --json`, застосовує T0-auto до кожного порушення, повторно перевіряє check-gate та виводить звіт.
 
 ## Гарантії поведінки

package/scripts/lib/fix/llm-worker.mjs

@@ -1,6 +1,6 @@
 /** @see ./docs/llm-worker.md */
 
-import { existsSync, readFileSync } from 'node:fs'
+import { existsSync, readdirSync, readFileSync } from 'node:fs'
 import { join } from 'node:path'
 import { env } from 'node:process'
 import { resolveModel } from '../../../lib/models.mjs'
@@ -20,6 +20,83 @@ const API_KEY_RE = /api key/i
 
 const FILE_EXTS = 'json|js|mjs|ts|vue|yml|yaml|toml|mdc|md|sh|py'
 
+/**
+ * Каталог `npm/rules/` у пакеті — для вибору sub-check .mdc.
+ * Шлях: <package>/npm/scripts/lib/fix/ → ../../.. → npm/ → rules/.
+ */
+const PACKAGE_RULES_DIR = join(import.meta.dirname, '..', '..', '..', 'rules')
+
+/**
+ * Витягує шляхи файлів лише з рядків ❌ у violation output.
+ * Без workspace-розгортання — повертає bare path для звірки з target.json.
+ * @param {string} output violation output
+ * @returns {string[]} унікальні шляхи з ❌-рядків
+ */
+function extractFailPaths(output) {
+  const seen = new Set()
+  const add = p => {
+    seen.add(p)
+  }
+  const failSep = `(?::\\d+)?(?::\\s|[\\s—]|$)`
+  // ❌ [ws] path/file.ext → strip workspace, зберігаємо bare file
+  const failWsRe = new RegExp(`^\\s*❌\\s+\\[[\\w-]+\\]\\s+([\\w./][\\w./-]*\\.(?:${FILE_EXTS}))${failSep}`, 'gm')
+  for (const m of output.matchAll(failWsRe)) add(m[1])
+  const failRe = new RegExp(`^\\s*❌\\s+(\\.?[\\w][\\w./-]*\\.(?:${FILE_EXTS}))${failSep}`, 'gm')
+  for (const m of output.matchAll(failRe)) add(m[1])
+  return [...seen]
+}
+
+/**
+ * Для правил з `policy/<concern>/` підбирає лише ті concern-.mdc, що відповідають
+ * файлам з ❌-рядків violation output. Читає безпосередньо з пакету (`PACKAGE_RULES_DIR`),
+ * тому не потребує pre-generation. Fallback — null (→ повний n-{id}.mdc у caller).
+ * @param {string} ruleId ID правила
+ * @param {string} violationOutput violation output
+ * @returns {string|null} конкатенація релевантних .mdc або null
+ */
+function selectSubCheckMdc(ruleId, violationOutput) {
+  const policyDir = join(PACKAGE_RULES_DIR, ruleId, 'policy')
+  if (!existsSync(policyDir)) return null
+
+  const failPaths = extractFailPaths(violationOutput)
+  if (failPaths.length === 0) return null
+
+  const matched = []
+  let concerns
+  try {
+    concerns = readdirSync(policyDir, { withFileTypes: true })
+  } catch {
+    return null
+  }
+
+  for (const entry of concerns) {
+    if (!entry.isDirectory()) continue
+    const concernDir = join(policyDir, entry.name)
+    const targetPath = join(concernDir, 'target.json')
+    if (!existsSync(targetPath)) continue
+
+    let target
+    try {
+      target = JSON.parse(readFileSync(targetPath, 'utf8'))
+    } catch {
+      continue
+    }
+
+    const targetFile = target?.files?.single
+    if (!targetFile) continue // walkGlob та інші типи → skip, fallback на main.mdc
+
+    // Перевіряємо чи хоч один failing path закінчується на targetFile
+    const hit = failPaths.some(p => p === targetFile || p.endsWith(`/${targetFile}`))
+    if (!hit) continue
+
+    const mdcEntry = readdirSync(concernDir).find(f => f.endsWith('.mdc'))
+    if (!mdcEntry) continue
+    matched.push(readFileSync(join(concernDir, mdcEntry), 'utf8').trim())
+  }
+
+  return matched.length > 0 ? matched.join('\n\n') : null
+}
+
 /**
  * Витягує відносні шляхи файлів із violation output.
  * Розуміє workspace-prefix: `[npm] skills/foo.mjs` → `npm/skills/foo.mjs`.
@@ -185,9 +262,11 @@ export function runLlmWorker(ruleId, violationOutput, projectRoot, opts = {}) {
   const timeoutMs = opts.timeoutMs
   const thinkingBudget = opts.thinkingBudget ?? DEFAULT_THINKING_BUDGET
 
-  // 1. Читаємо rule .mdc
+  // 1. Читаємо rule .mdc: спробуємо sub-check mdc для конкретної перевірки,
+  //    якщо не вдалося — fallback на повний n-{id}.mdc.
+  const subMdc = selectSubCheckMdc(ruleId, violationOutput)
   const mdcPath = join(projectRoot, '.cursor', 'rules', `n-${ruleId}.mdc`)
-  const ruleMdc = existsSync(mdcPath) ? readFileSync(mdcPath, 'utf8') : '(rule file not found)'
+  const ruleMdc = subMdc ?? (existsSync(mdcPath) ? readFileSync(mdcPath, 'utf8') : '(rule file not found)')
 
   // 2. Витягуємо файли з violation output і читаємо їх
   const files = readFilesForFix(extractFilePaths(violationOutput), projectRoot)
@@ -195,6 +274,7 @@ export function runLlmWorker(ruleId, violationOutput, projectRoot, opts = {}) {
   // 3. Будуємо summary промпту (для verbose-блоку) до виклику моделі
   const promptSummary = {
     ruleMdcLen: ruleMdc.length,
+    subCheckMdc: !!subMdc,
     violationLen: violationOutput.length,
     filesCount: files.length,
     filesTotalBytes: files.reduce((s, f) => s + f.content.length, 0),

package/scripts/lib/fix/t0.mjs

@@ -5,7 +5,6 @@ import { fileURLToPath } from 'node:url'
 import { discoverT0Patterns } from './discover-t0-patterns.mjs'
 import { runConformanceCheck } from './run-conformance-check.mjs'
 
-// Паттерни живуть у rule-level fix-*.mjs файлах; агрегуємо тут через discovery.
 // Top-level await: ініціалізація один раз при завантаженні модуля.
 const RULES_DIR = join(dirname(fileURLToPath(import.meta.url)), '../../../rules')
 const PATTERNS = await discoverT0Patterns(RULES_DIR)
@@ -24,7 +23,7 @@ export async function applyT0Auto(ruleId, violationOutput, cwd) {
   for (const p of PATTERNS) {
     if (!p.test(violationOutput)) continue
     // Патерн може бути sync ({ok,action}) або async (Promise) — await нормалізує обидва.
-    const result = await p.apply(violationOutput, cwd)
+    const result = await p.apply(violationOutput, cwd, { ruleId, rulesDir: RULES_DIR })
     actions.push(`[${p.id}] ${result.action}`)
     if (result.ok) applied = true
   }