npm - @saulwade/swl-ses - Versions diffs - 1.4.1 → 1.4.2 - Mend

@saulwade/swl-ses 1.4.1 → 1.4.2

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (114) hide show

package/CLAUDE.md +1 -1
package/README.md +1 -1
package/agentes/nemesis-auditor-swl.md +161 -161
package/bin/swl-mcp-server.js +187 -187
package/comandos/swl/.evolved.json +22 -22
package/comandos/swl/contribuir.md +233 -233
package/comandos/swl/nemesis.md +122 -122
package/gateway/lib/event-channel.js +191 -191
package/habilidades/backend-production-resilience/SKILL.md +288 -288
package/habilidades/benchmark-memoria/SKILL.md +186 -186
package/habilidades/diagrama-arquitectura/assets/template.html +276 -276
package/habilidades/doubt-driven-review/SKILL.md +171 -171
package/habilidades/doubt-driven-review/recursos/EXAMPLES.md +130 -130
package/habilidades/eval-framework/SKILL.md +212 -212
package/habilidades/feynman-auditor-swl/SKILL.md +123 -123
package/habilidades/feynman-auditor-swl/recursos/preguntas-language-agnostic.md +108 -108
package/habilidades/harness-claude-code/SKILL.md +299 -299
package/habilidades/infra-github-actions/SKILL.md +166 -166
package/habilidades/legacy-code-rescue/SKILL.md +267 -267
package/habilidades/manejo-errores/.evolved.json +8 -8
package/habilidades/meta-skills-estandar/recursos/convencion-examples.md +93 -93
package/habilidades/meta-skills-estandar/recursos/skills-as-agents.md +163 -163
package/habilidades/patrones-python/SKILL.md +229 -229
package/habilidades/patrones-python/recursos/patrones-avanzados.md +469 -469
package/habilidades/planear-fase/SKILL.md +319 -319
package/habilidades/release-semver/.evolved.json +8 -8
package/habilidades/state-inconsistency-auditor-swl/SKILL.md +166 -166
package/habilidades/state-inconsistency-auditor-swl/recursos/coupled-state-patterns.md +147 -147
package/habilidades/testing-python/SKILL.md +340 -340
package/habilidades/web-fetcher-routing/SKILL.md +75 -75
package/hooks/claudemd-bloat-detector.js +161 -161
package/hooks/lib/agent-routing.js +107 -107
package/hooks/lib/auto-consolidator.js +335 -335
package/hooks/lib/error-classifier.js +308 -308
package/hooks/lib/merkle-audit.js +96 -96
package/hooks/lib/provenance-tracker.js +191 -191
package/hooks/lib/rate-limit-tracker.js +253 -253
package/hooks/lib/resource-quota.js +122 -122
package/hooks/lib/retry-jitter.js +165 -165
package/hooks/lib/security-net.js +201 -201
package/hooks/lib/skill-auditor.js +588 -588
package/hooks/lib/sync-status.js +228 -228
package/hooks/lib/taint-tracker.js +107 -107
package/hooks/lib/text-similarity.js +241 -241
package/hooks/lib/toon-compressor.js +245 -245
package/hooks/registro-turnos.js +209 -209
package/hooks/sugerir-regenerar-inventario.js +170 -170
package/hooks/validar-formato-post-subagente.js +140 -140
package/hooks/validar-memoria-hook.js +218 -218
package/instintos/prompt-appendices.yaml +57 -57
package/manifiestos/agent-output-schemas.json +57 -57
package/manifiestos/modulos.json +11 -6
package/manifiestos/perfiles.json +2 -1
package/manifiestos/skills-lock.json +1114 -1114
package/package.json +1 -1
package/plantillas/auditor-veto-template.md +105 -105
package/plantillas/github-workflows/README.md +47 -47
package/plantillas/github-workflows/release-please.yml +44 -44
package/plantillas/github-workflows/swl-ci.yml +107 -107
package/plantillas/github-workflows/swl-security.yml +51 -51
package/plugin.json +9 -1
package/reglas/analisis-previo-tareas-grandes.md +172 -172
package/reglas/arreglar-al-detectar.md +147 -147
package/reglas/fragmentos-compartidos.md +152 -152
package/reglas/harness-claude-code.md +213 -213
package/reglas/usar-context7.md +226 -226
package/schemas/diary-entry.schema.json +80 -80
package/scripts/audit-tools/audit-history.js +330 -330
package/scripts/audit-tools/bundle-tracker.js +290 -290
package/scripts/audit-tools/canary-monitor.js +352 -352
package/scripts/audit-tools/code-profiler.js +605 -605
package/scripts/audit-tools/dep-doctor.js +320 -320
package/scripts/audit-tools/env-validator.js +206 -206
package/scripts/audit-tools/lib/fs-walk.js +48 -48
package/scripts/audit-tools/lib/output.js +23 -23
package/scripts/audit-tools/migration-checker.js +392 -392
package/scripts/audit-tools/pentest-scanner.js +1436 -1436
package/scripts/benchmark-memoria.js +167 -167
package/scripts/configurar-branch-protection.js +418 -418
package/scripts/detectar-aprendizajes-duplicados.js +151 -151
package/scripts/field-report.js +199 -199
package/scripts/generar-checklists-consolidados.js +273 -273
package/scripts/generar-inventario.js +420 -420
package/scripts/generar-matriz-lenguajes.js +271 -271
package/scripts/lib/artefactos-python.js +43 -43
package/scripts/lib/benchmark-metrics.js +160 -160
package/scripts/lib/budget-enforcer.js +252 -252
package/scripts/lib/configurar-ci.js +380 -380
package/scripts/lib/contadores-inventario.js +217 -217
package/scripts/lib/detectar-stack-detallado.js +307 -307
package/scripts/lib/diary-entry.js +234 -234
package/scripts/lib/eval-metrics-store.js +218 -218
package/scripts/lib/eval-quality.js +171 -171
package/scripts/lib/eval-schemas.js +144 -144
package/scripts/lib/eval-self-correct.js +106 -106
package/scripts/lib/eval-validator.js +185 -185
package/scripts/lib/jaccard-similarity.js +98 -98
package/scripts/lib/longmemeval-runner.js +125 -125
package/scripts/lib/manifiestos.js +42 -1
package/scripts/lib/npm-version.js +261 -261
package/scripts/lib/paquetes-conocidos.js +50 -50
package/scripts/lib/prompt-builder.js +264 -264
package/scripts/lib/rrf-fusion.js +175 -175
package/scripts/lib/scoring-instintos.js +277 -277
package/scripts/lib/semantic-search.js +252 -252
package/scripts/limpiar-artefactos-python.js +131 -131
package/scripts/mcp-server/README.md +128 -128
package/scripts/mcp-server/handlers.js +206 -206
package/scripts/migrar-csv-a-array.js +168 -168
package/scripts/migrar-fase-dominio.js +201 -201
package/scripts/publicar.js +511 -511
package/scripts/run-eval.js +141 -141
package/scripts/validar-manifest.js +231 -195
package/scripts/validar-userland-vacio.js +110 -110

package/hooks/lib/skill-auditor.js CHANGED Viewed

@@ -1,588 +1,588 @@
-'use strict';
-/**
- * Skill Auditor — Analizadores de auditoría para skills SWL.
- *
- * Complementa prompt-injection-scanner.js (analizador "static") con 2 analizadores
- * adicionales adoptados del patrón de skillshare (7 analizadores):
- *
- *   1. dataflow  — Detecta exfiltración de datos (curl/wget/fetch con variables sensibles)
- *   2. structure — Valida estructura de SKILL.md (frontmatter, campos obligatorios, formato)
- *
- * Zero dependencias externas.
- *
- * Uso:
- *   const { auditarSkill, auditarDirectorio } = require('./lib/skill-auditor');
- *   const resultado = auditarSkill('/ruta/a/habilidades/mi-skill');
- *   if (resultado.findings.length > 0) { ... }
- *
- * @module hooks/lib/skill-auditor
- */
-const fs   = require('fs');
-const path = require('path');
-// ---------------------------------------------------------------------------
-// Constantes
-// ---------------------------------------------------------------------------
-const SEVERIDADES = { CRITICAL: 4, HIGH: 3, MEDIUM: 2, LOW: 1, INFO: 0 };
-const CAMPOS_OBLIGATORIOS = ['name', 'description'];
-const CAMPOS_RECOMENDADOS = ['version'];
-// ---------------------------------------------------------------------------
-// Analizador: dataflow
-// ---------------------------------------------------------------------------
-/**
- * Patrones de exfiltración de datos.
- * Detecta intentos de enviar datos sensibles a URLs externas.
- */
-const PATRONES_EXFILTRACION = [
-  // curl/wget con variables de entorno sensibles
-  { patron: /curl\s+[^\n]*\$\{?\w*(KEY|TOKEN|SECRET|PASSWORD|CREDENTIAL|API_KEY)/i, ruleId: 'DF001', severity: 'CRITICAL', desc: 'curl con variable sensible' },
-  { patron: /wget\s+[^\n]*\$\{?\w*(KEY|TOKEN|SECRET|PASSWORD|CREDENTIAL|API_KEY)/i, ruleId: 'DF002', severity: 'CRITICAL', desc: 'wget con variable sensible' },
-  // fetch/request a URLs con datos
-  { patron: /fetch\s*\(\s*['"`][^'"`]*\$\{/i, ruleId: 'DF003', severity: 'HIGH', desc: 'fetch con interpolación de variables en URL' },
-  // Redirección de archivos sensibles a red
-  { patron: /cat\s+[^\n]*(\.env|credentials|secrets)[^\n]*(curl|wget|nc\s)/i, ruleId: 'DF004', severity: 'CRITICAL', desc: 'lectura de archivo sensible + envío a red' },
-  // nc (netcat) con datos
-  { patron: /nc\s+-[^\n]*\d+\.\d+\.\d+\.\d+/i, ruleId: 'DF005', severity: 'HIGH', desc: 'netcat a IP externa' },
-  // Base64 encode + envío (ofuscación)
-  { patron: /base64\s*[^\n]*(curl|wget|fetch|nc)/i, ruleId: 'DF006', severity: 'HIGH', desc: 'base64 encoding antes de envío a red' },
-  // Lectura de SSH keys
-  { patron: /cat\s+[^\n]*\.ssh\/(id_rsa|id_ed25519|authorized_keys)/i, ruleId: 'DF007', severity: 'CRITICAL', desc: 'lectura de SSH keys' },
-  // Envío a webhook genérico
-  { patron: /https?:\/\/[^\s]*webhook[^\s]*/i, ruleId: 'DF008', severity: 'MEDIUM', desc: 'referencia a webhook URL' },
-];
-/**
- * Ejecuta el analizador de flujo de datos (dataflow).
- *
- * @param {string} contenido - Contenido del SKILL.md
- * @param {string} skillName - Nombre del skill
- * @returns {Array<object>} Findings
- */
-function analizarDataflow(contenido, skillName) {
-  const findings = [];
-  const lineas = contenido.split('\n');
-  for (let i = 0; i < lineas.length; i++) {
-    const linea = lineas[i];
-    for (const { patron, ruleId, severity, desc } of PATRONES_EXFILTRACION) {
-      if (patron.test(linea)) {
-        findings.push({
-          analyzer: 'dataflow',
-          category: 'exfiltration',
-          ruleId,
-          severity,
-          skill: skillName,
-          line: i + 1,
-          snippet: linea.trim().substring(0, 120),
-          description: desc,
-        });
-      }
-    }
-  }
-  return findings;
-}
-// ---------------------------------------------------------------------------
-// Analizador: structure
-// ---------------------------------------------------------------------------
-/**
- * Ejecuta el analizador de estructura de SKILL.md.
- *
- * @param {string} contenido - Contenido del SKILL.md
- * @param {string} skillName - Nombre del skill (del directorio)
- * @returns {Array<object>} Findings
- */
-function analizarStructure(contenido, skillName) {
-  const findings = [];
-  // Verificar que tiene frontmatter
-  if (!contenido.startsWith('---')) {
-    findings.push({
-      analyzer: 'structure',
-      category: 'structure',
-      ruleId: 'ST001',
-      severity: 'HIGH',
-      skill: skillName,
-      line: 1,
-      snippet: contenido.substring(0, 80),
-      description: 'SKILL.md no tiene frontmatter YAML (debe iniciar con ---)',
-    });
-    return findings; // Sin frontmatter no tiene sentido seguir
-  }
-  // Extraer frontmatter (soporta --- en primera línea y cierre ---)
-  const fmMatch = contenido.match(/^---\r?\n([\s\S]*?)\r?\n---/);
-  if (!fmMatch) {
-    findings.push({
-      analyzer: 'structure',
-      category: 'structure',
-      ruleId: 'ST002',
-      severity: 'HIGH',
-      skill: skillName,
-      line: 1,
-      snippet: '---',
-      description: 'Frontmatter YAML no tiene cierre (falta segundo ---)',
-    });
-    return findings;
-  }
-  const frontmatter = fmMatch[1];
-  // Verificar campos obligatorios
-  for (const campo of CAMPOS_OBLIGATORIOS) {
-    const regex = new RegExp(`^${campo}:`, 'm');
-    if (!regex.test(frontmatter)) {
-      findings.push({
-        analyzer: 'structure',
-        category: 'structure',
-        ruleId: 'ST003',
-        severity: 'HIGH',
-        skill: skillName,
-        line: 1,
-        snippet: `Campo faltante: ${campo}`,
-        description: `Campo obligatorio "${campo}" no encontrado en frontmatter`,
-      });
-    }
-  }
-  // Verificar campos recomendados
-  for (const campo of CAMPOS_RECOMENDADOS) {
-    const regex = new RegExp(`^${campo}:`, 'm');
-    if (!regex.test(frontmatter)) {
-      findings.push({
-        analyzer: 'structure',
-        category: 'structure',
-        ruleId: 'ST004',
-        severity: 'LOW',
-        skill: skillName,
-        line: 1,
-        snippet: `Campo faltante: ${campo}`,
-        description: `Campo recomendado "${campo}" no encontrado en frontmatter`,
-      });
-    }
-  }
-  // Verificar que name coincide con directorio
-  const nameMatch = frontmatter.match(/^name:\s*(.+)$/m);
-  if (nameMatch) {
-    const declaredName = nameMatch[1].trim().replace(/['"]/g, '');
-    if (declaredName !== skillName) {
-      findings.push({
-        analyzer: 'structure',
-        category: 'structure',
-        ruleId: 'ST005',
-        severity: 'MEDIUM',
-        skill: skillName,
-        line: 1,
-        snippet: `name: ${declaredName} vs directorio: ${skillName}`,
-        description: `El campo "name" (${declaredName}) no coincide con el directorio (${skillName})`,
-      });
-    }
-  }
-  // Verificar que description no está vacía
-  const descMatch = frontmatter.match(/^description:\s*>?\s*\n?\s*(.+)/m);
-  if (descMatch) {
-    const desc = descMatch[1].trim();
-    if (desc.length < 20) {
-      findings.push({
-        analyzer: 'structure',
-        category: 'structure',
-        ruleId: 'ST006',
-        severity: 'MEDIUM',
-        skill: skillName,
-        line: 1,
-        snippet: `description: ${desc.substring(0, 60)}`,
-        description: `Descripción demasiado corta (${desc.length} chars, mínimo 20)`,
-      });
-    }
-  }
-  // Verificar que el body no está vacío
-  const bodyStart = contenido.indexOf('---', 4);
-  if (bodyStart > 0) {
-    const body = contenido.substring(bodyStart + 3).trim();
-    if (body.length < 50) {
-      findings.push({
-        analyzer: 'structure',
-        category: 'structure',
-        ruleId: 'ST007',
-        severity: 'MEDIUM',
-        skill: skillName,
-        line: bodyStart + 1,
-        snippet: body.substring(0, 60),
-        description: `Body del skill demasiado corto (${body.length} chars). Un skill útil necesita más contenido`,
-      });
-    }
-  }
-  // Verificar tamaño máximo (skills > 300 líneas violan convención)
-  const lineCount = contenido.split('\n').length;
-  if (lineCount > 300) {
-    findings.push({
-      analyzer: 'structure',
-      category: 'structure',
-      ruleId: 'ST008',
-      severity: 'LOW',
-      skill: skillName,
-      line: 300,
-      snippet: `${lineCount} líneas`,
-      description: `Skill excede 300 líneas (${lineCount}). Considerar dividir en sub-recursos`,
-    });
-  }
-  return findings;
-}
-// ---------------------------------------------------------------------------
-// Analizador: integrity
-// ---------------------------------------------------------------------------
-/**
- * Verifica integridad del contenido: links rotos, referencias a archivos inexistentes.
- *
- * @param {string} contenido - Contenido del SKILL.md
- * @param {string} skillName - Nombre del skill
- * @param {string} skillDir  - Ruta al directorio del skill
- * @returns {Array<object>} Findings
- */
-function analizarIntegrity(contenido, skillName, skillDir) {
-  const findings = [];
-  const lineas = contenido.split('\n');
-  for (let i = 0; i < lineas.length; i++) {
-    const linea = lineas[i];
-    // Detectar referencias a archivos locales que no existen
-    const fileRefs = linea.matchAll(/(?:assets|recursos)\/([a-zA-Z0-9_.-]+)/g);
-    for (const match of fileRefs) {
-      const refPath = path.join(skillDir, match[0]);
-      if (!fs.existsSync(refPath)) {
-        findings.push({
-          analyzer: 'integrity',
-          category: 'integrity',
-          ruleId: 'IN001',
-          severity: 'MEDIUM',
-          skill: skillName,
-          line: i + 1,
-          snippet: match[0],
-          description: `Referencia a archivo local inexistente: ${match[0]}`,
-        });
-      }
-    }
-    // Detectar placeholders no reemplazados
-    const placeholders = linea.matchAll(/\[TODO\]|\[PENDIENTE\]|\[FIXME\]|<PLACEHOLDER>|\{\{[^}]+\}\}/gi);
-    for (const match of placeholders) {
-      findings.push({
-        analyzer: 'integrity',
-        category: 'integrity',
-        ruleId: 'IN002',
-        severity: 'LOW',
-        skill: skillName,
-        line: i + 1,
-        snippet: match[0],
-        description: `Placeholder no reemplazado: ${match[0]}`,
-      });
-    }
-  }
-  return findings;
-}
-// ---------------------------------------------------------------------------
-// Analizador: metadata
-// ---------------------------------------------------------------------------
-/**
- * Valida metadata del frontmatter contra el schema.
- *
- * @param {string} contenido - Contenido del SKILL.md
- * @param {string} skillName - Nombre del skill
- * @returns {Array<object>} Findings
- */
-function analizarMetadata(contenido, skillName) {
-  const findings = [];
-  const fmMatch = contenido.match(/^---\n([\s\S]*?)\n---/);
-  if (!fmMatch) return findings;
-  const frontmatter = fmMatch[1];
-  // Verificar que version sigue semver si existe
-  const versionMatch = frontmatter.match(/^version:\s*["']?([0-9][0-9a-zA-Z._-]*)["']?/m);
-  if (versionMatch) {
-    const v = versionMatch[1];
-    if (!/^\d+\.\d+\.\d+$/.test(v)) {
-      findings.push({
-        analyzer: 'metadata',
-        category: 'metadata',
-        ruleId: 'MD001',
-        severity: 'LOW',
-        skill: skillName,
-        line: 1,
-        snippet: `version: ${v}`,
-        description: `Versión "${v}" no sigue formato semver (X.Y.Z)`,
-      });
-    }
-  }
-  // Verificar que targets contiene valores válidos si existe
-  const targetsMatch = frontmatter.match(/^targets:\s*\[([^\]]+)\]/m);
-  if (targetsMatch) {
-    const VALID_TARGETS = ['claude', 'openclaude', 'copilot', 'opencode', 'codex', 'gemini'];
-    const targets = targetsMatch[1].split(',').map(t => t.trim().replace(/['"]/g, ''));
-    for (const t of targets) {
-      if (!VALID_TARGETS.includes(t)) {
-        findings.push({
-          analyzer: 'metadata',
-          category: 'metadata',
-          ruleId: 'MD002',
-          severity: 'MEDIUM',
-          skill: skillName,
-          line: 1,
-          snippet: `targets: [${targets.join(', ')}]`,
-          description: `Target "${t}" no es un runtime válido de swl-ses`,
-        });
-      }
-    }
-  }
-  // Verificar description multilinea con > tiene contenido
-  const descMulti = frontmatter.match(/^description:\s*>\s*$/m);
-  if (descMulti) {
-    const afterDesc = frontmatter.split(/^description:\s*>\s*$/m)[1];
-    if (afterDesc) {
-      const firstLine = afterDesc.split('\n').find(l => l.trim().length > 0);
-      if (!firstLine || firstLine.trim().length < 10) {
-        findings.push({
-          analyzer: 'metadata',
-          category: 'metadata',
-          ruleId: 'MD003',
-          severity: 'MEDIUM',
-          skill: skillName,
-          line: 1,
-          snippet: 'description: >',
-          description: 'Descripción multilinea vacía o demasiado corta',
-        });
-      }
-    }
-  }
-  return findings;
-}
-// ---------------------------------------------------------------------------
-// Analizador: cross-skill
-// ---------------------------------------------------------------------------
-/**
- * Detecta dependencias entre skills y posibles problemas de acoplamiento.
- *
- * @param {string} contenido - Contenido del SKILL.md
- * @param {string} skillName - Nombre del skill
- * @param {Set<string>} allSkills - Set con todos los nombres de skills existentes
- * @returns {Array<object>} Findings
- */
-function analizarCrossSkill(contenido, skillName, allSkills) {
-  const findings = [];
-  // Detectar referencias a otros skills con Skill("nombre")
-  const skillRefs = contenido.matchAll(/Skill\(["']([^"']+)["']\)/g);
-  const referenced = new Set();
-  for (const match of skillRefs) {
-    const refName = match[1];
-    referenced.add(refName);
-    // Verificar que el skill referenciado existe
-    if (allSkills && !allSkills.has(refName)) {
-      findings.push({
-        analyzer: 'cross-skill',
-        category: 'cross-skill',
-        ruleId: 'CS001',
-        severity: 'MEDIUM',
-        skill: skillName,
-        line: 0,
-        snippet: `Skill("${refName}")`,
-        description: `Referencia a skill inexistente: "${refName}"`,
-      });
-    }
-  }
-  // Auto-referencia es normal (documentación de cómo cargar el skill) — no es finding
-  return findings;
-}
-// ---------------------------------------------------------------------------
-// Analizador: tier
-// ---------------------------------------------------------------------------
-/**
- * Evalúa complejidad y nivel de confianza del skill.
- *
- * @param {string} contenido - Contenido del SKILL.md
- * @param {string} skillName - Nombre del skill
- * @returns {Array<object>} Findings
- */
-function analizarTier(contenido, skillName) {
-  const findings = [];
-  // Detectar skills que incluyen ejecución de código
-  const codeExecPatterns = [
-    /```(?:bash|sh|shell|python|node|ruby)\n[^`]*(?:rm\s+-rf|chmod\s+777|sudo\s+)/i,
-    /(?:exec|eval|spawn|system)\s*\(/i,
-  ];
-  for (const pattern of codeExecPatterns) {
-    if (pattern.test(contenido)) {
-      findings.push({
-        analyzer: 'tier',
-        category: 'risk',
-        ruleId: 'TR001',
-        severity: 'MEDIUM',
-        skill: skillName,
-        line: 0,
-        snippet: 'Skill contiene patrones de ejecución de código potencialmente peligrosos',
-        description: 'Skill incluye ejemplos de ejecución de código con privilegios elevados. Revisar manualmente',
-      });
-      break;
-    }
-  }
-  // Detectar skills con instrucciones de modificar archivos del sistema
-  if (/\/etc\/|\/usr\/|C:\\Windows|HKEY_/i.test(contenido)) {
-    findings.push({
-      analyzer: 'tier',
-      category: 'risk',
-      ruleId: 'TR002',
-      severity: 'HIGH',
-      skill: skillName,
-      line: 0,
-      snippet: 'Referencia a rutas del sistema operativo',
-      description: 'Skill referencia rutas del sistema (/etc/, /usr/, Windows registry). Verificar que son ejemplos, no instrucciones',
-    });
-  }
-  return findings;
-}
-// ---------------------------------------------------------------------------
-// API pública
-// ---------------------------------------------------------------------------
-/**
- * Audita un skill individual ejecutando los 7 analizadores.
- *
- * @param {string} skillDir - Ruta al directorio del skill
- * @param {object} [opciones]
- * @param {Set<string>} [opciones.allSkills] - Set de todos los skills existentes (para cross-skill)
- * @returns {{ skill: string, findings: Array, riskScore: number, riskLabel: string }}
- */
-function auditarSkill(skillDir, opciones) {
-  const skillName = path.basename(skillDir);
-  const skillMdPath = path.join(skillDir, 'SKILL.md');
-  if (!fs.existsSync(skillMdPath)) {
-    return {
-      skill: skillName,
-      findings: [{
-        analyzer: 'structure',
-        category: 'structure',
-        ruleId: 'ST000',
-        severity: 'CRITICAL',
-        skill: skillName,
-        line: 0,
-        snippet: 'SKILL.md no encontrado',
-        description: `El directorio ${skillName} no contiene SKILL.md`,
-      }],
-      riskScore: 100,
-      riskLabel: 'critical',
-    };
-  }
-  const contenido = fs.readFileSync(skillMdPath, 'utf8');
-  // Ejecutar los 7 analizadores (patrón skillshare)
-  // 1. static → cubierto por prompt-injection-scanner.js (externo)
-  // 2-7 → ejecutados aquí
-  const findings = [
-    ...analizarDataflow(contenido, skillName),       // 2. dataflow
-    ...analizarStructure(contenido, skillName),       // 3. structure
-    ...analizarIntegrity(contenido, skillName, skillDir), // 4. integrity
-    ...analizarMetadata(contenido, skillName),        // 5. metadata
-    ...analizarCrossSkill(contenido, skillName, opciones && opciones.allSkills), // 6. cross-skill
-    ...analizarTier(contenido, skillName),            // 7. tier
-  ];
-  // Calcular risk score (0-100)
-  let score = 0;
-  for (const f of findings) {
-    score += (SEVERIDADES[f.severity] || 0) * 10;
-  }
-  score = Math.min(score, 100);
-  const riskLabel = score >= 70 ? 'critical'
-    : score >= 40 ? 'high'
-    : score >= 20 ? 'medium'
-    : score > 0 ? 'low'
-    : 'clean';
-  return { skill: skillName, findings, riskScore: score, riskLabel };
-}
-/**
- * Audita todos los skills en un directorio.
- *
- * @param {string} habsDir - Ruta al directorio de habilidades
- * @returns {{ total: number, clean: number, withFindings: number, results: Array }}
- */
-function auditarDirectorio(habsDir) {
-  const results = [];
-  let clean = 0;
-  let withFindings = 0;
-  const entries = fs.readdirSync(habsDir, { withFileTypes: true });
-  const allSkills = new Set(entries.filter(e => e.isDirectory()).map(e => e.name));
-  for (const entry of entries) {
-    if (!entry.isDirectory()) continue;
-    const resultado = auditarSkill(path.join(habsDir, entry.name), { allSkills });
-    results.push(resultado);
-    if (resultado.findings.length === 0) clean++;
-    else withFindings++;
-  }
-  return {
-    total: results.length,
-    clean,
-    withFindings,
-    results,
-  };
-}
-// ---------------------------------------------------------------------------
-// Exports
-// ---------------------------------------------------------------------------
-module.exports = {
-  auditarSkill,
-  auditarDirectorio,
-  analizarDataflow,
-  analizarStructure,
-  analizarIntegrity,
-  analizarMetadata,
-  analizarCrossSkill,
-  analizarTier,
-  SEVERIDADES,
-};
+'use strict';
+/**
+ * Skill Auditor — Analizadores de auditoría para skills SWL.
+ *
+ * Complementa prompt-injection-scanner.js (analizador "static") con 2 analizadores
+ * adicionales adoptados del patrón de skillshare (7 analizadores):
+ *
+ *   1. dataflow  — Detecta exfiltración de datos (curl/wget/fetch con variables sensibles)
+ *   2. structure — Valida estructura de SKILL.md (frontmatter, campos obligatorios, formato)
+ *
+ * Zero dependencias externas.
+ *
+ * Uso:
+ *   const { auditarSkill, auditarDirectorio } = require('./lib/skill-auditor');
+ *   const resultado = auditarSkill('/ruta/a/habilidades/mi-skill');
+ *   if (resultado.findings.length > 0) { ... }
+ *
+ * @module hooks/lib/skill-auditor
+ */
+const fs   = require('fs');
+const path = require('path');
+// ---------------------------------------------------------------------------
+// Constantes
+// ---------------------------------------------------------------------------
+const SEVERIDADES = { CRITICAL: 4, HIGH: 3, MEDIUM: 2, LOW: 1, INFO: 0 };
+const CAMPOS_OBLIGATORIOS = ['name', 'description'];
+const CAMPOS_RECOMENDADOS = ['version'];
+// ---------------------------------------------------------------------------
+// Analizador: dataflow
+// ---------------------------------------------------------------------------
+/**
+ * Patrones de exfiltración de datos.
+ * Detecta intentos de enviar datos sensibles a URLs externas.
+ */
+const PATRONES_EXFILTRACION = [
+  // curl/wget con variables de entorno sensibles
+  { patron: /curl\s+[^\n]*\$\{?\w*(KEY|TOKEN|SECRET|PASSWORD|CREDENTIAL|API_KEY)/i, ruleId: 'DF001', severity: 'CRITICAL', desc: 'curl con variable sensible' },
+  { patron: /wget\s+[^\n]*\$\{?\w*(KEY|TOKEN|SECRET|PASSWORD|CREDENTIAL|API_KEY)/i, ruleId: 'DF002', severity: 'CRITICAL', desc: 'wget con variable sensible' },
+  // fetch/request a URLs con datos
+  { patron: /fetch\s*\(\s*['"`][^'"`]*\$\{/i, ruleId: 'DF003', severity: 'HIGH', desc: 'fetch con interpolación de variables en URL' },
+  // Redirección de archivos sensibles a red
+  { patron: /cat\s+[^\n]*(\.env|credentials|secrets)[^\n]*(curl|wget|nc\s)/i, ruleId: 'DF004', severity: 'CRITICAL', desc: 'lectura de archivo sensible + envío a red' },
+  // nc (netcat) con datos
+  { patron: /nc\s+-[^\n]*\d+\.\d+\.\d+\.\d+/i, ruleId: 'DF005', severity: 'HIGH', desc: 'netcat a IP externa' },
+  // Base64 encode + envío (ofuscación)
+  { patron: /base64\s*[^\n]*(curl|wget|fetch|nc)/i, ruleId: 'DF006', severity: 'HIGH', desc: 'base64 encoding antes de envío a red' },
+  // Lectura de SSH keys
+  { patron: /cat\s+[^\n]*\.ssh\/(id_rsa|id_ed25519|authorized_keys)/i, ruleId: 'DF007', severity: 'CRITICAL', desc: 'lectura de SSH keys' },
+  // Envío a webhook genérico
+  { patron: /https?:\/\/[^\s]*webhook[^\s]*/i, ruleId: 'DF008', severity: 'MEDIUM', desc: 'referencia a webhook URL' },
+];
+/**
+ * Ejecuta el analizador de flujo de datos (dataflow).
+ *
+ * @param {string} contenido - Contenido del SKILL.md
+ * @param {string} skillName - Nombre del skill
+ * @returns {Array<object>} Findings
+ */
+function analizarDataflow(contenido, skillName) {
+  const findings = [];
+  const lineas = contenido.split('\n');
+  for (let i = 0; i < lineas.length; i++) {
+    const linea = lineas[i];
+    for (const { patron, ruleId, severity, desc } of PATRONES_EXFILTRACION) {
+      if (patron.test(linea)) {
+        findings.push({
+          analyzer: 'dataflow',
+          category: 'exfiltration',
+          ruleId,
+          severity,
+          skill: skillName,
+          line: i + 1,
+          snippet: linea.trim().substring(0, 120),
+          description: desc,
+        });
+      }
+    }
+  }
+  return findings;
+}
+// ---------------------------------------------------------------------------
+// Analizador: structure
+// ---------------------------------------------------------------------------
+/**
+ * Ejecuta el analizador de estructura de SKILL.md.
+ *
+ * @param {string} contenido - Contenido del SKILL.md
+ * @param {string} skillName - Nombre del skill (del directorio)
+ * @returns {Array<object>} Findings
+ */
+function analizarStructure(contenido, skillName) {
+  const findings = [];
+  // Verificar que tiene frontmatter
+  if (!contenido.startsWith('---')) {
+    findings.push({
+      analyzer: 'structure',
+      category: 'structure',
+      ruleId: 'ST001',
+      severity: 'HIGH',
+      skill: skillName,
+      line: 1,
+      snippet: contenido.substring(0, 80),
+      description: 'SKILL.md no tiene frontmatter YAML (debe iniciar con ---)',
+    });
+    return findings; // Sin frontmatter no tiene sentido seguir
+  }
+  // Extraer frontmatter (soporta --- en primera línea y cierre ---)
+  const fmMatch = contenido.match(/^---\r?\n([\s\S]*?)\r?\n---/);
+  if (!fmMatch) {
+    findings.push({
+      analyzer: 'structure',
+      category: 'structure',
+      ruleId: 'ST002',
+      severity: 'HIGH',
+      skill: skillName,
+      line: 1,
+      snippet: '---',
+      description: 'Frontmatter YAML no tiene cierre (falta segundo ---)',
+    });
+    return findings;
+  }
+  const frontmatter = fmMatch[1];
+  // Verificar campos obligatorios
+  for (const campo of CAMPOS_OBLIGATORIOS) {
+    const regex = new RegExp(`^${campo}:`, 'm');
+    if (!regex.test(frontmatter)) {
+      findings.push({
+        analyzer: 'structure',
+        category: 'structure',
+        ruleId: 'ST003',
+        severity: 'HIGH',
+        skill: skillName,
+        line: 1,
+        snippet: `Campo faltante: ${campo}`,
+        description: `Campo obligatorio "${campo}" no encontrado en frontmatter`,
+      });
+    }
+  }
+  // Verificar campos recomendados
+  for (const campo of CAMPOS_RECOMENDADOS) {
+    const regex = new RegExp(`^${campo}:`, 'm');
+    if (!regex.test(frontmatter)) {
+      findings.push({
+        analyzer: 'structure',
+        category: 'structure',
+        ruleId: 'ST004',
+        severity: 'LOW',
+        skill: skillName,
+        line: 1,
+        snippet: `Campo faltante: ${campo}`,
+        description: `Campo recomendado "${campo}" no encontrado en frontmatter`,
+      });
+    }
+  }
+  // Verificar que name coincide con directorio
+  const nameMatch = frontmatter.match(/^name:\s*(.+)$/m);
+  if (nameMatch) {
+    const declaredName = nameMatch[1].trim().replace(/['"]/g, '');
+    if (declaredName !== skillName) {
+      findings.push({
+        analyzer: 'structure',
+        category: 'structure',
+        ruleId: 'ST005',
+        severity: 'MEDIUM',
+        skill: skillName,
+        line: 1,
+        snippet: `name: ${declaredName} vs directorio: ${skillName}`,
+        description: `El campo "name" (${declaredName}) no coincide con el directorio (${skillName})`,
+      });
+    }
+  }
+  // Verificar que description no está vacía
+  const descMatch = frontmatter.match(/^description:\s*>?\s*\n?\s*(.+)/m);
+  if (descMatch) {
+    const desc = descMatch[1].trim();
+    if (desc.length < 20) {
+      findings.push({
+        analyzer: 'structure',
+        category: 'structure',
+        ruleId: 'ST006',
+        severity: 'MEDIUM',
+        skill: skillName,
+        line: 1,
+        snippet: `description: ${desc.substring(0, 60)}`,
+        description: `Descripción demasiado corta (${desc.length} chars, mínimo 20)`,
+      });
+    }
+  }
+  // Verificar que el body no está vacío
+  const bodyStart = contenido.indexOf('---', 4);
+  if (bodyStart > 0) {
+    const body = contenido.substring(bodyStart + 3).trim();
+    if (body.length < 50) {
+      findings.push({
+        analyzer: 'structure',
+        category: 'structure',
+        ruleId: 'ST007',
+        severity: 'MEDIUM',
+        skill: skillName,
+        line: bodyStart + 1,
+        snippet: body.substring(0, 60),
+        description: `Body del skill demasiado corto (${body.length} chars). Un skill útil necesita más contenido`,
+      });
+    }
+  }
+  // Verificar tamaño máximo (skills > 300 líneas violan convención)
+  const lineCount = contenido.split('\n').length;
+  if (lineCount > 300) {
+    findings.push({
+      analyzer: 'structure',
+      category: 'structure',
+      ruleId: 'ST008',
+      severity: 'LOW',
+      skill: skillName,
+      line: 300,
+      snippet: `${lineCount} líneas`,
+      description: `Skill excede 300 líneas (${lineCount}). Considerar dividir en sub-recursos`,
+    });
+  }
+  return findings;
+}
+// ---------------------------------------------------------------------------
+// Analizador: integrity
+// ---------------------------------------------------------------------------
+/**
+ * Verifica integridad del contenido: links rotos, referencias a archivos inexistentes.
+ *
+ * @param {string} contenido - Contenido del SKILL.md
+ * @param {string} skillName - Nombre del skill
+ * @param {string} skillDir  - Ruta al directorio del skill
+ * @returns {Array<object>} Findings
+ */
+function analizarIntegrity(contenido, skillName, skillDir) {
+  const findings = [];
+  const lineas = contenido.split('\n');
+  for (let i = 0; i < lineas.length; i++) {
+    const linea = lineas[i];
+    // Detectar referencias a archivos locales que no existen
+    const fileRefs = linea.matchAll(/(?:assets|recursos)\/([a-zA-Z0-9_.-]+)/g);
+    for (const match of fileRefs) {
+      const refPath = path.join(skillDir, match[0]);
+      if (!fs.existsSync(refPath)) {
+        findings.push({
+          analyzer: 'integrity',
+          category: 'integrity',
+          ruleId: 'IN001',
+          severity: 'MEDIUM',
+          skill: skillName,
+          line: i + 1,
+          snippet: match[0],
+          description: `Referencia a archivo local inexistente: ${match[0]}`,
+        });
+      }
+    }
+    // Detectar placeholders no reemplazados
+    const placeholders = linea.matchAll(/\[TODO\]|\[PENDIENTE\]|\[FIXME\]|<PLACEHOLDER>|\{\{[^}]+\}\}/gi);
+    for (const match of placeholders) {
+      findings.push({
+        analyzer: 'integrity',
+        category: 'integrity',
+        ruleId: 'IN002',
+        severity: 'LOW',
+        skill: skillName,
+        line: i + 1,
+        snippet: match[0],
+        description: `Placeholder no reemplazado: ${match[0]}`,
+      });
+    }
+  }
+  return findings;
+}
+// ---------------------------------------------------------------------------
+// Analizador: metadata
+// ---------------------------------------------------------------------------
+/**
+ * Valida metadata del frontmatter contra el schema.
+ *
+ * @param {string} contenido - Contenido del SKILL.md
+ * @param {string} skillName - Nombre del skill
+ * @returns {Array<object>} Findings
+ */
+function analizarMetadata(contenido, skillName) {
+  const findings = [];
+  const fmMatch = contenido.match(/^---\n([\s\S]*?)\n---/);
+  if (!fmMatch) return findings;
+  const frontmatter = fmMatch[1];
+  // Verificar que version sigue semver si existe
+  const versionMatch = frontmatter.match(/^version:\s*["']?([0-9][0-9a-zA-Z._-]*)["']?/m);
+  if (versionMatch) {
+    const v = versionMatch[1];
+    if (!/^\d+\.\d+\.\d+$/.test(v)) {
+      findings.push({
+        analyzer: 'metadata',
+        category: 'metadata',
+        ruleId: 'MD001',
+        severity: 'LOW',
+        skill: skillName,
+        line: 1,
+        snippet: `version: ${v}`,
+        description: `Versión "${v}" no sigue formato semver (X.Y.Z)`,
+      });
+    }
+  }
+  // Verificar que targets contiene valores válidos si existe
+  const targetsMatch = frontmatter.match(/^targets:\s*\[([^\]]+)\]/m);
+  if (targetsMatch) {
+    const VALID_TARGETS = ['claude', 'openclaude', 'copilot', 'opencode', 'codex', 'gemini'];
+    const targets = targetsMatch[1].split(',').map(t => t.trim().replace(/['"]/g, ''));
+    for (const t of targets) {
+      if (!VALID_TARGETS.includes(t)) {
+        findings.push({
+          analyzer: 'metadata',
+          category: 'metadata',
+          ruleId: 'MD002',
+          severity: 'MEDIUM',
+          skill: skillName,
+          line: 1,
+          snippet: `targets: [${targets.join(', ')}]`,
+          description: `Target "${t}" no es un runtime válido de swl-ses`,
+        });
+      }
+    }
+  }
+  // Verificar description multilinea con > tiene contenido
+  const descMulti = frontmatter.match(/^description:\s*>\s*$/m);
+  if (descMulti) {
+    const afterDesc = frontmatter.split(/^description:\s*>\s*$/m)[1];
+    if (afterDesc) {
+      const firstLine = afterDesc.split('\n').find(l => l.trim().length > 0);
+      if (!firstLine || firstLine.trim().length < 10) {
+        findings.push({
+          analyzer: 'metadata',
+          category: 'metadata',
+          ruleId: 'MD003',
+          severity: 'MEDIUM',
+          skill: skillName,
+          line: 1,
+          snippet: 'description: >',
+          description: 'Descripción multilinea vacía o demasiado corta',
+        });
+      }
+    }
+  }
+  return findings;
+}
+// ---------------------------------------------------------------------------
+// Analizador: cross-skill
+// ---------------------------------------------------------------------------
+/**
+ * Detecta dependencias entre skills y posibles problemas de acoplamiento.
+ *
+ * @param {string} contenido - Contenido del SKILL.md
+ * @param {string} skillName - Nombre del skill
+ * @param {Set<string>} allSkills - Set con todos los nombres de skills existentes
+ * @returns {Array<object>} Findings
+ */
+function analizarCrossSkill(contenido, skillName, allSkills) {
+  const findings = [];
+  // Detectar referencias a otros skills con Skill("nombre")
+  const skillRefs = contenido.matchAll(/Skill\(["']([^"']+)["']\)/g);
+  const referenced = new Set();
+  for (const match of skillRefs) {
+    const refName = match[1];
+    referenced.add(refName);
+    // Verificar que el skill referenciado existe
+    if (allSkills && !allSkills.has(refName)) {
+      findings.push({
+        analyzer: 'cross-skill',
+        category: 'cross-skill',
+        ruleId: 'CS001',
+        severity: 'MEDIUM',
+        skill: skillName,
+        line: 0,
+        snippet: `Skill("${refName}")`,
+        description: `Referencia a skill inexistente: "${refName}"`,
+      });
+    }
+  }
+  // Auto-referencia es normal (documentación de cómo cargar el skill) — no es finding
+  return findings;
+}
+// ---------------------------------------------------------------------------
+// Analizador: tier
+// ---------------------------------------------------------------------------
+/**
+ * Evalúa complejidad y nivel de confianza del skill.
+ *
+ * @param {string} contenido - Contenido del SKILL.md
+ * @param {string} skillName - Nombre del skill
+ * @returns {Array<object>} Findings
+ */
+function analizarTier(contenido, skillName) {
+  const findings = [];
+  // Detectar skills que incluyen ejecución de código
+  const codeExecPatterns = [
+    /```(?:bash|sh|shell|python|node|ruby)\n[^`]*(?:rm\s+-rf|chmod\s+777|sudo\s+)/i,
+    /(?:exec|eval|spawn|system)\s*\(/i,
+  ];
+  for (const pattern of codeExecPatterns) {
+    if (pattern.test(contenido)) {
+      findings.push({
+        analyzer: 'tier',
+        category: 'risk',
+        ruleId: 'TR001',
+        severity: 'MEDIUM',
+        skill: skillName,
+        line: 0,
+        snippet: 'Skill contiene patrones de ejecución de código potencialmente peligrosos',
+        description: 'Skill incluye ejemplos de ejecución de código con privilegios elevados. Revisar manualmente',
+      });
+      break;
+    }
+  }
+  // Detectar skills con instrucciones de modificar archivos del sistema
+  if (/\/etc\/|\/usr\/|C:\\Windows|HKEY_/i.test(contenido)) {
+    findings.push({
+      analyzer: 'tier',
+      category: 'risk',
+      ruleId: 'TR002',
+      severity: 'HIGH',
+      skill: skillName,
+      line: 0,
+      snippet: 'Referencia a rutas del sistema operativo',
+      description: 'Skill referencia rutas del sistema (/etc/, /usr/, Windows registry). Verificar que son ejemplos, no instrucciones',
+    });
+  }
+  return findings;
+}
+// ---------------------------------------------------------------------------
+// API pública
+// ---------------------------------------------------------------------------
+/**
+ * Audita un skill individual ejecutando los 7 analizadores.
+ *
+ * @param {string} skillDir - Ruta al directorio del skill
+ * @param {object} [opciones]
+ * @param {Set<string>} [opciones.allSkills] - Set de todos los skills existentes (para cross-skill)
+ * @returns {{ skill: string, findings: Array, riskScore: number, riskLabel: string }}
+ */
+function auditarSkill(skillDir, opciones) {
+  const skillName = path.basename(skillDir);
+  const skillMdPath = path.join(skillDir, 'SKILL.md');
+  if (!fs.existsSync(skillMdPath)) {
+    return {
+      skill: skillName,
+      findings: [{
+        analyzer: 'structure',
+        category: 'structure',
+        ruleId: 'ST000',
+        severity: 'CRITICAL',
+        skill: skillName,
+        line: 0,
+        snippet: 'SKILL.md no encontrado',
+        description: `El directorio ${skillName} no contiene SKILL.md`,
+      }],
+      riskScore: 100,
+      riskLabel: 'critical',
+    };
+  }
+  const contenido = fs.readFileSync(skillMdPath, 'utf8');
+  // Ejecutar los 7 analizadores (patrón skillshare)
+  // 1. static → cubierto por prompt-injection-scanner.js (externo)
+  // 2-7 → ejecutados aquí
+  const findings = [
+    ...analizarDataflow(contenido, skillName),       // 2. dataflow
+    ...analizarStructure(contenido, skillName),       // 3. structure
+    ...analizarIntegrity(contenido, skillName, skillDir), // 4. integrity
+    ...analizarMetadata(contenido, skillName),        // 5. metadata
+    ...analizarCrossSkill(contenido, skillName, opciones && opciones.allSkills), // 6. cross-skill
+    ...analizarTier(contenido, skillName),            // 7. tier
+  ];
+  // Calcular risk score (0-100)
+  let score = 0;
+  for (const f of findings) {
+    score += (SEVERIDADES[f.severity] || 0) * 10;
+  }
+  score = Math.min(score, 100);
+  const riskLabel = score >= 70 ? 'critical'
+    : score >= 40 ? 'high'
+    : score >= 20 ? 'medium'
+    : score > 0 ? 'low'
+    : 'clean';
+  return { skill: skillName, findings, riskScore: score, riskLabel };
+}
+/**
+ * Audita todos los skills en un directorio.
+ *
+ * @param {string} habsDir - Ruta al directorio de habilidades
+ * @returns {{ total: number, clean: number, withFindings: number, results: Array }}
+ */
+function auditarDirectorio(habsDir) {
+  const results = [];
+  let clean = 0;
+  let withFindings = 0;
+  const entries = fs.readdirSync(habsDir, { withFileTypes: true });
+  const allSkills = new Set(entries.filter(e => e.isDirectory()).map(e => e.name));
+  for (const entry of entries) {
+    if (!entry.isDirectory()) continue;
+    const resultado = auditarSkill(path.join(habsDir, entry.name), { allSkills });
+    results.push(resultado);
+    if (resultado.findings.length === 0) clean++;
+    else withFindings++;
+  }
+  return {
+    total: results.length,
+    clean,
+    withFindings,
+    results,
+  };
+}
+// ---------------------------------------------------------------------------
+// Exports
+// ---------------------------------------------------------------------------
+module.exports = {
+  auditarSkill,
+  auditarDirectorio,
+  analizarDataflow,
+  analizarStructure,
+  analizarIntegrity,
+  analizarMetadata,
+  analizarCrossSkill,
+  analizarTier,
+  SEVERIDADES,
+};