@saulwade/swl-ses 1.8.0 → 1.9.0

package/manifiestos/hooks-config.json

@@ -301,6 +301,15 @@
       "maxConsecutiveFailures": 5,
       "degradeOnFailure": "skip"
     },
+    "contexto-iteracion.js": {
+      "event": "UserPromptSubmit",
+      "matcher": "",
+      "description": "Anti-context-rot para loops iterativos: inyecta el estado de la corrida activa en .planning/loops/ (iteración, últimas filas del TSV, plateau/recomendación de trayectoria). Throttled a 1 inyección cada 4 min por corrida. Opt-out: SWL_CONTEXTO_ITERACION=0.",
+      "blocking": false,
+      "async": true,
+      "maxConsecutiveFailures": 5,
+      "degradeOnFailure": "skip"
+    },
     "guardrail-modelo.js": {
       "event": "PreToolUse",
       "matcher": "Task|Agent",
@@ -395,7 +404,7 @@
     "notificacion-telegram-subagent.js": {
       "event": "SubagentStop",
       "matcher": "",
-      "description": "Envía notificación Telegram cuando un subagente termina su turno. Best-effort: siempre exit 0. Comparte implementación con notificacion-telegram.js. Opt-out: SWL_NOTIFICACIONES_TELEGRAM=0.",
+      "description": "Envía notificación Telegram cuando un subagente termina su turno. INERTE por default: SubagentStop no está en los eventos default del script compartido porque duplica la notificación del Stop final (mismo cuerpo, dos mensajes). Activar con CLAUDE_NOTIFY_EVENTS=Stop,Notification,SubagentStop. Best-effort: siempre exit 0. Opt-out global: SWL_NOTIFICACIONES_TELEGRAM=0.",
       "blocking": false,
       "async": true,
       "maxConsecutiveFailures": 5,

package/manifiestos/modulos.json

@@ -244,9 +244,12 @@
         "habilidades/proceso-ddia-fundamentos",
         "habilidades/proceso-ddia-streaming",
         "habilidades/proceso-discovery-machote",
+        "habilidades/proceso-dynamic-workflows",
         "habilidades/proceso-modular-split",
         "habilidades/agent-deep-links",
-        "habilidades/changelog-generator"
+        "habilidades/changelog-generator",
+        "habilidades/proceso-debate-adversarial",
+        "habilidades/calidad-mutation-testing"
       ],
       "targets": [
         "claude",
@@ -839,6 +842,7 @@
         "comandos/swl/auditar-deps.md",
         "comandos/swl/crear-skill.md",
         "comandos/swl/autoresearch.md",
+        "comandos/swl/predecir.md",
         "comandos/swl/contexto.md",
         "comandos/swl/sesiones.md",
         "comandos/swl/instintos.md",
@@ -1031,6 +1035,7 @@
         "hooks/validar-intent-spec.js",
         "hooks/sugerir-regenerar-inventario.js",
         "hooks/sugerir-contribuir.js",
+        "hooks/contexto-iteracion.js",
         "hooks/_run-hook.sh",
         "hooks/lib/fingerprint-id.js",
         "hooks/lib/token-budget.js",
@@ -1078,6 +1083,7 @@
         "hooks/lib/taint-tracker.js",
         "hooks/lib/resource-quota.js",
         "hooks/lib/merkle-audit.js",
+        "hooks/lib/loop-telemetry.js",
         "scripts/lib/scoring-instintos.js",
         "scripts/lib/budget-enforcer.js",
         "scripts/lib/semantic-search.js",

package/manifiestos/skills-lock.json

@@ -1,8 +1,8 @@
 {
   "lockfileVersion": 1,
-  "generatedAt": "2026-05-31T19:28:35.545Z",
-  "skillsCount": 178,
-  "lockHash": "sha256:f07035b2ff0ef1b26e28fcad6bd0a4761d2ea50ff15dae34f1ffb0bb9602a263",
+  "generatedAt": "2026-06-11T04:41:07.917Z",
+  "skillsCount": 181,
+  "lockHash": "sha256:2703b04d5710f9b16609e7f35e3c46992bd029bae06e792d9c3a3695724ee0cc",
   "skills": [
     {
       "nombre": "accesibilidad-a11y",
@@ -49,9 +49,9 @@
     {
       "nombre": "angular-moderno",
       "path": "habilidades/angular-moderno/SKILL.md",
-      "hash": "sha256:3539616032e1216fcfcb0fb05ad7127be37b11da524128a5f3b2a76f1859b887",
-      "bytes": 7971,
-      "version": "\"1.0.0\""
+      "hash": "sha256:1e0ec49d49147fa6e8c67286efb4662edebb8c5150d34e73c85c0ce3d845f52a",
+      "bytes": 10743,
+      "version": "\"1.0.1\""
     },
     {
       "nombre": "api-rest-diseno",
@@ -98,9 +98,9 @@
     {
       "nombre": "autoresearch",
       "path": "habilidades/autoresearch/SKILL.md",
-      "hash": "sha256:e815c94ce67547dad63953fef9a188846b14b7f0aa0638692419d4cc095af3d7",
-      "bytes": 11943,
-      "version": "\"1.0.0\""
+      "hash": "sha256:2d60940136558246ac49eb764ba31e9dc8f9be58558d95a950f069e239493c17",
+      "bytes": 12826,
+      "version": "\"1.1.0\""
     },
     {
       "nombre": "azure-cloud",
@@ -249,6 +249,13 @@
       "bytes": 11840,
       "version": "\"1.0.0\""
     },
+    {
+      "nombre": "calidad-mutation-testing",
+      "path": "habilidades/calidad-mutation-testing/SKILL.md",
+      "hash": "sha256:aa8e10f5b4bc8ed9c2faefb55d5db881f5009537e11c6b12eedd4e07dc25eabc",
+      "bytes": 9213,
+      "version": "\"1.0.0\""
+    },
     {
       "nombre": "changelog-generator",
       "path": "habilidades/changelog-generator/SKILL.md",
@@ -266,9 +273,9 @@
     {
       "nombre": "checklist-seguridad",
       "path": "habilidades/checklist-seguridad/SKILL.md",
-      "hash": "sha256:5fe45e855b3cc9142e6f94389a51e7442c91d5b600bdbed1dbeea716aa8a94e3",
-      "bytes": 18119,
-      "version": "\"1.1.1\""
+      "hash": "sha256:2677b17fb658cd596b7f28da51df76579cbe9288ac910ec8bf239e3b74accefe",
+      "bytes": 19379,
+      "version": "\"1.2.0\""
     },
     {
       "nombre": "checkpoints-verificacion",
@@ -343,9 +350,9 @@
     {
       "nombre": "css-moderno",
       "path": "habilidades/css-moderno/SKILL.md",
-      "hash": "sha256:d17aca1ac793763bacbadfbeb14ea9351305ab8b30494b1915d5d06ab48f854c",
-      "bytes": 7282,
-      "version": "\"1.0.0\""
+      "hash": "sha256:8fc832b069c29a983ca26661bc3140211028e998562f98b749fb6054a6793b2a",
+      "bytes": 8323,
+      "version": "\"1.1.0\""
     },
     {
       "nombre": "datos-etl",
@@ -511,9 +518,9 @@
     {
       "nombre": "fastapi-experto",
       "path": "habilidades/fastapi-experto/SKILL.md",
-      "hash": "sha256:fadad425221802a40b10a7f906c3e27650848d3ca76ff92fcdf949c10e76829e",
-      "bytes": 21706,
-      "version": "\"1.3.0\""
+      "hash": "sha256:2e7e158b6ac54d9aec9b2e3932e9c4e5e17e43525530cad21fc30252ee2279bf",
+      "bytes": 25977,
+      "version": "\"1.3.1\""
     },
     {
       "nombre": "feynman-auditor-swl",
@@ -833,9 +840,9 @@
     {
       "nombre": "patrones-python",
       "path": "habilidades/patrones-python/SKILL.md",
-      "hash": "sha256:cd6dc3154b9392f1be705cfe93b9b66366484f36647770cd3dc09abbd7285fa2",
-      "bytes": 10425,
-      "version": "\"1.3.1\""
+      "hash": "sha256:fb6f9a3727971a7eb9f93b3d6b79e588b55631b6353076c4144cc5b0dfe084e1",
+      "bytes": 14155,
+      "version": "\"1.4.2\""
     },
     {
       "nombre": "perfil-usuario",
@@ -935,6 +942,13 @@
       "bytes": 9497,
       "version": null
     },
+    {
+      "nombre": "proceso-debate-adversarial",
+      "path": "habilidades/proceso-debate-adversarial/SKILL.md",
+      "hash": "sha256:f665c9690c07bde6d547f70d9c782d10bfa07f90d425760d218951ae580e12bc",
+      "bytes": 8999,
+      "version": "\"1.0.0\""
+    },
     {
       "nombre": "proceso-discovery-machote",
       "path": "habilidades/proceso-discovery-machote/SKILL.md",
@@ -942,6 +956,13 @@
       "bytes": 10120,
       "version": "\"1.0.0\""
     },
+    {
+      "nombre": "proceso-dynamic-workflows",
+      "path": "habilidades/proceso-dynamic-workflows/SKILL.md",
+      "hash": "sha256:56b4410405d6060f8a0bcc28736799eead5748b208a7a1abc5a8eca1d2e540c8",
+      "bytes": 8709,
+      "version": null
+    },
     {
       "nombre": "proceso-intent-engineering",
       "path": "habilidades/proceso-intent-engineering/SKILL.md",
@@ -1141,9 +1162,9 @@
     {
       "nombre": "tdd-workflow",
       "path": "habilidades/tdd-workflow/SKILL.md",
-      "hash": "sha256:c0df73610416890d5cac3dfd88a832c511c021f38d2ca0f6e4413cdeeb403057",
-      "bytes": 31222,
-      "version": "\"1.0.6\""
+      "hash": "sha256:ee2820285c1db7dff1b630c01ed28493a0bad1dfc2df0bbe7a31bf28de1d6894",
+      "bytes": 31969,
+      "version": "\"1.1.0\""
     },
     {
       "nombre": "terraform-experto",

package/package.json

@@ -1,7 +1,7 @@
 {
   "name": "@saulwade/swl-ses",
-  "version": "1.8.0",
-  "description": "Sistema de ingenieria de software auto-evolutivo multi-runtime polyglot con 61 agentes, 178 habilidades, 44 comandos, 71 reglas y 44 hooks. Soporta 11 lenguajes y 7 runtimes: Claude Code, OpenClaude, OpenCode, Gemini CLI, Cursor, Codex CLI (soporte completo); GitHub Copilot (soporte parcial). 100% en espanol (Mexico). Multi-target install (--target CSV / --all-runtimes), autoconfig MCP en Cursor/Codex con --with-mcp, agentes Codex en TOML, hooks Cursor (17 eventos) y Codex (6 eventos). Gateway bidireccional con relay Telegram y auditoria profunda Nemesis con loop evaluator-optimizer opt-in (ADR-0021) y 8 tools ejecutables. v1.8.0 unifica los directorios runtime de .planning/ al ingles (evolution/, auto-evolution/, user-profile/, archive/), manteniendo fases/ en espanol, con guard validar-planning-paths y allowlist canonica (ADR-0031). Hereda de v1.7.4: skill calidad-anti-patrones-universales + scripts/lib/pr-analyzer.js + 3 sub-secciones en estilo-sin-ai-isms.",
+  "version": "1.9.0",
+  "description": "Sistema de ingenieria de software auto-evolutivo multi-runtime polyglot con 61 agentes, 181 habilidades, 45 comandos, 71 reglas y 45 hooks. Soporta 11 lenguajes y 7 runtimes: Claude Code, OpenClaude, OpenCode, Gemini CLI, Cursor, Codex CLI (soporte completo); GitHub Copilot (soporte parcial). 100% en espanol (Mexico). Multi-target install (--target CSV / --all-runtimes), autoconfig MCP en Cursor/Codex con --with-mcp, agentes Codex en TOML, hooks Cursor (17 eventos) y Codex (6 eventos). Gateway bidireccional con relay Telegram y auditoria profunda Nemesis con loop evaluator-optimizer opt-in (ADR-0021) y 8 tools ejecutables. v1.8.0 unifica los directorios runtime de .planning/ al ingles (evolution/, auto-evolution/, user-profile/, archive/), manteniendo fases/ en espanol, con guard validar-planning-paths y allowlist canonica (ADR-0031). Hereda de v1.7.4: skill calidad-anti-patrones-universales + scripts/lib/pr-analyzer.js + 3 sub-secciones en estilo-sin-ai-isms.",
   "bin": {
     "swl-ses": "bin/swl-ses.js",
     "swl-telegram-bot": "bin/swl-telegram-bot.js",
@@ -24,7 +24,8 @@
     "schemas",
     "_userland",
     "plugin.json",
-    "CLAUDE.md"
+    "CLAUDE.md",
+    "llms.txt"
   ],
   "scripts": {
     "postinstall": "echo '\n  swl-software-engineering-system instalado.\n  Ejecuta: npx swl-ses init\n'",

package/plugin.json

@@ -1,7 +1,7 @@
 {
   "name": "swl-ses",
-  "version": "1.8.0",
-  "description": "Sistema de ingenieria de software auto-evolutivo multi-runtime polyglot. 61 agentes, 178 habilidades, 44 comandos, 71 reglas y 44 hooks. 62 librerias. 11 lenguajes. Soporta Claude Code, Copilot, OpenCode, Codex y Gemini CLI. Loop evaluator-optimizer en /swl:nemesis (ADR-0021). v1.8.0 unifica los directorios runtime de .planning/ al ingles (evolution/, auto-evolution/, user-profile/, archive/), manteniendo fases/ en espanol, con guard validar-planning-paths y allowlist canonica (ADR-0031). Hereda de v1.7.4: skill calidad-anti-patrones-universales + scripts/lib/pr-analyzer.js + 3 sub-secciones en estilo-sin-ai-isms.",
+  "version": "1.9.0",
+  "description": "Sistema de ingenieria de software auto-evolutivo multi-runtime polyglot. 61 agentes, 181 habilidades, 45 comandos, 71 reglas y 45 hooks. 69 librerias. 11 lenguajes. Soporta Claude Code, Copilot, OpenCode, Codex y Gemini CLI. Loop evaluator-optimizer en /swl:nemesis (ADR-0021). v1.8.0 unifica los directorios runtime de .planning/ al ingles (evolution/, auto-evolution/, user-profile/, archive/), manteniendo fases/ en espanol, con guard validar-planning-paths y allowlist canonica (ADR-0031). Hereda de v1.7.4: skill calidad-anti-patrones-universales + scripts/lib/pr-analyzer.js + 3 sub-secciones en estilo-sin-ai-isms.",
   "author": "Saul Wade Leon",
   "license": "MIT",
   "repository": "https://github.com/saul-wade/swl-ses",
@@ -41,6 +41,7 @@
     "habilidades/build-errors-swift",
     "habilidades/build-errors-typescript",
     "habilidades/calidad-anti-patrones-universales",
+    "habilidades/calidad-mutation-testing",
     "habilidades/changelog-generator",
     "habilidades/checklist-calidad",
     "habilidades/checklist-seguridad",
@@ -139,7 +140,9 @@
     "habilidades/proceso-confianza-pre-implementacion",
     "habilidades/proceso-ddia-fundamentos",
     "habilidades/proceso-ddia-streaming",
+    "habilidades/proceso-debate-adversarial",
     "habilidades/proceso-discovery-machote",
+    "habilidades/proceso-dynamic-workflows",
     "habilidades/proceso-intent-engineering",
     "habilidades/proceso-modular-split",
     "habilidades/prompt-engineering",

package/reglas/arquitectura.evolved.json

@@ -0,0 +1,7 @@
+{
+  "evolved": true,
+  "evolved-from": "1.8.0",
+  "evolved-at": "2026-06-04",
+  "evolved-by": "evolucionar",
+  "evolved-note": "PE-010 sección nueva 'Tablas append-only — excepción documentada a audit columns nullable=False'. Patrón portable a logs estructurados, audit trails, event sourcing, telemetría. Origen: OIC v1.5 Slice 1 2026-06-04 (BitacoraError)."
+}

package/reglas/arquitectura.md

@@ -274,6 +274,71 @@ Documentar en un ADR qué patrón se usa y por qué.
 
 ---
 
+## Tablas append-only — excepción documentada a "audit columns nullable=False"
+
+Algunas tablas son **append-only por diseño**: solo se crean filas (INSERT) y
+eventualmente se eliminan por purga (DELETE). Nunca se actualizan. Ejemplos
+típicos: logs de errores (`bitacora_error`, `error_log`), audit trails inmutables,
+telemetría, métricas históricas, event sourcing event store, outbox pattern.
+
+Para estas tablas la regla general del proyecto "`created_by`/`updated_by`
+`nullable=False` en tablas transaccionales" **NO aplica**. Documentar la
+excepción explícitamente:
+
+1. En el **docstring de la clase modelo** (Python/Java/C#):
+
+```python
+class BitacoraError(Base):
+    """
+    Registro inmutable de un error backend o frontend.
+
+    Tabla append-only: solo se crean filas (INSERT) y se purgan por antigüedad
+    (DELETE). Nunca se actualizan. Esta invariante es fundamental para que el
+    log de errores sea un audit trail confiable.
+
+    Excepción a regla "audit columns nullable=False":
+        La convención del proyecto exige `created_by` y `updated_by` NOT NULL
+        en tablas transaccionales. BitacoraError queda exenta porque:
+        (a) Es un log del sistema, no una entidad de negocio modificable.
+        (b) No tiene `updated_at` ni `updated_by` — no hay concepto de
+            "última modificación" en una tabla append-only.
+        (c) `usuario_id` es nullable de forma intencional: los errores de
+            sesiones no autenticadas (401 antes del login) no tienen usuario.
+    """
+```
+
+2. En el **comentario del DDL SQL**:
+
+```sql
+COMMENT ON TABLE bitacora_error IS
+    'Errores backend y frontend persistidos para diagnóstico. '
+    'Append-only: solo INSERT y DELETE (purga). '
+    'Sin updated_at/updated_by por diseño (excepción documentada en CONTEXTO).';
+```
+
+3. En el **GRANT** del rol de aplicación, omitir explícitamente `UPDATE`:
+
+```sql
+-- INSERT: para que el sistema cree entradas.
+-- SELECT: para que el admin las consulte.
+-- DELETE: para que el job de purga elimine antiguas.
+-- NO UPDATE: la tabla es append-only por diseño.
+GRANT SELECT, INSERT, DELETE ON bitacora_error TO ine_user;
+```
+
+**Criterios para considerar una tabla append-only legítima**:
+
+- Toda fila representa un evento ocurrido en un momento específico (immutable in time).
+- No hay caso de negocio que requiera modificar la fila después de creada.
+- La única forma de "corregir" un dato erróneo es insertar una fila correctora
+  posterior (event sourcing) o purgar y re-insertar (telemetría).
+- El borrado se hace por política de retención (antigüedad), no por revocación.
+
+**Origen del patrón**: OIC v1.5 Slice 1 (2026-06-04). Patrón portable a cualquier
+proyecto con logs estructurados, audit trails o event sourcing.
+
+---
+
 ## Split modular con compositor por herencia múltiple
 
 Cuando un módulo backend (router, service, repository) supera ~1500 LOC en un

package/reglas/seguridad.evolved.json

@@ -0,0 +1,7 @@
+{
+  "evolved": true,
+  "evolved-from": "1.8.0",
+  "evolved-at": "2026-06-04",
+  "evolved-by": "evolucionar",
+  "evolved-note": "PE-003 (verificación de flags antes de asumir servicios externos LDAP/Redis/S3) + PE-004 (sanitización PII centralizada en handlers) + PE-007 (generación de passwords legibles sin chars ambiguos). Origen: OIC v1.5 2026-06-04, bug histórico manuel.monteagudo + Slice 2 v1.5 Observabilidad."
+}

package/reglas/seguridad.md

@@ -141,6 +141,147 @@ vulnerabilidad del OWASP Top 10. Las más frecuentes en este stack:
 
 ---
 
+## Verificación obligatoria de flags de configuración antes de asumir servicios externos
+
+Toda rama de código que asuma un servicio externo opcional (LDAP, Redis, S3, SMTP,
+OIDC, Auth0, etc.) DEBE verificar el flag de configuración del proyecto ANTES de
+tomar la decisión. Sin esta verificación, una configuración no esperada deja a los
+usuarios atrapados en flujos rotos sin error visible.
+
+**Anti-patrón** (caso real OIC 2026-06-04, dos bugs históricos en el mismo flujo):
+
+```python
+# MAL — asume LDAP siempre habilitado
+if rol == "ADMIN":
+    hashed = hash_password(body.password)
+else:
+    # "Para usuarios LDAP, no se almacena contraseña funcional local."
+    hashed = hash_password(uuid.uuid4().hex)
+    # ↑ Si AUTH_LDAP_ENABLED=false (caso real), el usuario queda con un hash
+    # UUID dummy que ninguna password real puede igualar → 401 perpetuo.
+```
+
+```python
+# MAL — rechaza no-ADMIN sin verificar si LDAP existe siquiera
+if rol != "ADMIN":
+    raise HTTPException(400, "Los usuarios no ADMIN gestionan su contraseña en LDAP")
+    # ↑ Sin LDAP habilitado los usuarios no tienen forma de cambiar password.
+```
+
+**Patrón correcto**:
+
+```python
+# BIEN — siempre verifica el flag antes de asumir el servicio
+if rol == "ADMIN":
+    hashed = hash_password(body.password)
+else:
+    if body.password:
+        hashed = hash_password(body.password)
+    elif not settings.AUTH_LDAP_ENABLED:
+        # Sin LDAP: generar password funcional para que el usuario pueda entrar
+        temp = _generar_temp_password()
+        hashed = hash_password(temp)
+        # devolver `temp` en la respuesta del POST UNA SOLA VEZ
+    else:
+        # LDAP habilitado: dummy OK porque el usuario se autentica fuera
+        hashed = hash_password(uuid.uuid4().hex)
+```
+
+**Detección temprana en code review**: cualquier comentario `"para LDAP"`,
+`"para Redis"`, `"para S3"` debe acompañarse del check del flag correspondiente.
+Si el comentario está solo, es bug latente — el código asume un mundo que el
+deployment puede no tener.
+
+---
+
+## Sanitización PII centralizada en handlers vs refactorear N sitios
+
+Cuando un sistema persiste logs estructurados (audit trails, error logs,
+telemetría) y existen N sitios donde el código emite `logger.error(..., extra={...})`
+con potencial PII en los valores, **siempre preferir sanitización centralizada en
+el handler** sobre refactorear cada sitio individualmente.
+
+**Decisión arquitectónica** (caso OIC v1.5 Slice 2, 2026-06-04):
+
+| Opción | Esfuerzo | Cobertura futura | Mantenimiento |
+|---|---|---|---|
+| Refactorear N sitios uno por uno | O(N) turnos | Solo lo refactorizado | Cada `logger.error` nuevo requiere auditoría |
+| Sanitización centralizada en handler | O(1) turno | Todos los sitios + futuros automáticamente | Cero auditoría manual al agregar nuevos `logger.error` |
+
+**Patrón portable**:
+
+```python
+import re
+
+_PATRON_SENSIBLE = re.compile(
+    r'(password|token|secret|jwt|authorization|cookie|api[_-]?key)([=:])([^&\s"\']+)',
+    re.IGNORECASE,
+)
+
+def sanitizar_url(url: str | None) -> str | None:
+    """Redacta query-params sensibles preservando key y separador."""
+    if not url:
+        return url
+    return _PATRON_SENSIBLE.sub(r"\1\2<redacted>", url)
+
+def sanitizar_valor(valor: Any) -> Any:
+    """Sanitiza recursivamente strings dentro de dict/list/tuple."""
+    if isinstance(valor, str):
+        return _PATRON_SENSIBLE.sub(r"\1\2<redacted>", valor)
+    if isinstance(valor, dict):
+        return {k: sanitizar_valor(v) for k, v in valor.items()}
+    if isinstance(valor, (list, tuple)):
+        return [sanitizar_valor(item) for item in valor]
+    return valor
+```
+
+**Regla del regex**:
+- Grupo 1 (key) y grupo 2 (`=` o `:`) se preservan → mantiene legibilidad
+  (`password=<redacted>` en vez de `<redacted>`).
+- Grupo 3 (valor) se reemplaza por `<redacted>`.
+- Boundary del valor: `&`, whitespace, comilla, paréntesis.
+- `api_key` y `api-key` ambos matchean con `api[_-]?key`.
+
+**Aplicabilidad**: handlers de logging custom, middleware HTTP que redactan headers,
+sanitización de cookies en logs, redactor de stack traces, error reporters
+(Sentry-style). Defensa en profundidad sin tocar el código del caller.
+
+**Limitación documentada**: el regex opera sobre strings; NO sanitiza claves cuyo
+nombre no esté en la lista (no detecta `contraseña` en español, `pwd`, `mot_de_passe`).
+Mantener el regex extensible vía configuración si el proyecto opera en múltiples idiomas.
+
+---
+
+## Generación de tokens y passwords legibles (sin caracteres ambiguos)
+
+Para passwords temporales (reset por admin, primer login, recuperación) que el
+usuario debe transcribir verbalmente o desde papel, usar alfabeto SIN caracteres
+ambiguos: `0` (cero) vs `O` (o mayúscula), `1` (uno) vs `l` (L minúscula) vs `I`
+(i mayúscula).
+
+```python
+import secrets
+
+# 54 chars del alfabeto seguro (sin 0, O, 1, l, I)
+_ALFABETO_LEGIBLE = "abcdefghijkmnpqrstuvwxyzABCDEFGHJKLMNPQRSTUVWXYZ23456789"
+
+def generar_password_temporal(longitud: int = 12) -> str:
+    """12 chars → ~71 bits de entropía. Suficiente para temporal que debe
+    cambiarse en primer login. NUNCA persistir en texto plano; el caller
+    la hashea con bcrypt y la devuelve UNA SOLA VEZ en la respuesta del POST."""
+    return "".join(secrets.choice(_ALFABETO_LEGIBLE) for _ in range(longitud))
+```
+
+**NO usar** `secrets.token_urlsafe()` para passwords visibles al humano: incluye
+`-` y `_` que pueden confundir al transcribir. Reservar `token_urlsafe()` para
+tokens de sesión, CSRF, magic links — strings que no se leen ni transcriben.
+
+**Para tokens de uso programático** (API keys, session IDs, refresh tokens):
+`secrets.token_urlsafe(32)` (32 bytes → 256 bits) o `secrets.token_hex(32)`. Sin
+restricción de alfabeto porque el usuario nunca los teclea manualmente.
+
+---
+
 ## Checklist antes de merge a main
 
 - [ ] No hay secrets hardcodeados (revisar con `git grep -i "password\|secret\|token\|key"`)
@@ -149,3 +290,6 @@ vulnerabilidad del OWASP Top 10. Las más frecuentes en este stack:
 - [ ] Sin uso de `eval`, `exec`, `shell=True`
 - [ ] Logs sin datos sensibles
 - [ ] Dependencias nuevas auditadas
+- [ ] Cualquier rama que asuma servicio externo (LDAP/Redis/S3) verifica su flag de config
+- [ ] Sanitización PII centralizada en handlers (no diseminada por N sitios)
+- [ ] Passwords temporales generadas con alfabeto sin chars ambiguos

package/scripts/generar-inventario.js

@@ -33,7 +33,8 @@ const args = new Set(process.argv.slice(2));
 const DRY  = args.has('--dry-run');
 const SOLO_INV = args.has('--inventario');
 const SOLO_SAL = args.has('--salud');
-const AMBOS = !SOLO_INV && !SOLO_SAL;
+const SOLO_LLMS = args.has('--llms');
+const AMBOS = !SOLO_INV && !SOLO_SAL && !SOLO_LLMS;
 
 // ── Helpers ────────────────────────────────────────────────────────────
 
@@ -427,6 +428,57 @@ function generarSalud() {
   return lines.join('\n');
 }
 
+// ── llms.txt (convención llmstxt.org) ─────────────────────────────────
+// Índice raíz LLM-legible para descubrimiento externo por herramientas/agentes
+// que esperan el estándar. Cifras sincronizadas con INVENTARIO (mismo cómputo)
+// para que el gate de release no detecte drift. Adoptado de obsidian-second-brain
+// (análisis temp/ 2026-06-05); el resto de ese repo era redundante con swl-ses.
+function generarLlmsTxt() {
+  const pkg = JSON.parse(fs.readFileSync(path.join(RAIZ, 'package.json'), 'utf8'));
+  const agentes  = recolectarAgentes().length;
+  const skills   = recolectarSkills().length;
+  const hooks    = recolectarHooks().length;
+  const comandos = contarArchivos(path.join(RAIZ, 'comandos', 'swl'), '.md');
+  const reglasBase = contarArchivos(path.join(RAIZ, 'reglas'), '.md');
+  const reglasLang = fs.readdirSync(path.join(RAIZ, 'reglas', 'lenguajes'))
+    .filter(d => fs.statSync(path.join(RAIZ, 'reglas', 'lenguajes', d)).isDirectory())
+    .reduce((acc, d) => acc + contarArchivos(path.join(RAIZ, 'reglas', 'lenguajes', d), '.md'), 0);
+
+  const L = [];
+  L.push('# swl-ses (@saulwade/swl-ses)');
+  L.push('');
+  L.push(`> Sistema de ingeniería de software auto-evolutivo multi-runtime polyglot (SDLC completo), distribuido como paquete npm y plugin de Claude Code. ${agentes} agentes, ${skills} habilidades, ${comandos} comandos, ${reglasBase} reglas base y ${hooks} hooks. Soporta 11 lenguajes y 7 runtimes (Claude Code, OpenClaude, OpenCode, Gemini, Cursor, Codex, Copilot). Versión ${pkg.version}.`);
+  L.push('');
+  L.push('Archivo generado por `node scripts/generar-inventario.js` — no editar a mano. Las cifras se sincronizan con INVENTARIO.md en cada regeneración.');
+  L.push('');
+  L.push('## Documentación');
+  L.push('');
+  L.push('- [README](README.md): overview público y quickstart');
+  L.push('- [Manual de uso](MANUAL_USO.md): manual operacional completo');
+  L.push('- [Comandos](COMANDOS.md): referencia detallada de cada comando `/swl:*`');
+  L.push('- [Agentes](AGENTS.md): catálogo de agentes con capacidades');
+  L.push('- [Inventario](INVENTARIO.md): conteos oficiales de todos los componentes');
+  L.push('- [Instalación](INSTALACION.md): instalación, perfiles y configuración');
+  L.push('- [Instrucciones del proyecto](CLAUDE.md): convenciones, stack y reglas');
+  L.push('');
+  L.push('## Componentes');
+  L.push('');
+  L.push(`- ${agentes} agentes especializados en \`agentes/\` (orquestación, implementación por stack, revisión, calidad, diseño)`);
+  L.push(`- ${skills} habilidades cargables bajo demanda en \`habilidades/\` (conocimiento operacional con divulgación progresiva)`);
+  L.push(`- ${comandos} comandos \`/swl:*\` en \`comandos/swl/\` (ciclo GSD, calidad, release, diagnóstico)`);
+  L.push(`- ${reglasBase} reglas base + ${reglasLang} reglas por lenguaje en \`reglas/\` (políticas obligatorias por matcher)`);
+  L.push(`- ${hooks} hooks en \`hooks/\` (telemetría, validación, seguridad; zero-deps, escrituras atómicas)`);
+  L.push('');
+  L.push('## Opcional');
+  L.push('');
+  L.push('- [CHANGELOG](CHANGELOG.md): historial de versiones');
+  L.push('- [Índice de ADRs](.planning/adrs/README.md): decisiones de arquitectura');
+  L.push('- [Variables de entorno](docs/variables-entorno.md): configuración opt-in');
+  L.push('');
+
+  return L.join('\n');
+}
+
 // ── Ejecutar ──────────────────────────────────────────────────────────
 
 if (AMBOS || SOLO_INV) {
@@ -450,3 +502,14 @@ if (AMBOS || SOLO_SAL) {
     console.log('SALUD.md generado correctamente.');
   }
 }
+
+if (AMBOS || SOLO_LLMS) {
+  const llms = generarLlmsTxt();
+  if (DRY) {
+    console.log('\n=== llms.txt (dry-run) ===\n');
+    console.log(llms);
+  } else {
+    atomicWriteSync(path.join(RAIZ, 'llms.txt'), llms, 'utf8');
+    console.log('llms.txt generado correctamente.');
+  }
+}

package/scripts/instalador.js

@@ -210,10 +210,30 @@ async function install(opciones) {
   // 2b. Filtrar reglas de lenguaje por stack detectado
   // El stack se detecta siempre que: hay reglas de lenguaje en el perfil, O
   // se ejecuta con --force (actualización) para poder limpiar las ya instaladas.
+  // FIX (thrashing de contexto en subagentes): en scope GLOBAL las reglas
+  // por-lenguaje NO se instalan en ~/.claude/rules/. Global no tiene un proyecto
+  // que detectar, así que se instalarían los 8 lenguajes (~69K tokens) y
+  // saturarían la ventana de todo subagente que herede ~/.claude/rules/. Las
+  // reglas por-lenguaje viven project-scoped, donde el stack-filter sí aplica.
+  if (esGlobal) {
+    const antesGlobal = resolucion.archivos.length;
+    resolucion.archivos = resolucion.archivos.filter(
+      a => !(a.rutaRelativa && a.rutaRelativa.startsWith('reglas/lenguajes/'))
+    );
+    const excluidasGlobal = antesGlobal - resolucion.archivos.length;
+    if (excluidasGlobal > 0) {
+      console.log(
+        `\n[stack] Scope global: ${excluidasGlobal} regla(s) por-lenguaje excluidas ` +
+        '(se instalan project-scoped, filtradas por stack; no en ~/.claude/rules/ ' +
+        'para no saturar el contexto de subagentes).'
+      );
+    }
+  }
+
   const tieneReglasLenguaje = resolucion.archivos.some(
     a => a.rutaRelativa && a.rutaRelativa.startsWith('reglas/lenguajes/')
   );
-  const necesitaStack = (tieneReglasLenguaje || force) && !allLangs;
+  const necesitaStack = (tieneReglasLenguaje || force) && !allLangs && !esGlobal;
 
   let stackDetectado = null;
 
@@ -224,7 +244,7 @@ async function install(opciones) {
   // FIX v1.6.6: si el usuario pasa --all-langs pero el perfil actual no incluye
   // reglas/lenguajes/, el flag se ignora silenciosamente. Antes la única pista
   // era el conteo final de archivos. Ahora emitimos warning explícito.
-  if (allLangs && !tieneReglasLenguaje) {
+  if (allLangs && !tieneReglasLenguaje && !esGlobal) {
     console.log(
       '\n[stack] Aviso: --all-langs ignorado — el perfil actual (' +
       (resolucion.perfil || 'core') +
@@ -269,6 +289,16 @@ async function install(opciones) {
     }
   }
 
+  // Scope global: purgar TODAS las reglas por-lenguaje preexistentes de
+  // ~/.claude/rules/ (instalaciones previas dejaban los 8 lenguajes always-loaded,
+  // saturando el contexto de subagentes). Corre en cada install global, no solo --force.
+  if (esGlobal && rutas.reglas) {
+    const purgaGlobal = limpiarReglasSinStack(rutas.reglas, new Set());
+    if (purgaGlobal.eliminados > 0) {
+      console.log(`\n[stack] Scope global: ${purgaGlobal.eliminados} subdir(s) de reglas por-lenguaje purgadas de ~/.claude/rules/ (${purgaGlobal.lenguajes.join(', ')}) — viven project-scoped.`);
+    }
+  }
+
   // 4. Detectar _userland/
   const userlandAgentes = path.join(process.cwd(), '_userland', 'agentes');
   const userlandHabilidades = path.join(process.cwd(), '_userland', 'habilidades');