agestra 4.13.0 → 4.13.2

package/.claude-plugin/marketplace.json

@@ -12,7 +12,7 @@
       "name": "agestra",
       "source": "./",
       "description": "Orchestrate Ollama, Gemini, and Codex for multi-AI debates, code review, and cross-validation",
-      "version": "4.13.0",
+      "version": "4.13.2",
       "author": {
         "name": "mua-vtuber"
       },

package/.claude-plugin/plugin.json

@@ -1,6 +1,6 @@
 {
   "name": "agestra",
-  "version": "4.13.0",
+  "version": "4.13.2",
   "description": "Claude Code plugin — orchestrate Ollama, Gemini, and Codex for multi-AI debates, code review, and cross-validation",
   "mcpServers": {
     "agestra": {

package/README.ja.md

@@ -50,7 +50,7 @@ npm install -g agestra
 agestra-install gemini --assets --scope user
 ```
 
-Gemini ではリポジトリ直下の [GEMINI.md](GEMINI.md) と、[`.gemini/commands/agestra/`](.gemini/commands/agestra) のプロジェクトコマンドを一緒に使います。user scope の `--assets` は Agestra Gemini native extension をインストールします。MCP 登録だけでよい場合は `npm run install:gemini` または `agestra-install gemini` を使ってください。
+Gemini ではリポジトリ直下の [GEMINI.md](GEMINI.md)、[`.gemini/commands/agestra/`](.gemini/commands/agestra)、生成された skills を一緒に使います。project scope の `--assets` は管理ファイルを書き込み、user scope の `--assets` は Agestra Gemini native extension をインストールします。MCP 登録だけでよい場合は `npm run install:gemini` または `agestra-install gemini` を使ってください。`npm run install:gemini:assets` はデフォルトで user scope を使うため、チェックアウトから project-scope の管理ファイルを入れる場合は `node scripts/install-host-mcp.mjs gemini --assets --scope project` を実行してください。
 
 セットアップ後に利用できる Gemini コマンド:
 
@@ -59,6 +59,8 @@ Gemini ではリポジトリ直下の [GEMINI.md](GEMINI.md) と、[`.gemini/com
 - `/agestra:design`
 - `/agestra:idea`
 - `/agestra:implement`
+- `/agestra:qa`
+- `/agestra:security`
 
 ### 前提条件
 
@@ -83,9 +85,9 @@ Gemini ではリポジトリ直下の [GEMINI.md](GEMINI.md) と、[`.gemini/com
 
 | ホスト | 自然な入口 |
 |--------|------------|
-| Claude Code | `/agestra review`, `/agestra design`, `/agestra idea`, `/agestra implement` |
+| Claude Code | `/agestra setup`, `/agestra review`, `/agestra qa`, `/agestra security`, `/agestra design`, `/agestra idea`, `/agestra implement` |
 | Codex CLI | `AGENTS.md` に沿った自然言語リクエスト |
-| Gemini CLI | `/agestra:review`, `/agestra:design`, `/agestra:idea`, `/agestra:implement` |
+| Gemini CLI | `/agestra:setup`, `/agestra:review`, `/agestra:qa`, `/agestra:security`, `/agestra:design`, `/agestra:idea`, `/agestra:implement` |
 
 3 つのホストはすべて同じ MCP サーバーと `commands/*.md` の共通ワークフロー仕様を利用します。
 
@@ -93,24 +95,29 @@ Gemini ではリポジトリ直下の [GEMINI.md](GEMINI.md) と、[`.gemini/com
 
 | コマンド | 説明 |
 |----------|------|
+| `/agestra setup` | 初期 AI プロバイダー選択とセットアップ |
 | `/agestra review [target]` | コード品質、セキュリティ、統合の完成度をレビュー |
+| `/agestra qa [target]` | 実装結果を検証し、PASS/FAIL の根拠を生成 |
+| `/agestra security [target]` | 専用のセキュリティレビューを実行 |
 | `/agestra idea [topic]` | 類似プロジェクトとの比較から改善案を発見 |
 | `/agestra design [subject]` | 実装前にアーキテクチャと設計上のトレードオフを探索 |
-| `/agestra setup` | 初期 AI プロバイダー選択とセットアップ |
 | `/agestra implement [task]` | Claude only または Multi-AI モードで実装を進める |
 
-外部プロバイダーが利用可能な場合、テキストコマンド（review、design、idea）は直接徹底討論モードに入り、マルチ AI クロスバリデーションを行います。プロバイダーが検出されない場合、Claude が自動的に単独で作業します。
+外部プロバイダーが利用可能な場合、review、QA、security、design、idea ワークフローは team-lead を通じてマルチ AI クロスバリデーションへルーティングされます。プロバイダーが検出されない場合、現在のホストのローカル specialist agent が自動的に処理します。
 
 ## エージェント
 
 | エージェント | モデル | 役割 |
 |--------------|--------|------|
 | `agestra-team-lead` | Sonnet | フルオーケストレーター — 環境チェック、品質ベースのプロバイダー選択、作業モード選定、CLI ワーカー監督、QA ループ |
+| `agestra-implementer` | Sonnet | スコープ付き実装実行役 — コード変更、テスト更新、ローカル検証 |
+| `agestra-e2e-writer` | Sonnet | 永続 E2E テスト作成役 — 承認済みブラウザフローテストのみ作成 |
 | `agestra-reviewer` | Opus | 厳格な品質検証役 — セキュリティ、孤立コード、仕様逸脱、テスト不足を確認 |
 | `agestra-designer` | Opus | アーキテクチャ探索役 — ソクラテス式質問、トレードオフ分析 |
 | `agestra-ideator` | Sonnet | 改善案発見役 — Web 調査、競合分析 |
 | `agestra-moderator` | Sonnet | マルチモード進行役 — 合意検出付きディベート、独立集約、ドキュメントレビュー、衝突解決 |
 | `agestra-qa` | Opus | QA 検証役 — 設計準拠の確認、PASS/FAIL 判定 |
+| `agestra-security` | Opus | セキュリティレビュー役 — 脅威モデル、認証/データフローリスク、依存関係とシークレット衛生 |
 
 ## スキル
 
@@ -125,6 +132,9 @@ Gemini ではリポジトリ直下の [GEMINI.md](GEMINI.md) と、[`.gemini/com
 | `design` | Multi-AI モード選択を含む設計探索ワークフロー |
 | `idea` | Multi-AI モード選択を含む改善案発見ワークフロー |
 | `review` | Multi-AI モード選択を含むコード品質・セキュリティ・ハードコーディングレビューワークフロー |
+| `qa` | 設計契約検証と PASS/FAIL 根拠生成ワークフロー |
+| `security` | 専用セキュリティレビューワークフロー |
+| `e2e` | 永続ブラウザ E2E テスト作成ワークフロー |
 | `leader` | マルチAI/プロバイダーオーケストレーションのエントリーポイント — 明示的なプロバイダー、ディベート、合意形成、相互検証シグナルを検知し、ドメイン分類後 `agestra-team-lead` へ委譲 |
 
 ---
@@ -147,7 +157,7 @@ Turborepo モノレポで、8 パッケージ構成です:
 
 - **Provider abstraction** — すべてのバックエンドは `AIProvider`（`chat`, `healthCheck`, `getCapabilities`）を実装します。新規プロバイダー追加は専用パッケージとファクトリ登録に分離されます。
 - **Zero-config** — プロバイダーは起動時に自動検出されます。手動設定は不要です。
-- **Host-native** — Claude はプラグインバンドル、Codex は `AGENTS.md`、Gemini は `GEMINI.md` とプロジェクトコマンドを使いますが、内部の MCP サーバーとワークフローコアは共通です。
+- **Host-native** — Claude はプラグインバンドル、Codex は `AGENTS.md` と custom agents、Gemini は `GEMINI.md`、commands、skills、または native extension を使います。すべてのホストは同じ MCP サーバーとワークフローコアを共有します。
 - **Modular dispatch** — 各ツールカテゴリは `getTools()` + `handleTool()` を持つ独立モジュールです。サーバーが動的に収集してディスパッチします。
 - **Atomic writes** — すべてのファイル操作は一時ファイルへの書き込み後に rename する方式で、破損を防ぎます。
 - **Dead-end tracking** — 失敗したアプローチは記録され、今後のプロンプトに注入されます。
@@ -155,11 +165,11 @@ Turborepo モノレポで、8 パッケージ構成です:
 
 ### 作業モード
 
-**Text work**（レビュー、設計、アイデア）: プロバイダーあり → 徹底討論モード; なし → Claude only
+**Text work**（レビュー、QA、セキュリティ、設計、アイデア）: プロバイダーあり → 徹底討論モード; なし → Claude only
 
 **Implementation work**（team-lead orchestration）:
-- **Claude만으로** — Claude がプロジェクト/グローバルエージェントを使って直接実装します。
-- **다른 AI도 함께** — CLI ワーカー（Codex/Gemini）が分離された git worktree で自律的にコーディングし、Ollama が簡単なタスクを担当し、Claude が監督・統合します。
+- **Claude のみ** — Claude がプロジェクト/グローバルエージェントを使って直接実装します。
+- **他の AI と併用** — CLI ワーカー（Codex/Gemini）が分離された git worktree で自律的にコーディングし、Ollama が簡単なタスクを担当し、Claude が監督・統合します。
 
 ---
 
@@ -237,7 +247,7 @@ Turborepo モノレポで、8 パッケージ構成です:
 
 | ツール | 説明 |
 |--------|------|
-| `host_assets_status` | Codex custom agents などの生成済みホストネイティブアセットを確認 |
+| `host_assets_status` | Codex custom agents や Gemini assets などの生成済みホストネイティブアセットを確認 |
 | `host_assets_install` | 管理対象のホストネイティブアセットを明示的にインストールまたは更新 |
 | `host_assets_uninstall` | Agestra が追跡する管理対象ホストネイティブアセットを削除 |
 
@@ -326,21 +336,30 @@ agestra/
 ├── .gemini/
 │   └── commands/
 │       └── agestra/
+│           ├── setup.toml   # Gemini CLI の /agestra:setup
 │           ├── review.toml  # Gemini CLI の /agestra:review
 │           ├── design.toml  # Gemini CLI の /agestra:design
 │           ├── idea.toml    # Gemini CLI の /agestra:idea
-│           └── implement.toml # Gemini CLI の /agestra:implement
+│           ├── implement.toml # Gemini CLI の /agestra:implement
+│           ├── qa.toml      # Gemini CLI の /agestra:qa
+│           └── security.toml # Gemini CLI の /agestra:security
 ├── commands/
+│   ├── setup.md             # /agestra setup — プロバイダー設定
 │   ├── review.md            # /agestra review — 品質検証
+│   ├── qa.md                # /agestra qa — PASS/FAIL 検証
+│   ├── security.md          # /agestra security — セキュリティレビュー
 │   ├── idea.md              # /agestra idea — 改善案探索
 │   ├── design.md            # /agestra design — アーキテクチャ探索
 │   └── implement.md         # /agestra implement — 実装ワークフロー
 ├── agents/
+│   ├── agestra-implementer.md # スコープ付き実装実行役（Sonnet）
+│   ├── agestra-e2e-writer.md # 永続 E2E テスト作成役（Sonnet）
 │   ├── agestra-reviewer.md  # 厳格な品質検証役（Opus）
 │   ├── agestra-designer.md  # アーキテクチャ探索役（Opus）
 │   ├── agestra-ideator.md   # 改善案発見役（Sonnet）
 │   ├── agestra-moderator.md # マルチモード進行役（Sonnet）
 │   ├── agestra-qa.md        # QA 検証役（Opus、コード書き込みなし）
+│   ├── agestra-security.md  # セキュリティレビュー役（Opus）
 │   └── agestra-team-lead.md # フルオーケストレーター（Sonnet、コード書き込みなし）
 ├── skills/
 │   ├── provider-guide.md    # プロバイダー選択とモード参照
@@ -352,6 +371,9 @@ agestra/
 │   ├── design.md            # 設計探索ワークフロー
 │   ├── idea.md              # 改善案発見ワークフロー
 │   ├── review.md            # コード品質レビューワークフロー
+│   ├── qa.md                # 設計契約 QA ワークフロー
+│   ├── security.md          # 専用セキュリティレビューワークフロー
+│   ├── e2e.md               # 永続 E2E テスト作成ワークフロー
 │   └── leader.md            # マルチAIオーケストレーションルーター
 ├── hooks/
 │   └── user-prompt-submit.md  # ツール推奨フック
@@ -403,7 +425,7 @@ npm run uninstall:gemini
 npm run uninstall:gemini:assets
 ```
 
-`*:assets` のアンインストールは、ホスト登録と未変更の生成済みホスト資産を一緒に削除します。ユーザーが生成済み資産を編集していた場合、Agestra はそのファイルを残して報告します。グローバル npm インストールでは `agestra-uninstall codex --assets` または `agestra-uninstall gemini --assets --scope user` を使ってください。
+`*:assets` のアンインストールは、ホスト登録と未変更の生成済みホスト資産を一緒に削除します。Codex assets は custom-agent ファイルです。Gemini project-scope assets は管理ファイルで、Gemini user-scope assets は `gemini extensions uninstall agestra` で削除されます。ユーザーが生成済み資産を編集していた場合、Agestra はそのファイルを残して報告します。グローバル npm インストールでは `agestra-uninstall codex --assets` または `agestra-uninstall gemini --assets --scope user` を使ってください。
 
 生成済みのプロジェクトデータも削除したい場合は、`.agestra/` ディレクトリを手動で削除してください。
 

package/README.ko.md

@@ -11,70 +11,34 @@ Agestra는 Claude 호스트, Ollama(로컬), Gemini CLI, Codex CLI를 플러그
 
 ## 빠른 시작
 
-### Claude Code
+먼저 사용할 호스트를 고르세요. 호스트 네이티브 커맨드/에이전트까지 설치하려면 `--assets` 경로를 쓰고, 서버 연결만 필요하면 MCP-only 등록을 쓰면 됩니다.
 
-```
-/plugin marketplace add mua-vtuber/Agestra
-/plugin install agestra@agestra
-```
-
-Claude는 기존 플러그인 설치 UX를 그대로 유지합니다. Agestra가 첫 사용 시 `environment_check`로 사용 가능한 공급자(Claude 호스트, Ollama, Gemini CLI, Codex CLI)를 자동 감지합니다.
-
-### Codex CLI
+| 호스트 | 이 저장소에서 설치 | 전역 npm 패키지에서 설치 | `--assets`가 추가하는 것 |
+|--------|--------------------|--------------------------|--------------------------|
+| Claude Code | `/plugin marketplace add mua-vtuber/Agestra` 후 `/plugin install agestra@agestra` | 같은 플러그인 흐름 | 플러그인 번들, 커맨드, 에이전트, hook, MCP 서버 |
+| Codex CLI | `npm run bundle` 후 `npm run install:codex:assets` | `npm install -g agestra` 후 `agestra-install codex --assets` | `.codex/agents/` 아래 생성형 custom agent |
+| Gemini CLI | `npm run bundle` 후 `npm run install:gemini:assets` | `npm install -g agestra` 후 `agestra-install gemini --assets --scope user` | project scope에서는 관리 파일, user scope에서는 native `agestra` Gemini extension |
 
-저장소 체크아웃 기준:
+MCP-only 등록도 가능합니다:
 
-```
-npm run bundle
-npm run install:codex:assets
-```
+| 호스트 | 저장소 패키지 | 체크아웃에서 전역 패키지 등록 |
+|--------|---------------|-------------------------------|
+| Codex CLI | `npm run install:codex` | `npm run install:codex:global` |
+| Gemini CLI | `npm run install:gemini` | `npm run install:gemini:global` |
 
-전역 npm 패키지 기준:
+Claude는 네이티브 플러그인 UX를 그대로 사용합니다. Codex는 [AGENTS.md](AGENTS.md), 생성된 custom agent, 등록된 `agestra` MCP 서버를 함께 사용합니다. Gemini는 [GEMINI.md](GEMINI.md), `.gemini/commands/agestra/`, 생성된 skills, 그리고 project-scope 관리 파일 또는 user-scope native extension을 함께 사용합니다.
 
-```
-npm install -g agestra
-agestra-install codex --assets
-```
+참고: `npm run install:gemini:assets`는 기본적으로 user scope를 사용합니다. 체크아웃에서 project-scope Gemini 관리 파일을 설치하려면 `node scripts/install-host-mcp.mjs gemini --assets --scope project`를 실행하세요.
 
-저장소에서 작업 중이지만 전역 npm 패키지를 MCP만 등록하고 싶다면:
-
-```
-npm run install:codex:global
-```
-
-Codex는 저장소 루트의 [AGENTS.md](AGENTS.md)와 등록된 `agestra` MCP 서버를 함께 사용합니다. 생성형 Codex custom agent에는 `--assets` 경로가 필요하며, 이 경로가 `.codex/agents/` 아래에 agent를 설치하고 Agestra host-asset manifest에 기록합니다. custom agent 없이 MCP만 등록하려면 `npm run install:codex` 또는 `agestra-install codex`를 사용하세요.
-
-### Gemini CLI
-
-저장소 체크아웃 기준:
-
-```
-npm run bundle
-npm run install:gemini:assets
-```
-
-전역 npm 패키지 기준:
-
-```
-npm install -g agestra
-agestra-install gemini --assets --scope user
-```
-
-저장소에서 작업 중이지만 전역 npm 패키지를 MCP만 등록하고 싶다면:
-
-```
-npm run install:gemini:global
-```
-
-Gemini는 저장소 루트의 [GEMINI.md](GEMINI.md)와 [`.gemini/commands/agestra/`](.gemini/commands/agestra) 프로젝트 커맨드를 함께 사용합니다. user scope의 `--assets` 경로는 Agestra Gemini native extension을 설치합니다. MCP만 등록하려면 `npm run install:gemini` 또는 `agestra-install gemini`를 사용하세요.
-
-설치 후 Gemini에서 사용할 수 있는 명령:
+Assets 설치 후 Gemini에서 사용할 수 있는 명령:
 
 - `/agestra:setup`
 - `/agestra:review`
 - `/agestra:design`
 - `/agestra:idea`
 - `/agestra:implement`
+- `/agestra:qa`
+- `/agestra:security`
 
 ### 사전 요구사항
 
@@ -110,9 +74,9 @@ winget install BurntSushi.ripgrep.MSVC
 
 | 호스트 | 자연스러운 진입 방식 |
 |--------|----------------------|
-| Claude Code | `/agestra review`, `/agestra design`, `/agestra idea`, `/agestra implement` |
+| Claude Code | `/agestra setup`, `/agestra review`, `/agestra qa`, `/agestra security`, `/agestra design`, `/agestra idea`, `/agestra implement` |
 | Codex CLI | `AGENTS.md`에 맞춘 자연어 요청 |
-| Gemini CLI | `/agestra:review`, `/agestra:design`, `/agestra:idea`, `/agestra:implement` |
+| Gemini CLI | `/agestra:setup`, `/agestra:review`, `/agestra:qa`, `/agestra:security`, `/agestra:design`, `/agestra:idea`, `/agestra:implement` |
 
 세 호스트 모두 같은 MCP 서버와 `commands/*.md` 공유 워크플로우를 사용합니다.
 
@@ -120,24 +84,29 @@ winget install BurntSushi.ripgrep.MSVC
 
 | 커맨드 | 설명 |
 |--------|------|
+| `/agestra setup` | 초기 AI 공급자 선택 및 설정 |
 | `/agestra review [대상]` | 코드 품질, 보안, 통합 완성도 검증 |
+| `/agestra qa [대상]` | 구현 결과를 검증하고 PASS/FAIL 근거 생성 |
+| `/agestra security [대상]` | 전용 보안 리뷰 실행 |
 | `/agestra idea [주제]` | 유사 프로젝트 비교를 통한 개선점 발굴 |
 | `/agestra design [주제]` | 구현 전 아키텍처 및 설계 트레이드오프 탐색 |
-| `/agestra setup` | 초기 AI 공급자 선택 및 설정 |
 | `/agestra implement [작업]` | Claude only 또는 Multi-AI 모드로 실제 구현 진행 |
 
-외부 공급자가 있으면 텍스트 커맨드(review, design, idea)는 곧바로 끝장토론 모드로 진입하여 멀티 AI 교차 검증을 수행합니다. 공급자가 없으면 자동으로 Claude 단독 모드로 작동합니다.
+외부 공급자가 있으면 review, QA, security, design, idea 워크플로우는 team-lead를 통해 멀티 AI 교차 검증으로 라우팅됩니다. 공급자가 없으면 현재 호스트의 로컬 specialist agent가 자동으로 처리합니다.
 
 ## 에이전트
 
 | 에이전트 | 모델 | 역할 |
 |----------|------|------|
 | `agestra-team-lead` | Sonnet | 풀 오케스트레이터 — 환경 체크, 품질 기반 공급자 라우팅, 작업 모드 선택, CLI 워커 감독, QA 루프 |
+| `agestra-implementer` | Sonnet | 제한된 구현 실행자 — 코드 수정, 테스트 갱신, 로컬 검증 |
+| `agestra-e2e-writer` | Sonnet | 지속 E2E 테스트 작성자 — 승인된 브라우저 플로우 테스트만 작성 |
 | `agestra-reviewer` | Opus | 엄격한 품질 검증 — 보안, 고아 시스템, 스펙 이탈, 테스트 공백 |
 | `agestra-designer` | Opus | 아키텍처 탐색 — 소크라테스식 질문, 트레이드오프 분석 |
 | `agestra-ideator` | Sonnet | 개선점 발굴 — 웹 리서치, 경쟁 분석 |
 | `agestra-moderator` | Sonnet | 다목적 진행자 — 합의 검출 토론, 독립 취합, 문서 라운드 리뷰, 충돌 해결 |
 | `agestra-qa` | Opus | QA 검증 — 설계 준수, PASS/FAIL 판정 |
+| `agestra-security` | Opus | 보안 리뷰 — 위협 모델, 인증/데이터 흐름 위험, 의존성·시크릿 위생 |
 
 ## 스킬
 
@@ -152,6 +121,9 @@ winget install BurntSushi.ripgrep.MSVC
 | `design` | 멀티 AI 모드 선택이 포함된 아키텍처 탐색 워크플로우 |
 | `idea` | 멀티 AI 모드 선택이 포함된 개선점 발굴 워크플로우 |
 | `review` | 멀티 AI 모드 선택이 포함된 코드 품질·보안·하드코딩 리뷰 워크플로우 |
+| `qa` | 설계 계약 검증 및 PASS/FAIL 근거 생성 워크플로우 |
+| `security` | 전용 보안 리뷰 워크플로우 |
+| `e2e` | 지속 브라우저 E2E 테스트 작성 워크플로우 |
 | `leader` | 멀티 AI/프로바이더 오케스트레이션 진입점 — 명시적인 프로바이더, 토론, 합의, 교차 검증 신호를 잡아 도메인을 분류한 뒤 `agestra-team-lead`에 위임 |
 
 ---
@@ -174,7 +146,7 @@ Turborepo 모노레포, 8개 패키지:
 
 - **공급자 추상화** — 모든 백엔드가 `AIProvider`(`chat`, `healthCheck`, `getCapabilities`)를 구현. 새 공급자 추가는 전용 패키지 구현과 팩토리 등록으로 분리됩니다.
 - **제로 설정** — 시작 시 공급자를 자동 감지. 수동 설정 불필요.
-- **호스트 네이티브** — Claude는 플러그인 번들을, Codex는 `AGENTS.md`를, Gemini는 `GEMINI.md`와 프로젝트 커맨드를 사용하지만 내부 MCP 서버와 워크플로우 코어는 공통으로 공유합니다.
+- **호스트 네이티브** — Claude는 플러그인 번들을, Codex는 `AGENTS.md`와 custom agents를, Gemini는 `GEMINI.md`, commands, skills 또는 native extension을 사용합니다. 모든 호스트는 같은 MCP 서버와 워크플로우 코어를 공유합니다.
 - **모듈형 디스패치** — 각 도구 카테고리가 `getTools()` + `handleTool()`을 내보내는 독립 모듈. 서버가 동적으로 수집·디스패치.
 - **원자적 쓰기** — 모든 파일 연산이 임시 파일 → rename 방식. 크래시 시 손상 방지.
 - **실패 추적** — 실패한 접근법이 자동 기록, 이후 프롬프트에 주입.
@@ -182,7 +154,7 @@ Turborepo 모노레포, 8개 패키지:
 
 ### 작업 모드
 
-**텍스트 작업** (리뷰, 설계, 아이디어): 공급자 있으면 → 끝장토론; 없으면 → Claude only
+**텍스트 작업** (리뷰, QA, 보안, 설계, 아이디어): 공급자 있으면 → 끝장토론; 없으면 → Claude only
 
 **구현 작업** (team-lead 오케스트레이션):
 - **Claude만으로** — Claude가 프로젝트/전역 에이전트를 활용해 직접 구현.
@@ -264,7 +236,7 @@ Turborepo 모노레포, 8개 패키지:
 
 | 도구 | 설명 |
 |------|------|
-| `host_assets_status` | Codex custom agents 같은 생성된 호스트 네이티브 자산 상태 확인 |
+| `host_assets_status` | Codex custom agents, Gemini assets 같은 생성된 호스트 네이티브 자산 상태 확인 |
 | `host_assets_install` | 관리되는 호스트 네이티브 자산을 명시적으로 설치 또는 갱신 |
 | `host_assets_uninstall` | Agestra가 추적하는 관리형 호스트 네이티브 자산 제거 |
 
@@ -357,9 +329,14 @@ agestra/
 │           ├── review.toml  # Gemini CLI의 /agestra:review
 │           ├── design.toml  # Gemini CLI의 /agestra:design
 │           ├── idea.toml    # Gemini CLI의 /agestra:idea
-│           └── implement.toml # Gemini CLI의 /agestra:implement
+│           ├── implement.toml # Gemini CLI의 /agestra:implement
+│           ├── qa.toml      # Gemini CLI의 /agestra:qa
+│           └── security.toml # Gemini CLI의 /agestra:security
 ├── commands/
+│   ├── setup.md             # /agestra setup — 공급자 설정
 │   ├── review.md            # /agestra review — 품질 검증
+│   ├── qa.md                # /agestra qa — PASS/FAIL 검증
+│   ├── security.md          # /agestra security — 보안 리뷰
 │   ├── idea.md              # /agestra idea — 개선점 발굴
 │   ├── design.md            # /agestra design — 아키텍처 탐색
 │   └── implement.md         # /agestra implement — 실제 구현 진행
@@ -367,8 +344,11 @@ agestra/
 │   ├── agestra-reviewer.md  # 엄격한 품질 검증자 (Opus)
 │   ├── agestra-designer.md  # 아키텍처 탐색자 (Opus)
 │   ├── agestra-ideator.md   # 개선점 발굴자 (Sonnet)
+│   ├── agestra-implementer.md # 제한된 구현 실행자 (Sonnet)
+│   ├── agestra-e2e-writer.md # 지속 E2E 테스트 작성자 (Sonnet)
 │   ├── agestra-moderator.md # 다목적 진행자 (Sonnet)
 │   ├── agestra-qa.md        # QA 검증자 (Opus, 코드 쓰기 불가)
+│   ├── agestra-security.md  # 보안 리뷰어 (Opus)
 │   └── agestra-team-lead.md # 풀 오케스트레이터 (Sonnet, 코드 쓰기 불가)
 ├── skills/
 │   ├── provider-guide.md    # 공급자 라우팅 및 모드 참조
@@ -380,6 +360,9 @@ agestra/
 │   ├── design.md            # 아키텍처 탐색 워크플로우
 │   ├── idea.md              # 개선점 발굴 워크플로우
 │   ├── review.md            # 코드 품질 리뷰 워크플로우
+│   ├── qa.md                # 설계 계약 QA 워크플로우
+│   ├── security.md          # 전용 보안 리뷰 워크플로우
+│   ├── e2e.md               # 지속 E2E 테스트 작성 워크플로우
 │   └── leader.md            # 멀티 AI 오케스트레이션 라우터
 ├── hooks/
 │   └── user-prompt-submit.md  # 도구 추천 hook
@@ -431,7 +414,7 @@ npm run uninstall:gemini
 npm run uninstall:gemini:assets
 ```
 
-`*:assets` 제거 명령은 호스트 등록과 변경되지 않은 생성형 호스트 자산을 함께 제거합니다. 사용자가 생성된 자산을 수정했다면 Agestra는 삭제하지 않고 남겨둔 파일을 보고합니다. 전역 npm 설치에서는 `agestra-uninstall codex --assets` 또는 `agestra-uninstall gemini --assets --scope user`를 사용하세요.
+`*:assets` 제거 명령은 호스트 등록과 변경되지 않은 생성형 호스트 자산을 함께 제거합니다. Codex 자산은 custom-agent 파일입니다. Gemini project-scope 자산은 관리 파일이고, Gemini user-scope 자산은 `gemini extensions uninstall agestra`로 제거됩니다. 사용자가 생성된 자산을 수정했다면 Agestra는 삭제하지 않고 남겨둔 파일을 보고합니다. 전역 npm 설치에서는 `agestra-uninstall codex --assets` 또는 `agestra-uninstall gemini --assets --scope user`를 사용하세요.
 
 프로젝트에 생성된 데이터까지 지우려면 `.agestra/` 디렉터리를 수동으로 삭제하세요.
 

package/README.md

@@ -11,70 +11,34 @@ Agestra connects the Claude host, Ollama (local), Gemini CLI, and Codex CLI as p
 
 ## Quick Start
 
-### Claude Code
+Pick the host you work in first. Use the `--assets` path when you want the host-native commands/agents installed too; use MCP-only registration when you only need the server connection.
 
-```
-/plugin marketplace add mua-vtuber/Agestra
-/plugin install agestra@agestra
-```
-
-Claude keeps the existing plugin UX. Agestra auto-detects available providers (Claude host, Ollama, Gemini CLI, Codex CLI) on first use via `environment_check`.
-
-### Codex CLI
+| Host | From this repository | From global npm | What `--assets` adds |
+|------|----------------------|-----------------|----------------------|
+| Claude Code | `/plugin marketplace add mua-vtuber/Agestra` then `/plugin install agestra@agestra` | same plugin flow | Plugin bundle, commands, agents, hooks, and MCP server together |
+| Codex CLI | `npm run bundle` then `npm run install:codex:assets` | `npm install -g agestra` then `agestra-install codex --assets` | Generated custom agents under `.codex/agents/` |
+| Gemini CLI | `npm run bundle` then `npm run install:gemini:assets` | `npm install -g agestra` then `agestra-install gemini --assets --scope user` | Project assets for project scope, or the native `agestra` Gemini extension for user scope |
 
-Repository checkout:
+MCP-only registration is also available:
 
-```
-npm run bundle
-npm run install:codex:assets
-```
+| Host | Repository package | Global package from a checkout |
+|------|--------------------|--------------------------------|
+| Codex CLI | `npm run install:codex` | `npm run install:codex:global` |
+| Gemini CLI | `npm run install:gemini` | `npm run install:gemini:global` |
 
-Global npm package:
+Claude keeps the native plugin UX. Codex combines [AGENTS.md](AGENTS.md), generated custom agents, and the registered `agestra` MCP server. Gemini combines [GEMINI.md](GEMINI.md), `.gemini/commands/agestra/`, generated skills, and either project-scope managed files or a user-scope native extension.
 
-```
-npm install -g agestra
-agestra-install codex --assets
-```
+Note: `npm run install:gemini:assets` uses user scope by default. For project-scope managed Gemini files from a checkout, run `node scripts/install-host-mcp.mjs gemini --assets --scope project`.
 
-If you want MCP-only registration of the global package while working from a repo checkout, use:
-
-```
-npm run install:codex:global
-```
-
-Codex uses the repository-level [AGENTS.md](AGENTS.md) instructions plus the registered `agestra` MCP server. The `--assets` path is required for generated Codex custom agents; it installs them under `.codex/agents/` and tracks them in the Agestra host-asset manifest. For MCP-only registration without custom agents, use `npm run install:codex` or `agestra-install codex`.
-
-### Gemini CLI
-
-Repository checkout:
-
-```
-npm run bundle
-npm run install:gemini:assets
-```
-
-Global npm package:
-
-```
-npm install -g agestra
-agestra-install gemini --assets --scope user
-```
-
-If you want MCP-only registration of the global package while working from a repo checkout, use:
-
-```
-npm run install:gemini:global
-```
-
-Gemini uses the repository-level [GEMINI.md](GEMINI.md) context file plus project commands under [`.gemini/commands/agestra/`](.gemini/commands/agestra). The user-scope `--assets` path installs the Agestra Gemini native extension. For MCP-only registration, use `npm run install:gemini` or `agestra-install gemini`.
-
-Available Gemini commands after setup:
+Available Gemini commands after asset setup:
 
 - `/agestra:setup`
 - `/agestra:review`
 - `/agestra:design`
 - `/agestra:idea`
 - `/agestra:implement`
+- `/agestra:qa`
+- `/agestra:security`
 
 ### Prerequisites
 
@@ -110,9 +74,9 @@ winget install BurntSushi.ripgrep.MSVC
 
 | Host | Natural entrypoint |
 |------|--------------------|
-| Claude Code | `/agestra review`, `/agestra design`, `/agestra idea`, `/agestra implement` |
+| Claude Code | `/agestra setup`, `/agestra review`, `/agestra qa`, `/agestra security`, `/agestra design`, `/agestra idea`, `/agestra implement` |
 | Codex CLI | Plain-language requests guided by `AGENTS.md` |
-| Gemini CLI | `/agestra:review`, `/agestra:design`, `/agestra:idea`, `/agestra:implement` |
+| Gemini CLI | `/agestra:setup`, `/agestra:review`, `/agestra:qa`, `/agestra:security`, `/agestra:design`, `/agestra:idea`, `/agestra:implement` |
 
 All three hosts drive the same MCP server and shared workflow specs from `commands/*.md`.
 
@@ -120,13 +84,15 @@ All three hosts drive the same MCP server and shared workflow specs from `comman
 
 | Command | Description |
 |---------|-------------|
+| `/agestra setup` | Initial AI provider selection and setup |
 | `/agestra review [target]` | Review code quality, security, and integration completeness |
+| `/agestra qa [target]` | Verify implementation results and produce PASS/FAIL evidence |
+| `/agestra security [target]` | Run a dedicated security review |
 | `/agestra idea [topic]` | Discover improvements by comparing with similar projects |
 | `/agestra design [subject]` | Explore architecture and design trade-offs before implementation |
-| `/agestra setup` | Initial AI provider selection and setup |
 | `/agestra implement [task]` | Execute implementation through Leader-host-only or suggested AI distribution mode |
 
-When external providers are available, text commands (review, design, idea) go directly to consensus debate mode for multi-AI cross-validation. When no providers are detected, the current leader host works with its local specialist agent automatically. Implementation requests first classify the task and can ask whether to propose an AI task distribution.
+When external providers are available, review, QA, security, design, and idea workflows route through the team lead for multi-AI cross-validation. For QA, the team lead forms a QA Brigade from the configured provider set by default, then hands it to the moderator engine's existing `ITEM-*` / JSON stance ledger: host QA collects executable evidence, providers take distinct verification lenses, candidate findings are challenged before inclusion, and the synthesis preserves consensus plus dissent. E2E/browser/runtime execution remains host-owned, and external providers review the resulting evidence. When no providers are detected, the current leader host works with its local specialist agent automatically. Implementation requests first classify the task and can ask whether to propose an AI task distribution.
 
 ## Agents
 
@@ -134,11 +100,13 @@ When external providers are available, text commands (review, design, idea) go d
 |-------|-------|------|
 | `agestra-team-lead` | Sonnet | Full orchestrator — environment check, quality-based provider routing, work mode selection, CLI worker supervision, QA loop |
 | `agestra-implementer` | Sonnet | Scoped implementation executor — code edits, test updates, local verification |
+| `agestra-e2e-writer` | Sonnet | Persistent E2E test writer — creates approved browser-flow tests without changing product behavior |
 | `agestra-reviewer` | Opus | Strict quality verifier — security, orphans, spec drift, test gaps |
 | `agestra-designer` | Opus | Architecture explorer — Socratic questioning, trade-off analysis |
 | `agestra-ideator` | Sonnet | Improvement discoverer — web research, competitive analysis |
 | `agestra-moderator` | Sonnet | Multi-mode facilitator — debate with consensus detection, independent aggregation, document review, conflict resolution |
 | `agestra-qa` | Opus | QA verifier — design compliance, PASS/FAIL judgment |
+| `agestra-security` | Opus | Security reviewer — threat model, auth/data-flow risk, dependency and secret hygiene |
 
 ## Skills
 
@@ -153,6 +121,9 @@ When external providers are available, text commands (review, design, idea) go d
 | `design` | Architecture exploration workflow with multi-AI mode selection |
 | `idea` | Improvement discovery workflow with multi-AI mode selection |
 | `review` | Code quality / security / hardcoding review workflow with multi-AI mode selection |
+| `qa` | Design-contract verification and PASS/FAIL evidence workflow |
+| `security` | Dedicated security review workflow |
+| `e2e` | Persistent browser E2E test-authoring workflow |
 | `leader` | Multi-AI/provider orchestration entry — catches explicit provider, debate, consensus, or cross-validation signals, classifies the domain, and hands off to `agestra-team-lead` |
 
 ---
@@ -175,7 +146,7 @@ Turborepo monorepo with 8 packages:
 
 - **Provider abstraction** — All backends implement `AIProvider` (`chat`, `healthCheck`, `getCapabilities`). Adding a new provider is isolated to a provider package plus factory registration.
 - **Zero-config** — Providers are auto-detected at startup. No manual configuration required.
-- **Host-native** — Claude uses the plugin bundle, Codex uses `AGENTS.md`, and Gemini uses `GEMINI.md` plus project commands, while all three share the same MCP server and workflow core.
+- **Host-native** — Claude uses the plugin bundle, Codex uses `AGENTS.md` plus custom agents, and Gemini uses `GEMINI.md`, commands, skills, or the native extension. All hosts share the same MCP server and workflow core.
 - **Modular dispatch** — Each tool category is an independent module with `getTools()` + `handleTool()`. The server collects and dispatches dynamically.
 - **Atomic writes** — All file operations use write-to-temp-then-rename to prevent corruption.
 - **Dead-end tracking** — Failed approaches are recorded and injected into future prompts.
@@ -183,10 +154,10 @@ Turborepo monorepo with 8 packages:
 
 ### Work Modes
 
-**Text work** (review, design, idea): providers available → consensus debate mode; no providers → Leader-host only
+**Text work** (review, QA, security, design, idea): providers available → consensus debate mode; no providers → Leader-host only. For QA, the team lead runs a QA Brigade by default while E2E/runtime checks stay host-owned.
 
 **Implementation work** (team-lead orchestration):
-- **Leader-host only** — `agestra-implementer` applies scoped code changes; reviewer/QA verify.
+- **Leader-host only** — `agestra-implementer` applies scoped code changes; the team lead still routes QA through the QA Brigade by default, with host-only review/QA available on request.
 - **Suggested AI distribution** — the team lead proposes a routing table, asks for approval, then dispatches Codex/Gemini CLI workers for suitable code edits and Ollama for simple/repetitive proposal work.
 
 ---
@@ -265,7 +236,7 @@ Turborepo monorepo with 8 packages:
 
 | Tool | Description |
 |------|-------------|
-| `host_assets_status` | Check generated host-native assets such as Codex custom agents |
+| `host_assets_status` | Check generated host-native assets such as Codex custom agents and Gemini assets |
 | `host_assets_install` | Explicitly install or refresh managed host-native assets |
 | `host_assets_uninstall` | Remove managed host-native assets tracked by Agestra |
 
@@ -358,9 +329,14 @@ agestra/
 │           ├── review.toml  # /agestra:review in Gemini CLI
 │           ├── design.toml  # /agestra:design in Gemini CLI
 │           ├── idea.toml    # /agestra:idea in Gemini CLI
-│           └── implement.toml # /agestra:implement in Gemini CLI
+│           ├── implement.toml # /agestra:implement in Gemini CLI
+│           ├── qa.toml      # /agestra:qa in Gemini CLI
+│           └── security.toml # /agestra:security in Gemini CLI
 ├── commands/
+│   ├── setup.md             # /agestra setup — provider setup
 │   ├── review.md            # /agestra review — quality verification
+│   ├── qa.md                # /agestra qa — PASS/FAIL verification
+│   ├── security.md          # /agestra security — security review
 │   ├── idea.md              # /agestra idea — improvement discovery
 │   ├── design.md            # /agestra design — architecture exploration
 │   └── implement.md         # /agestra implement — execution workflow
@@ -369,8 +345,10 @@ agestra/
 │   ├── agestra-designer.md  # Architecture explorer (Opus)
 │   ├── agestra-ideator.md   # Improvement discoverer (Sonnet)
 │   ├── agestra-implementer.md # Scoped implementation executor (Sonnet)
+│   ├── agestra-e2e-writer.md # Persistent E2E test writer (Sonnet)
 │   ├── agestra-moderator.md # Multi-mode facilitator (Sonnet)
 │   ├── agestra-qa.md        # QA verifier (Opus, no code writes)
+│   ├── agestra-security.md  # Security reviewer (Opus)
 │   └── agestra-team-lead.md # Full orchestrator (Sonnet, no code writes)
 ├── skills/
 │   ├── provider-guide.md    # Provider routing and mode reference
@@ -382,6 +360,9 @@ agestra/
 │   ├── design.md            # Architecture exploration workflow
 │   ├── idea.md              # Improvement discovery workflow
 │   ├── review.md            # Code quality review workflow
+│   ├── qa.md                # Design-contract QA workflow
+│   ├── security.md          # Dedicated security review workflow
+│   ├── e2e.md               # Persistent E2E test-writing workflow
 │   └── leader.md            # Multi-AI orchestration entry router
 ├── hooks/
 │   └── user-prompt-submit.md  # Tool recommendation hook
@@ -433,7 +414,7 @@ npm run uninstall:gemini
 npm run uninstall:gemini:assets
 ```
 
-The `*:assets` uninstall commands remove both the host registration and unchanged generated host assets. If a generated asset was edited by the user, Agestra leaves it in place and reports it. For a global npm install, use `agestra-uninstall codex --assets` or `agestra-uninstall gemini --assets --scope user`.
+The `*:assets` uninstall commands remove both the host registration and unchanged generated host assets. Codex assets are custom-agent files. Gemini project-scope assets are managed files; Gemini user-scope assets are removed through `gemini extensions uninstall agestra`. If a generated asset was edited by the user, Agestra leaves it in place and reports it. For a global npm install, use `agestra-uninstall codex --assets` or `agestra-uninstall gemini --assets --scope user`.
 
 If you also want to delete generated project data, remove the `.agestra/` directory manually.