ccgx-workflow 1.0.3 → 1.0.5

package/templates/commands/status.md

@@ -1,5 +1,5 @@
 ---
-description: '后台任务观测：列表 / 单查 / 阻塞等待 / dashboard / tail 流式 / 卡点检测 / 单 phase cancel（v4.5 P7 升级）'
+description: '后台任务观测：列表 / 单查 / 阻塞等待 / dashboard / tail 流式 / 卡点检测 / 单 phase cancel'
 argument-hint: "[<job-id>] [--wait --timeout-ms <ms>] [--tail <job-id>] [--cancel <phase-id>]"
 allowed-tools:
   - Read
@@ -7,9 +7,9 @@ allowed-tools:
   - Glob
 ---
 
-# Status — 后台任务观测（v4.5 dashboard + tail）
+# Status — 后台任务观测（dashboard + tail）
 
-CCG v4.5 起 phase-runner 走 Bash subprocess（`claude -p --output-format stream-json ...`），stream 落盘到 `<workdir>/.context/jobs/<job-id>/progress.jsonl`。失去 sidechain inline UI 后，本命令是用户**唯一**的微观干预入口，必须复刻这四个长跑场景：
+phase-runner 走 Bash subprocess（`claude -p --output-format stream-json ...`），stream 落盘到 `<workdir>/.context/jobs/<job-id>/progress.jsonl`。失去 sidechain inline UI 后，本命令是用户**唯一**的微观干预入口，必须复刻这四个长跑场景：
 
 | 场景 | 模式 |
 |------|------|
@@ -33,8 +33,8 @@ CCG v4.5 起 phase-runner 走 Bash subprocess（`claude -p --output-format strea
 /ccg:status                                  # 模式 A：列表 / dashboard
 /ccg:status <job-id>                         # 模式 B：单查详情
 /ccg:status <job-id> --wait --timeout-ms <ms>  # 模式 C：阻塞等待
-/ccg:status --tail <job-id>                  # 模式 D：流式 tail（v4.5 新增）
-/ccg:status --cancel <phase-id>              # 模式 E：单 phase 协作 cancel（v4.5 新增）
+/ccg:status --tail <job-id>                  # 模式 D：流式 tail
+/ccg:status --cancel <phase-id>              # 模式 E：单 phase 协作 cancel
 ```
 
 ## 模式 A：Dashboard（无参数）
@@ -77,7 +77,7 @@ Phase 7 (Status v2) [============>       ]  60%  (12m 04s) 🛠️  edit_file
 4. 超时 → "⏱ Timeout after <X>s — job still in <status>，retry with longer --timeout-ms 或 /ccg:cancel <id>"
 5. 超时退出码 0（不视为失败）
 
-## 模式 D：Tail 流式（v4.5 新增）
+## 模式 D：Tail 流式
 
 `/ccg:status --tail <job-id>` 持续读 `progress.jsonl`，单行覆写：
 
@@ -130,7 +130,7 @@ done
 
 每次 tail 前调 `detectStuck` 注入 banner（loop / slow-tool / stalled 三类警告）。
 
-## 模式 E：单 phase 协作 cancel（v4.5 新增）
+## 模式 E：单 phase 协作 cancel
 
 `/ccg:status --cancel <phase-id>` 流程：
 
@@ -138,7 +138,7 @@ done
 2. 写 `.context/jobs/<job-id>/cancel.flag` —— 内容 `phase=<phase-id>\nrequested-at=<iso>`
 3. 翻 `state.cancel_requested=true`
 4. **5 秒 grace 等待** —— 给 phase-runner 子进程读 cancel.flag 优雅退出
-5. 5s 后子进程仍 running → 调用 `killProcessTree({ pid: state.cli_pid, pgid: state.process_group_id, graceMs: 5000 })`（来自 `src/utils/process-tree.ts`，v4.5 P1b 已落地，P1f wired）
+5. 5s 后子进程仍 running → 调用 `killProcessTree({ pid: state.cli_pid, pgid: state.process_group_id, graceMs: 5000 })`（来自 `src/utils/process-tree.ts`）
 6. 输出最终结果：`canceled gracefully` / `force-killed pid=N` / `not found`
 
 **实施样板**（主线 LLM 用 Bash + node -e 调用 helper）：
@@ -187,20 +187,20 @@ const { renderJsonl, progressBar, formatElapsed } = require('~/.claude/.ccg/dist
 // 卡点检测
 const { detectStuck, hasStuckWarning } = require('~/.claude/.ccg/dist/index.mjs')
 
-// 已有 v4.0 helper
+// job helper
 const { listJobs, getJob, requestCancel } = require('~/.claude/.ccg/dist/index.mjs')
 ```
 
 源码真相：
 - `src/utils/jobs.ts` — `listJobs / getJob / requestCancel`
-- `src/utils/stream-renderer.ts`（v4.5 P7） — `renderJsonl / renderEvent / progressBar / formatElapsed`
-- `src/utils/stuck-detector.ts`（v4.5 P7） — `detectStuck / hasStuckWarning`
-- `src/utils/process-tree.ts`（v4.5 P1b 落地 + P1f wired） — `killProcessTree / sampleProcessRssMb / writeDegradedFlag / readDegradedFlag / reconcileStaleJobs`
+- `src/utils/stream-renderer.ts` — `renderJsonl / renderEvent / progressBar / formatElapsed`
+- `src/utils/stuck-detector.ts` — `detectStuck / hasStuckWarning`
+- `src/utils/process-tree.ts` — `killProcessTree / sampleProcessRssMb / writeDegradedFlag / readDegradedFlag / reconcileStaleJobs`
 
-v4.x 暂未把 `dist/` 暴露给命令模板，主线 LLM 走 Bash + Read 等价行为：
+`dist/` 未暴露给命令模板时，主线 LLM 走 Bash + Read 等价行为：
 
 - dashboard：调 `node -e` 读各 state.json + 简单进度推断 + `=`/`>`/空格手动拼字符串
 - tail：调 `node -e` 解析 ndjson + 走 `renderEvent` 等价 switch（TS helper 是真相源）
-- cancel：直接 `echo > cancel.flag` + sleep 5 + 调 process-tree（Phase 2 ready 后）
+- cancel：直接 `echo > cancel.flag` + sleep 5 + 调 process-tree
 
-升级路径见 `.ccg-migration/v4.4-to-v4.5.md` § "/ccg:status v2 升级"。
+历史升级记录见 `.ccg-migration/INTERNAL-DEV-LOG.md`。

package/templates/commands/team-exec.md

@@ -167,7 +167,7 @@ subagent_freshness: required
 
 用 `AskUserQuestion` 让用户选择。**重试**最多再走一轮 wave 调度，第二次仍失败则强制选 2/3。
 
-### Step 5.5: Frontmatter-only Summary 读取（v4.0 Phase 2 状态机）
+### Step 5.5: Frontmatter-only Summary 读取（状态机契约）
 
 **核心契约**：Lead 不接 Builder 的全部 stdout。每个 Builder 完成任务后，**必须由 Lead 读取该任务对应的 `.context/<phase>/SUMMARY.md` 的 YAML frontmatter**——不读 body，不读 builder transcript。
 

package/templates/commands/team.md

@@ -3,16 +3,16 @@ description: 'Agent Teams 8 阶段企业级工作流 - 7 角色全流程统一
 ---
 <!-- CCG:TEAM:UNIFIED:START -->
 
-## 子命令路由（v4.1-p18）
+## 子命令路由
 
 `/ccg:team` 同时承载子命令调度。根据 `$ARGUMENTS` 第一个 token 路由到具体阶段：
 
 | 子命令 | 含义 | 替代旧命令 |
 |--------|------|----------|
 | `/ccg:team` (无参 / 任意非保留字)        | 8 阶段全流程         | （主流程） |
-| `/ccg:team research <需求>`              | 仅跑需求研究阶段       | `/ccg:team-research`（v4.1 删除） |
-| `/ccg:team plan <约束文件>`              | 仅跑规划阶段          | `/ccg:team-plan`（v4.1 删除） |
-| `/ccg:team review [git-range]`           | 仅跑双模型审查阶段     | `/ccg:team-review`（v4.1 删除） |
+| `/ccg:team research <需求>`              | 仅跑需求研究阶段       | `/ccg:team-research`（已删除） |
+| `/ccg:team plan <约束文件>`              | 仅跑规划阶段          | `/ccg:team-plan`（已删除） |
+| `/ccg:team review [git-range]`           | 仅跑双模型审查阶段     | `/ccg:team-review`（已删除） |
 | `/ccg:team exec <plan-file>`             | 仅跑并行实施阶段       | 等价 `/ccg:team-exec` |
 
 > **路由规则**：将 `$ARGUMENTS` 拆分为 `[subcmd, ...rest]`。若 `subcmd ∈ {research, plan, review, exec}`，跳到对应 Phase（Research → Phase 1 / plan → Phase 3 / review → Phase 6 / exec → Phase 4）；否则走完整 Phase 0-8。
@@ -178,7 +178,7 @@ Phase 8: INTEGRATION   → Lead 全量验证 + 报告 + 清理
    })
    ```
 
-   **事件驱动等待 (v4.5.2)**：spawn 两个 Bash bg 后说明 task-id 然后 **turn end**。引擎在每个 task 完成时自动发 `<task-notification>`，主线在通知触发的新 turn 处理结果。**不调 TaskOutput**。两个 task 都收到通知后才进下一步。
+   **事件驱动等待**：spawn 两个 Bash bg 后说明 task-id 然后 **turn end**。引擎在每个 task 完成时自动发 `<task-notification>`，主线在通知触发的新 turn 处理结果。**不调 TaskOutput**。两个 task 都收到通知后才进下一步。
 
    ⛔ **禁止**：调 `TaskOutput({block: true, timeout: 600000})` (旧 freeze poll 模式) / Kill task。
    ⚠️ **失败处理**：notification status=failed / exit ≠ 0 / parse 失败 → v1.7.87 标准 2-retry / 5s / 3-attempts；3 次全失败才降级单模型。
@@ -330,7 +330,7 @@ Phase 8: INTEGRATION   → Lead 全量验证 + 报告 + 清理
    })
    ```
 
-   **事件驱动等待 (v4.5.2)**：spawn 两个 Bash bg 后说明 task-id 然后 **turn end**。引擎在每个 task 完成时自动发 `<task-notification>`，主线在通知触发的新 turn 处理。**不调 TaskOutput**。两个 task 都收到通知才进 step 3。
+   **事件驱动等待**：spawn 两个 Bash bg 后说明 task-id 然后 **turn end**。引擎在每个 task 完成时自动发 `<task-notification>`，主线在通知触发的新 turn 处理。**不调 TaskOutput**。两个 task 都收到通知才进 step 3。
 
    ⛔ **禁止**：调 `TaskOutput({block: true, timeout: 600000})` (旧 freeze poll 模式) / Kill task。
    ⚠️ **失败处理**：notification status=failed / exit ≠ 0 / parse 失败 → v1.7.87 标准 2-retry / 5s / 3-attempts；3 次全失败才降级单模型。

package/templates/commands/test.md

@@ -13,7 +13,7 @@ argument-hint: "<测试目标> [--role=architect|critic|implementer|tester|write
 /test <测试目标> [--role=<name>]
 ```
 
-## Role-based routing（v4.1 specialist matrix）
+## Role-based routing（specialist matrix）
 
 可选 `--role=<name>` 叠加 role 维度路由（默认 `tester`，可显式覆盖）：
 
@@ -23,7 +23,7 @@ argument-hint: "<测试目标> [--role=architect|critic|implementer|tester|write
 | **frontend**  | gemini/architect.md | gemini/reviewer.md (adversarial) | gemini/architect.md | gemini/tester.md | gemini/analyzer.md |
 | **fullstack** | codex+gemini/architect.md | both reviewer.md (adversarial) | runner 决（per-file） | runner 决（per-file） | claude |
 
-**未传 --role 时按 v4.0 智能路由（后端 → {{BACKEND_PRIMARY}}/tester.md，前端 → {{FRONTEND_PRIMARY}}/tester.md，全栈并行），完全兼容**。`--role=critic` 触发"测试用例反例挖掘"——专门构造打破现有测试假设的边界条件。详见 `src/utils/specialist-router.ts`。
+**未传 --role 时按智能路由（后端 → {{BACKEND_PRIMARY}}/tester.md，前端 → {{FRONTEND_PRIMARY}}/tester.md，全栈并行），完全兼容**。`--role=critic` 触发"测试用例反例挖掘"——专门构造打破现有测试假设的边界条件。详见 `src/utils/specialist-router.ts`。
 
 ## 上下文
 
@@ -40,12 +40,12 @@ argument-hint: "<测试目标> [--role=architect|critic|implementer|tester|write
 
 ---
 
-## 调用通道路由（v4.1 Phase 20，CCG codeagent 退役）
+## 调用通道路由（CCG codeagent 退役）
 
-CCG v4.1 把双模型并行通道从 `Bash(codeagent-wrapper)` **默认切换**为 plugin spawn：
+CCG 把双模型并行通道从 `Bash(codeagent-wrapper)` **默认切换**为 plugin spawn：
 
 1. **优先 plugin spawn**（默认）：装了 `codex@openai-codex` + `gemini@google-gemini` plugin → 用 `Agent(subagent_type="codex:codex-rescue")` + `Agent(subagent_type="gemini:gemini-rescue")` 并行，主线接 ≤200 token 摘要。
-2. **降级 codeagent-wrapper**（v4.0 BC fallback）：plugin 未装 → fallback 到 Bash 调用，行为与 v4.0 完全一致。
+2. **降级 codeagent-wrapper**（BC fallback）：plugin 未装 → fallback 到 Bash 调用，行为与 plugin 路径等价。
 
 **判定**：preflight `Bash` 跑 `ls ~/.claude/plugins/` 看有无 `codex@*` / `gemini@*` 子目录。helper 见 `src/utils/plugin-detection.ts`。
 
@@ -60,7 +60,7 @@ CCG v4.1 把双模型并行通道从 `Bash(codeagent-wrapper)` **默认切换**
 - 如果用户通过 `/add-dir` 添加了多个工作区，先用 Glob/Grep 确定任务相关的工作区
 - 如果无法确定，用 `AskUserQuestion` 询问用户选择目标工作区
 
-**调用语法**（v4.1 Phase 20 双通道）：
+**调用语法**（双通道）：
 
 **通道 A — plugin spawn（默认）**：
 
@@ -109,7 +109,7 @@ EOF",
 })
 ```
 
-> ⚠️ 通道 B `codeagent-wrapper` 在 v4.1 已标 **deprecated**，将在 v5.0 移除。
+> ⚠️ 通道 B `codeagent-wrapper` 已标 **deprecated**。
 
 **角色提示词**：
 
@@ -126,7 +126,7 @@ EOF",
 | 前端 | {{FRONTEND_PRIMARY}} |
 | 全栈 | 并行执行两者 |
 
-**并行调用 + 事件驱动等待（v4.5.2 起）**：
+**并行调用 + 事件驱动等待**：
 
 1. 同 message 内 spawn 多个 `Bash(run_in_background: true)` 并行任务
 2. spawn 完后主线说明已启动 task-id，**直接 turn end**，**不调 TaskOutput**
@@ -135,7 +135,7 @@ EOF",
 5. **必须等所有相关 task 都收到通知**才进入下一阶段（按 task-id 计数已收齐）
 
 ⛔ **禁止**：
-- 调 `TaskOutput({block: true, timeout: 600000})` —— v4.5.1 之前的旧 freeze poll 模式，已废弃
+- 调 `TaskOutput({block: true, timeout: 600000})` —— 旧 freeze poll 模式，已废弃
 - 收到部分通知就跳过等其他模型
 - 主动 Kill task
 

package/templates/commands/verify-work.md

@@ -1,6 +1,6 @@
 ---
 name: ccg:verify-work
-description: 会话式 UAT 工作流 - UAT.md 状态文件 + cold-start smoke 自动注入 + 自动 diagnose-plan-fix 收敛环（v4.0 P9）
+description: 会话式 UAT 工作流 - UAT.md 状态文件 + cold-start smoke 自动注入 + 自动 diagnose-plan-fix 收敛环
 argument-hint: "[task-id]"
 allowed-tools:
   - Read
@@ -13,23 +13,23 @@ allowed-tools:
   - Agent
 ---
 
-# Verify Work — 会话式 UAT 工作流（v4.0 Phase 9）
+# Verify Work — 会话式 UAT 工作流
 
-v3.0 的 verify-work 是纯**编排器**——按变更性质开 verify-{module,security,quality,change} 子门，跑完聚合报告。但它**没法做真正的 UAT**：
+早期的 verify-work 是纯**编排器**——按变更性质开 verify-{module,security,quality,change} 子门，跑完聚合报告。但它**没法做真正的 UAT**：
 
 1. 用户得自己拿着报告人肉对照"这事儿到底验没验过"；
 2. `/clear` 后所有上下文丢失，UAT 进度归零；
 3. 只看代码不跑冷启动——race condition / silent seed failure / 缺环境变量在生产才暴露；
 4. 用户报 issue 后没有自动收敛环——靠用户手动来回贴报告。
 
-v4.0 把 verify-work 改造成**有状态的会话工作流**：
+当前 verify-work 是**有状态的会话工作流**：
 
 - **UAT.md frontmatter 状态文件**：跨 `/clear` 持久化，下次进入命令自动 resume；
 - **逐项核对**（show expected → ask if matches）：每条期望行为都明示问，不让模糊滑过；
 - **Cold-start smoke 自动注入**：扫 git diff 命中关键路径即注入"杀进程 → 清临时态 → 冷启动 → 主查询返回数据"测试；
 - **自动 diagnose → planner --gaps → plan-checker 收敛环**（max 3 轮）：用户报 issue 立即触发，无需手动调度。
 
-**与 v3.0 的关系**：v3.0 的多门聚合不删，迁移为 Step 2（verify-* 子门作为静态扫描）。v4.0 的会话循环裹在外层（Step 0/1/3/4/5）。
+**多门聚合保留**：早期的多门聚合不删，迁移为 Step 2（verify-* 子门作为静态扫描）。会话循环裹在外层（Step 0/1/3/4/5）。
 
 ---
 
@@ -132,9 +132,9 @@ fi
 
 ### Step 2 — 静态门 + cold-start smoke 注入
 
-#### 2a. 静态扫描（v3.0 多门保留）
+#### 2a. 静态扫描（多门保留）
 
-按 git diff 性质开门（v3.0 决策矩阵）：
+按 git diff 性质开门（决策矩阵）：
 
 | 变更性质 | 触发判据 | 门组 |
 |---------|---------|------|
@@ -317,7 +317,7 @@ else:
 | verify-change | Step 2a 静态门，常规改动必跑 |
 | verifier agent | Step 2a 末尾兜底，做需求矩阵反向溯源（v4 Phase 8 加 Level 4 数据流） |
 
-## 与 v4.0 helper 的契约
+## 与 helper 的契约
 
 | Helper | 用途 |
 |--------|------|

package/templates/commands/verify.md

@@ -9,9 +9,9 @@ allowed-tools:
   - Agent
 ---
 
-# /ccg:verify - 统一校验关卡（v4.0+）
+# /ccg:verify - 统一校验关卡
 
-替代 v3.x 时代的 4 个独立命令 `/ccg:verify-{change,quality,security,module}`，统一入口 + 子门路由，降低命令面板认知负担。
+替代早期的 4 个独立命令 `/ccg:verify-{change,quality,security,module}`，统一入口 + 子门路由，降低命令面板认知负担。
 
 ## 使用方法
 
@@ -48,7 +48,7 @@ $ARGUMENTS
 
 ## 兼容性
 
-旧的 `/ccg:verify-change` / `/ccg:verify-quality` / `/ccg:verify-security` / `/ccg:verify-module` 仍可工作（由 Skill Registry 自动生成），但 SKILL.md 已标记 `deprecated_in: v4.0`、`replaced_by: /ccg:verify --gate=<name>`。建议新工作流使用本统一命令。
+旧的 `/ccg:verify-change` / `/ccg:verify-quality` / `/ccg:verify-security` / `/ccg:verify-module` 仍可工作（由 Skill Registry 自动生成），但 SKILL.md 已标记 `deprecated_in: 1.0.0`、`replaced_by: /ccg:verify --gate=<name>`。建议新工作流使用本统一命令。
 
 ## 执行流程
 

package/templates/commands/workflow.md

@@ -83,7 +83,7 @@ EOF",
 
 **会话复用**：每次调用返回 `SESSION_ID: xxx`，后续阶段用 `resume xxx` 复用上下文（注意：是 `resume`，不是 `--resume`）。
 
-**并行调用 + 事件驱动等待（v4.5.2 起）**：
+**并行调用 + 事件驱动等待**：
 
 1. 同 message 内 spawn 多个 `Bash(run_in_background: true)` 并行任务
 2. spawn 完后主线说明已启动 task-id，**直接 turn end**，**不调 TaskOutput**
@@ -92,7 +92,7 @@ EOF",
 5. **必须等所有相关 task 都收到通知**才进入下一阶段（按 task-id 计数已收齐）
 
 ⛔ **禁止**：
-- 调 `TaskOutput({block: true, timeout: 600000})` —— v4.5.1 之前的旧 freeze poll 模式，已废弃
+- 调 `TaskOutput({block: true, timeout: 600000})` —— 旧 freeze poll 模式，已废弃
 - 收到部分通知就跳过等其他模型
 - 主动 Kill task
 

package/templates/rules/ccg-skills.md

@@ -2,7 +2,7 @@
 
 When working in a project, automatically invoke the corresponding quality gate skills based on the scenario below. These skills are installed at `~/.claude/skills/ccg/` and can be called directly.
 
-**v4.0+ NOTE**: The unified entry point `/ccg:verify --gate=<name>` is preferred over the legacy `verify-*` skill names. Both still work in v4.x for BC. Examples below show the new form first, with the legacy alias in parentheses.
+**NOTE**: The unified entry point `/ccg:verify --gate=<name>` is preferred over the legacy `verify-*` skill names. Both still work for BC. Examples below show the new form first, with the legacy alias in parentheses.
 
 ## Trigger Rules
 

package/templates/scripts/ccgx-call-plugin.mjs

@@ -0,0 +1,324 @@
+#!/usr/bin/env node
+// =============================================================================
+//  ccgx-call-plugin.mjs                                          1.0.5
+// -----------------------------------------------------------------------------
+//  Pure-Node helper for invoking codex/gemini plugin companions WITHOUT any
+//  shell-escape risk. Replaces the 1.0.4 heredoc-via-Bash pattern.
+//
+//  Why this exists (1.0.5 design after 1.0.4 dogfood):
+//    LLM-constructed Bash commands proved unreliable. Two failure modes hit
+//    in 1.0.4:
+//      1. LLM cargo-culted anti-example code from review.md docs
+//      2. LLM in actual review session still wrote `ls $(...) | head -1`
+//         glob-hack patterns despite placeholder system
+//
+//    Root cause: any design that asks the LLM to construct or substitute parts
+//    of a shell command has X% failure rate. X varies but is never zero.
+//
+//    Fix: collapse the LLM surface to "choose vendor + pass prompt-file path".
+//    All path resolution, flag construction, shell-quote-avoidance are done
+//    internally by Node spawn with array args (no shell).
+//
+//  Usage (LLM workflow):
+//    1. Write prompt body to a temp file (via Write tool):
+//         /tmp/ccg-codex-1234.txt
+//    2. Run helper via Bash:
+//         node ~/.claude/.ccg/scripts/ccgx-call-plugin.mjs codex \
+//              --prompt-file /tmp/ccg-codex-1234.txt
+//    3. Parse the JSON output emitted to stdout
+//
+//  Output schema (always JSON, even on error):
+//    {
+//      "status": "ok" | "error",
+//      "vendor": "codex" | "gemini",
+//      "version": "<plugin version>",
+//      "durationMs": <number>,
+//      "exitCode": <number | null>,
+//      "stdout": "<companion stdout>",
+//      "stderr": "<companion stderr>",
+//      "error": "<error message if status=error, else absent>"
+//    }
+//
+//  CLI args:
+//    <vendor>                Required. 'codex' or 'gemini'.
+//    --prompt-file <path>    Required. Path to file containing prompt body.
+//    --json                  Pass --json to companion (default: true).
+//    --no-json               Disable --json (text output).
+//    --timeout-ms <N>        Kill companion after N ms (default: 600000).
+//    --max-budget-usd <N>    Forwarded to companion (default: 50).
+//
+//  Cross-cutting:
+//    - Pure stdlib (fs, child_process, path, os). No deps.
+//    - Always emits valid JSON to stdout (so LLM can always JSON.parse).
+//    - Plugin path resolution via SSoT (~/.claude/plugins/installed_plugins.json).
+//    - spawn uses array args + windowsHide:true → zero shell escape surface.
+// =============================================================================
+
+import { spawn } from 'node:child_process'
+import { existsSync, readFileSync } from 'node:fs'
+import { homedir, platform } from 'node:os'
+import { join } from 'node:path'
+import { fileURLToPath } from 'node:url'
+
+// ---------------------------------------------------------------------------
+// Vendor → marketplace key (matches plugin-bash-codegen.ts SSoT lookup)
+// ---------------------------------------------------------------------------
+
+const VENDOR_KEYS = {
+  codex: 'codex@openai-codex',
+  gemini: 'gemini@google-gemini',
+}
+
+// ---------------------------------------------------------------------------
+// Argument parsing — minimal, KISS, no external CLI lib.
+// ---------------------------------------------------------------------------
+
+function parseArgs(argv) {
+  const opts = {
+    vendor: null,
+    promptFile: null,
+    json: true,
+    timeoutMs: 600000,
+    maxBudgetUsd: 50,
+  }
+
+  const positional = []
+  for (let i = 2; i < argv.length; i++) {
+    const arg = argv[i]
+    const next = () => {
+      const v = argv[++i]
+      if (v === undefined) throw new Error(`flag ${arg} requires a value`)
+      return v
+    }
+    switch (arg) {
+      case '--prompt-file':    opts.promptFile = next(); break
+      case '--json':           opts.json = true; break
+      case '--no-json':        opts.json = false; break
+      case '--timeout-ms':     opts.timeoutMs = Number.parseInt(next(), 10); break
+      case '--max-budget-usd': opts.maxBudgetUsd = Number.parseFloat(next()); break
+      case '--help':
+      case '-h':
+        printHelp()
+        process.exit(0)
+      default:
+        if (arg.startsWith('--')) throw new Error(`unknown flag: ${arg}`)
+        positional.push(arg)
+    }
+  }
+
+  if (positional.length === 0) throw new Error('vendor (codex|gemini) is required')
+  if (positional.length > 1) throw new Error(`too many positional args: ${positional.join(' ')}`)
+  opts.vendor = positional[0]
+
+  if (!VENDOR_KEYS[opts.vendor]) {
+    throw new Error(`unknown vendor: ${opts.vendor} (must be 'codex' or 'gemini')`)
+  }
+  if (!opts.promptFile) {
+    throw new Error('--prompt-file is required (path to file containing prompt body)')
+  }
+  return opts
+}
+
+function printHelp() {
+  process.stderr.write(`Usage: ccgx-call-plugin.mjs <vendor> --prompt-file <path> [flags]
+
+Required:
+  <vendor>                'codex' or 'gemini'
+  --prompt-file <path>    File containing prompt body (any content, no escape needed)
+
+Optional:
+  --json                  Pass --json to companion (default: true)
+  --no-json               Disable --json (text output)
+  --timeout-ms <N>        Kill companion after N ms (default: 600000)
+  --max-budget-usd <N>    Per-call cost cap (default: 50)
+
+Outputs JSON to stdout: {status, vendor, version, durationMs, exitCode, stdout, stderr, error?}
+`)
+}
+
+// ---------------------------------------------------------------------------
+// Plugin discovery (mirror of plugin-bash-codegen.ts:discoverCompanion)
+// ---------------------------------------------------------------------------
+
+function discoverCompanion(vendor, homeDir = homedir()) {
+  const ssotPath = join(homeDir, '.claude', 'plugins', 'installed_plugins.json')
+  if (!existsSync(ssotPath)) {
+    return { error: `installed_plugins.json not found at ${ssotPath}` }
+  }
+
+  let raw
+  try {
+    raw = JSON.parse(readFileSync(ssotPath, 'utf-8'))
+  }
+  catch (e) {
+    return { error: `installed_plugins.json parse failed: ${e.message}` }
+  }
+
+  const key = VENDOR_KEYS[vendor]
+  const instances = raw?.plugins?.[key]
+  if (!Array.isArray(instances) || instances.length === 0) {
+    return { error: `plugin ${key} not installed (no entry in installed_plugins.json)` }
+  }
+
+  const inst = instances[0]
+  const installPath = inst?.installPath
+  if (typeof installPath !== 'string' || !installPath) {
+    return { error: `plugin ${key} has no installPath in installed_plugins.json` }
+  }
+
+  const companionPath = join(installPath, 'scripts', `${vendor}-companion.mjs`)
+  if (!existsSync(companionPath)) {
+    return { error: `companion script missing: ${companionPath}` }
+  }
+
+  return {
+    companionPath,
+    version: typeof inst?.version === 'string' ? inst.version : 'unknown',
+  }
+}
+
+// ---------------------------------------------------------------------------
+// Output emission — always JSON, never throws to stdout
+// ---------------------------------------------------------------------------
+
+function emitJson(result) {
+  process.stdout.write(`${JSON.stringify(result)}\n`)
+}
+
+function emitError(vendor, version, error, extra = {}) {
+  emitJson({
+    status: 'error',
+    vendor,
+    version,
+    durationMs: 0,
+    exitCode: null,
+    stdout: '',
+    stderr: '',
+    error,
+    ...extra,
+  })
+}
+
+// ---------------------------------------------------------------------------
+// Main: spawn companion with array args (no shell)
+// ---------------------------------------------------------------------------
+
+async function main(argv) {
+  let opts
+  try {
+    opts = parseArgs(argv)
+  }
+  catch (err) {
+    emitError(null, null, `arg parse: ${err.message}`)
+    process.exit(64) // EX_USAGE
+  }
+
+  // Read prompt body from file (no shell, no escape concerns)
+  let promptBody
+  try {
+    promptBody = readFileSync(opts.promptFile, 'utf-8')
+  }
+  catch (err) {
+    emitError(opts.vendor, null, `prompt file read failed: ${err.message}`)
+    process.exit(66) // EX_NOINPUT
+  }
+
+  // Discover companion via SSoT (no glob, no head -1)
+  const disc = discoverCompanion(opts.vendor)
+  if (disc.error) {
+    emitError(opts.vendor, null, disc.error)
+    process.exit(69) // EX_UNAVAILABLE
+  }
+
+  // Build companion argv as ARRAY — no shell layer ever
+  const companionArgs = [
+    disc.companionPath,
+    'task',
+    '-p',
+    promptBody,
+  ]
+  if (opts.json) companionArgs.push('--json')
+
+  const startedAt = Date.now()
+
+  // spawn 'node' with array args. Node will look up its own executable;
+  // companionPath is passed as a literal arg, no shell interpretation.
+  const child = spawn(process.execPath, companionArgs, {
+    stdio: ['ignore', 'pipe', 'pipe'],
+    windowsHide: true,
+    env: {
+      ...process.env,
+      // Forward budget cap if companion respects it (codex does)
+      CODEX_MAX_BUDGET_USD: String(opts.maxBudgetUsd),
+      GEMINI_MAX_BUDGET_USD: String(opts.maxBudgetUsd),
+    },
+  })
+
+  let stdoutBuf = ''
+  let stderrBuf = ''
+  child.stdout.on('data', (chunk) => { stdoutBuf += chunk.toString('utf-8') })
+  child.stderr.on('data', (chunk) => { stderrBuf += chunk.toString('utf-8') })
+
+  // Timeout: kill child if exceeds opts.timeoutMs
+  let timedOut = false
+  const timer = setTimeout(() => {
+    timedOut = true
+    try { child.kill('SIGTERM') } catch { /* ignore */ }
+    setTimeout(() => {
+      try { child.kill('SIGKILL') } catch { /* ignore */ }
+    }, 5000).unref?.()
+  }, opts.timeoutMs)
+
+  const exit = await new Promise((resolve) => {
+    child.once('exit', (code, signal) => resolve({ code, signal }))
+    child.once('error', (err) => resolve({ code: 70, signal: null, errorMsg: err.message }))
+  })
+  clearTimeout(timer)
+
+  const durationMs = Date.now() - startedAt
+  const status = (!timedOut && exit.code === 0) ? 'ok' : 'error'
+  const result = {
+    status,
+    vendor: opts.vendor,
+    version: disc.version,
+    durationMs,
+    exitCode: exit.code,
+    stdout: stdoutBuf,
+    stderr: stderrBuf,
+  }
+  if (timedOut) result.error = `timeout after ${opts.timeoutMs}ms`
+  else if (exit.errorMsg) result.error = `spawn error: ${exit.errorMsg}`
+  else if (exit.code !== 0) result.error = `companion exited with code ${exit.code}`
+
+  emitJson(result)
+  process.exit(status === 'ok' ? 0 : 1)
+}
+
+// ---------------------------------------------------------------------------
+// Entry point — only run main() when invoked as a script (not on import).
+// ---------------------------------------------------------------------------
+
+function isMainModule() {
+  if (!process.argv[1]) return false
+  try {
+    const here = fileURLToPath(import.meta.url)
+    return here === process.argv[1]
+  }
+  catch {
+    return false
+  }
+}
+
+if (isMainModule()) {
+  main(process.argv).catch((err) => {
+    emitError(null, null, `fatal: ${err.stack || err.message}`)
+    process.exit(70)
+  })
+}
+
+// Test surface for unit tests
+export const ccgxCallPluginExports = {
+  parseArgs,
+  discoverCompanion,
+  VENDOR_KEYS,
+}

package/templates/scripts/repatch-gemini-plugin.mjs

@@ -132,6 +132,16 @@ const PATCHES = [
     match: /(spawnSync\(command,\s*\[name\],\s*\{\s*encoding:\s*"utf8",\s*stdio:\s*"pipe")(\s*\})/,
     replace: '$1, windowsHide: true$2',
   },
+  {
+    id: "P-9",
+    file: "lib/acp-client.mjs",
+    description: "JSON-RPC error swallowing (reject with bare {code,message} → caller sees '[object Object]')",
+    // Guard: any patched marker present
+    guard: /CCG P-9 patch/,
+    // Match: the bare reject(message.error) inside the response branch
+    match: /(if \(message\.error\) \{\s*\r?\n\s*)pending\.reject\(message\.error\);(\s*\r?\n\s*\} else \{)/,
+    replace: `$1// CCG P-9 patch: wrap JSON-RPC error object in Error instance.\n          // Without this, callers doing \`e instanceof Error ? e.message : String(e)\`\n          // get "[object Object]" — losing real error info (auth-expired, broker-dead,\n          // parse-error, etc). See .ccg-migration/PLUGIN-PATCHES.md P-9.\n          const _err = message.error;\n          const _wrapped = Object.assign(\n            new Error(typeof _err === "object" && _err !== null && _err.message\n              ? String(_err.message)\n              : String(_err)),\n            {\n              jsonrpcCode: typeof _err === "object" && _err !== null ? _err.code : undefined,\n              jsonrpcData: typeof _err === "object" && _err !== null ? _err.data : undefined,\n            },\n          );\n          pending.reject(_wrapped);$2`,
+  },
 ];
 
 let applied = 0;