claude-scionos 4.1.9 → 4.1.10

package/README.fr.md

@@ -7,10 +7,10 @@ _[🇬🇧 Read in English](./README.md)_
 ## Points clés
 
 - lancement guidé pour les nouveaux utilisateurs
-- `--strategy` pour choisir une stratégie sans menu
-- `--service llm` pour l'accès RouterLab LLM sur invitation
-- `--no-prompt` pour l'automatisation et la CI
-- `--list-strategies` pour voir les routes disponibles
+- `--strategy` pour choisir une stratégie sans menu
+- `--service llm` pour l'accès RouterLab LLM sur invitation
+- `--no-prompt` pour l'automatisation et la CI
+- `--list-strategies` pour voir les routes disponibles
 - `doctor` pour diagnostiquer rapidement un poste client
 - `auth login|status|change|logout|test` pour gérer le token
 - proxy local lancé uniquement si une stratégie mappée est choisie
@@ -18,8 +18,8 @@ _[🇬🇧 Read in English](./README.md)_
 ## Prérequis
 
 - Node.js 22 ou plus
-- un token RouterLab depuis [routerlab.ch/keys](https://routerlab.ch/keys)
-- ou un token d'invitation pour `--service llm`
+- un token RouterLab depuis [routerlab.ch/keys](https://routerlab.ch/keys)
+- ou un token d'invitation pour `--service llm`
 - sous Windows, Git Bash doit être installé pour Claude Code
 
 ## Installation
@@ -48,52 +48,52 @@ npx claude-scionos
 Commandes utiles :
 
 ```bash
-npx claude-scionos --list-strategies
-npx claude-scionos doctor
-npx claude-scionos auth login
-npx claude-scionos auth login --service llm
-npx claude-scionos auth test
-npx claude-scionos --strategy aws
-npx claude-scionos --service llm --strategy claude-glm-5
-npx claude-scionos --strategy aws --no-prompt -p "Résume ce dépôt"
-```
-
-## Services
-
-- le comportement par défaut utilise `https://routerlab.ch`
-- `--service llm` bascule le lanceur vers `https://llm.routerlab.ch`
-- `llm` est prévu pour un accès sur invitation
-- les tokens enregistrés avec `auth login --service llm` sont stockés séparément du token RouterLab par défaut
-- `llm` expose pour l'instant `claude-glm-5`, `claude-gpt-5.4` et `claude-qwen3.6-plus`
-- `routerlab` expose aussi `claude-gpt-5.4`
-
-## Stratégies
-
-- `default` : utilise Claude Code normalement sans proxy local
-- `aws` : remappe les familles de modèles Claude vers les variantes Claude AWS de RouterLab
-- `claude-glm-5` : force toutes les requêtes vers `claude-glm-5`
-- `claude-minimax-m2.5` : force toutes les requêtes vers `claude-minimax-m2.5`
-- `claude-gpt-5.4` : force toutes les requêtes vers `claude-gpt-5.4`
-- `claude-qwen3.6-plus` : force toutes les requêtes vers `claude-qwen3.6-plus`
-
-Utilise `--list-strategies` pour voir les stratégies disponibles pour le service choisi et leur disponibilité réelle quand un token est disponible.
+npx claude-scionos --list-strategies
+npx claude-scionos doctor
+npx claude-scionos auth login
+npx claude-scionos auth login --service llm
+npx claude-scionos auth test
+npx claude-scionos --strategy aws
+npx claude-scionos --service llm --strategy claude-glm-5
+npx claude-scionos --strategy aws --no-prompt -p "Résume ce dépôt"
+```
+
+## Services
+
+- le comportement par défaut utilise `https://routerlab.ch`
+- `--service llm` bascule le lanceur vers `https://llm.routerlab.ch`
+- `llm` est prévu pour un accès sur invitation
+- les tokens enregistrés avec `auth login --service llm` sont stockés séparément du token RouterLab par défaut
+- `llm` expose pour l'instant `claude-glm-5`, `claude-gpt-5.4` et `claude-qwen3.6-plus`
+- `routerlab` expose aussi `claude-gpt-5.4`
+
+## Stratégies
+
+- `default` : utilise Claude Code normalement sans proxy local
+- `aws` : remappe les familles de modèles Claude vers les variantes Claude AWS de RouterLab
+- `claude-glm-5` : force toutes les requêtes vers `claude-glm-5`
+- `claude-minimax-m2.5` : force toutes les requêtes vers `claude-minimax-m2.5`
+- `claude-gpt-5.4` : force toutes les requêtes vers `claude-gpt-5.4`
+- `claude-qwen3.6-plus` : force toutes les requêtes vers `claude-qwen3.6-plus`
+
+Utilise `--list-strategies` pour voir les stratégies disponibles pour le service choisi et leur disponibilité réelle quand un token est disponible.
 
 ## Gestion du token
 
 Ordre de résolution du token :
 
-1. `ANTHROPIC_AUTH_TOKEN`
-2. stockage local sécurisé via `claude-scionos auth login`
-3. stockage local sécurisé spécifique au service via `claude-scionos auth login --service llm`
-4. saisie manuelle en mode guidé
+1. `ANTHROPIC_AUTH_TOKEN`
+2. stockage local sécurisé via `claude-scionos auth login`
+3. stockage local sécurisé spécifique au service via `claude-scionos auth login --service llm`
+4. saisie manuelle en mode guidé
+
+Backends de stockage sécurisés :
+
+- Windows : fichier local chiffré via DPAPI, lié à l'utilisateur courant
+- macOS : Keychain
+- Linux : Secret Service via `secret-tool`
 
-Backends de stockage sécurisés :
-
-- Windows : fichier local chiffré via DPAPI, lié à l'utilisateur courant
-- macOS : Keychain
-- Linux : Secret Service via `secret-tool`
-
-Sous Windows, `claude-scionos` laisse maintenant PowerShell gérer uniquement le chiffrement et le déchiffrement DPAPI, tandis que Node.js écrit et lit directement le fichier sécurisé. Cela corrige le cas où le fichier du token était créé mais restait vide. Si un ancien fichier local est vide ou corrompu, `claude-scionos` le traite comme absent au lieu d'essayer de l'utiliser. Il faut relancer `claude-scionos auth login` pour enregistrer un nouveau token.
+Sous Windows, `claude-scionos` laisse maintenant PowerShell gérer uniquement le chiffrement et le déchiffrement DPAPI, tandis que Node.js écrit et lit directement le fichier sécurisé. Cela corrige le cas où le fichier du token était créé mais restait vide. Si un ancien fichier local est vide ou corrompu, `claude-scionos` le traite comme absent au lieu d'essayer de l'utiliser. Il faut relancer `claude-scionos auth login` pour enregistrer un nouveau token.
 
 Gestion du token :
 
@@ -105,11 +105,11 @@ claude-scionos auth logout
 claude-scionos auth test
 ```
 
-## Ce que veulent dire `--strategy` et `--no-prompt`
-
-- `--strategy <value>` évite le menu interactif et choisit directement la route
-- `--service <value>` change la cible RouterLab. `routerlab` reste le défaut et `llm` est réservé à l'accès sur invitation
-- `--no-prompt` désactive toutes les questions interactives
+## Ce que veulent dire `--strategy` et `--no-prompt`
+
+- `--strategy <value>` évite le menu interactif et choisit directement la route
+- `--service <value>` change la cible RouterLab. `routerlab` reste le défaut et `llm` est réservé à l'accès sur invitation
+- `--no-prompt` désactive toutes les questions interactives
 
 Quand `--no-prompt` est utilisé, le lanceur doit déjà avoir un token via `ANTHROPIC_AUTH_TOKEN` ou via le stockage sécurisé.
 
@@ -132,14 +132,14 @@ Le wrapper transmet les arguments Claude Code habituels. Le proxy local n'est la
 
 `claude-scionos doctor` doit être la première commande à lancer quand un client signale un problème.
 
-Cas courants :
-
-- `Claude Code CLI not found` : installer `@anthropic-ai/claude-code`
-- `Git Bash is required on Windows` : installer Git for Windows
-- `ANTHROPIC_AUTH_TOKEN ... is required when using --no-prompt` : définir la variable d'environnement ou stocker le token au préalable
-- `Secure token file was created but no encrypted content was written` : mettre à jour vers `4.1.9` ou plus récent, puis relancer `claude-scionos auth login`
-- `Stored token` est indiqué comme absent sous Windows alors qu'un login a déjà été fait : relancer `claude-scionos auth login`, car le fichier DPAPI local peut être vide ou corrompu
-- `secret-tool not found` : installer un client Secret Service sous Linux ou utiliser la variable d'environnement
+Cas courants :
+
+- `Claude Code CLI not found` : installer `@anthropic-ai/claude-code`
+- `Git Bash is required on Windows` : installer Git for Windows
+- `ANTHROPIC_AUTH_TOKEN ... is required when using --no-prompt` : définir la variable d'environnement ou stocker le token au préalable
+- `Secure token file was created but no encrypted content was written` : mettre à jour vers `4.1.10` ou plus récent, puis relancer `claude-scionos auth login`
+- `Stored token` est indiqué comme absent sous Windows alors qu'un login a déjà été fait : relancer `claude-scionos auth login`, car le fichier DPAPI local peut être vide ou corrompu
+- `secret-tool not found` : installer un client Secret Service sous Linux ou utiliser la variable d'environnement
 
 ## Développement
 

package/README.md

@@ -7,10 +7,10 @@ _[🇫🇷 Lire en français](./README.fr.md)_
 ## Highlights
 
 - Guided launch for first-time users
-- `--strategy` to preselect a routing strategy
-- `--service llm` for invitation-only RouterLab LLM access
-- `--no-prompt` for automation and CI
-- `--list-strategies` to inspect available routes
+- `--strategy` to preselect a routing strategy
+- `--service llm` for invitation-only RouterLab LLM access
+- `--no-prompt` for automation and CI
+- `--list-strategies` to inspect available routes
 - `doctor` to diagnose local setup quickly
 - `auth login|status|change|logout|test` for secure token management
 - Local proxy only when a mapped strategy is selected
@@ -18,8 +18,8 @@ _[🇫🇷 Lire en français](./README.fr.md)_
 ## Requirements
 
 - Node.js 22 or later
-- A RouterLab token from [routerlab.ch/keys](https://routerlab.ch/keys)
-- Or an invitation token for `--service llm`
+- A RouterLab token from [routerlab.ch/keys](https://routerlab.ch/keys)
+- Or an invitation token for `--service llm`
 - On Windows, Git Bash must be installed for Claude Code
 
 ## Installation
@@ -48,52 +48,52 @@ npx claude-scionos
 Useful commands:
 
 ```bash
-npx claude-scionos --list-strategies
-npx claude-scionos doctor
-npx claude-scionos auth login
-npx claude-scionos auth login --service llm
-npx claude-scionos auth test
-npx claude-scionos --strategy aws
-npx claude-scionos --service llm --strategy claude-glm-5
-npx claude-scionos --strategy aws --no-prompt -p "Summarize this repo"
-```
-
-## Services
-
-- Default behavior uses `https://routerlab.ch`
-- `--service llm` switches the launcher to `https://llm.routerlab.ch`
-- `llm` is intended for invitation-only access
-- Tokens stored with `auth login --service llm` are kept separate from the default RouterLab token
-- `llm` currently exposes `claude-glm-5`, `claude-gpt-5.4`, and `claude-qwen3.6-plus`
-- `routerlab` also exposes `claude-gpt-5.4`
-
-## Strategies
-
-- `default`: use Claude Code normally without the local proxy
-- `aws`: remap Claude model families to RouterLab AWS-backed Claude variants
-- `claude-glm-5`: force all requests to `claude-glm-5`
-- `claude-minimax-m2.5`: force all requests to `claude-minimax-m2.5`
-- `claude-gpt-5.4`: force all requests to `claude-gpt-5.4`
-- `claude-qwen3.6-plus`: force all requests to `claude-qwen3.6-plus`
-
-Use `--list-strategies` to see the strategies available for the selected service and their live availability when a token is available.
+npx claude-scionos --list-strategies
+npx claude-scionos doctor
+npx claude-scionos auth login
+npx claude-scionos auth login --service llm
+npx claude-scionos auth test
+npx claude-scionos --strategy aws
+npx claude-scionos --service llm --strategy claude-glm-5
+npx claude-scionos --strategy aws --no-prompt -p "Summarize this repo"
+```
+
+## Services
+
+- Default behavior uses `https://routerlab.ch`
+- `--service llm` switches the launcher to `https://llm.routerlab.ch`
+- `llm` is intended for invitation-only access
+- Tokens stored with `auth login --service llm` are kept separate from the default RouterLab token
+- `llm` currently exposes `claude-glm-5`, `claude-gpt-5.4`, and `claude-qwen3.6-plus`
+- `routerlab` also exposes `claude-gpt-5.4`
+
+## Strategies
+
+- `default`: use Claude Code normally without the local proxy
+- `aws`: remap Claude model families to RouterLab AWS-backed Claude variants
+- `claude-glm-5`: force all requests to `claude-glm-5`
+- `claude-minimax-m2.5`: force all requests to `claude-minimax-m2.5`
+- `claude-gpt-5.4`: force all requests to `claude-gpt-5.4`
+- `claude-qwen3.6-plus`: force all requests to `claude-qwen3.6-plus`
+
+Use `--list-strategies` to see the strategies available for the selected service and their live availability when a token is available.
 
 ## Token Handling
 
 Token resolution order:
 
-1. `ANTHROPIC_AUTH_TOKEN`
-2. Secure local storage from `claude-scionos auth login`
-3. Service-specific secure local storage from `claude-scionos auth login --service llm`
-4. Manual prompt in guided mode
+1. `ANTHROPIC_AUTH_TOKEN`
+2. Secure local storage from `claude-scionos auth login`
+3. Service-specific secure local storage from `claude-scionos auth login --service llm`
+4. Manual prompt in guided mode
+
+Secure storage backends:
+
+- Windows: DPAPI-encrypted local file bound to the current user
+- macOS: Keychain
+- Linux: Secret Service via `secret-tool`
 
-Secure storage backends:
-
-- Windows: DPAPI-encrypted local file bound to the current user
-- macOS: Keychain
-- Linux: Secret Service via `secret-tool`
-
-On Windows, `claude-scionos` now lets PowerShell handle only DPAPI encryption and decryption, while Node.js writes and reads the secure token file directly. This fixes the case where the secure token file was created but left empty. If an older file is empty or corrupted, `claude-scionos` treats it as missing instead of trying to use it. Run `claude-scionos auth login` again to store a fresh token.
+On Windows, `claude-scionos` now lets PowerShell handle only DPAPI encryption and decryption, while Node.js writes and reads the secure token file directly. This fixes the case where the secure token file was created but left empty. If an older file is empty or corrupted, `claude-scionos` treats it as missing instead of trying to use it. Run `claude-scionos auth login` again to store a fresh token.
 
 Manage the token with:
 
@@ -105,11 +105,11 @@ claude-scionos auth logout
 claude-scionos auth test
 ```
 
-## What `--strategy` and `--no-prompt` mean
-
-- `--strategy <value>` skips the interactive strategy menu and selects the route directly
-- `--service <value>` switches between RouterLab targets. `routerlab` is the default and `llm` is invitation-only
-- `--no-prompt` disables every interactive question
+## What `--strategy` and `--no-prompt` mean
+
+- `--strategy <value>` skips the interactive strategy menu and selects the route directly
+- `--service <value>` switches between RouterLab targets. `routerlab` is the default and `llm` is invitation-only
+- `--no-prompt` disables every interactive question
 
 When `--no-prompt` is used, the launcher must already have a token from `ANTHROPIC_AUTH_TOKEN` or secure storage.
 
@@ -132,14 +132,14 @@ The wrapper forwards regular Claude Code flags and arguments. The local proxy is
 
 `claude-scionos doctor` should be the first command to run when a client reports an issue.
 
-Common cases:
-
-- `Claude Code CLI not found`: install `@anthropic-ai/claude-code`
-- `Git Bash is required on Windows`: install Git for Windows
-- `ANTHROPIC_AUTH_TOKEN ... is required when using --no-prompt`: set the environment variable or store the token first
-- `Secure token file was created but no encrypted content was written`: update to `4.1.9` or later, then re-run `claude-scionos auth login`
-- `Stored token` is missing on Windows even though you already logged in: re-run `claude-scionos auth login` because the local DPAPI token file may be empty or corrupted
-- `secret-tool not found`: install a Secret Service client on Linux or rely on the environment variable
+Common cases:
+
+- `Claude Code CLI not found`: install `@anthropic-ai/claude-code`
+- `Git Bash is required on Windows`: install Git for Windows
+- `ANTHROPIC_AUTH_TOKEN ... is required when using --no-prompt`: set the environment variable or store the token first
+- `Secure token file was created but no encrypted content was written`: update to `4.1.10` or later, then re-run `claude-scionos auth login`
+- `Stored token` is missing on Windows even though you already logged in: re-run `claude-scionos auth login` because the local DPAPI token file may be empty or corrupted
+- `secret-tool not found`: install a Secret Service client on Linux or rely on the environment variable
 
 ## Development
 

package/package.json

@@ -1,6 +1,6 @@
-{
-    "name": "claude-scionos",
-    "version": "4.1.9",
+{
+    "name": "claude-scionos",
+    "version": "4.1.10",
     "description": "RouterLab launcher, strategy proxy and secure token wrapper for Claude Code CLI",
     "type": "module",
     "main": "index.js",
@@ -20,7 +20,7 @@
         "release:patch": "npm version patch -m \"Chore: Bump version to %s\"",
         "release:minor": "npm version minor -m \"Chore: Bump version to %s\"",
         "release:major": "npm version major -m \"Chore: Bump version to %s\""
-    },
+    },
     "keywords": [
         "claude",
         "scionos",
@@ -28,27 +28,27 @@
         "cli",
         "wrapper"
     ],
-    "author": "ScioNos",
-    "license": "MIT",
+    "author": "ScioNos",
+    "license": "MIT",
     "homepage": "https://routerlab.ch",
-    "repository": {
-        "type": "git",
-        "url": "git+https://github.com/ScioNos/claude-scionos.git"
-    },
-    "bugs": {
-        "url": "https://github.com/ScioNos/claude-scionos/issues"
-    },
-    "engines": {
-        "node": ">=22"
-    },
+    "repository": {
+        "type": "git",
+        "url": "git+https://github.com/ScioNos/claude-scionos.git"
+    },
+    "bugs": {
+        "url": "https://github.com/ScioNos/claude-scionos/issues"
+    },
+    "engines": {
+        "node": ">=22"
+    },
     "private": false,
     "dependencies": {
         "@inquirer/prompts": "^8.4.1"
     },
-    "devDependencies": {
-        "@eslint/js": "^10.0.1",
-        "eslint": "^10.2.0",
-        "globals": "^17.5.0",
-        "vitest": "^4.1.4"
-    }
-}
+    "devDependencies": {
+        "@eslint/js": "^10.0.1",
+        "eslint": "^10.2.0",
+        "globals": "^17.5.0",
+        "vitest": "^4.1.4"
+    }
+}

package/src/routerlab.js

@@ -36,6 +36,10 @@ const BASE_URL = SERVICES[DEFAULT_SERVICE].baseUrl;
 const TOKEN_HELP_URL = SERVICES[DEFAULT_SERVICE].tokenHelpUrl;
 const DEFAULT_ANTHROPIC_VERSION = '2023-06-01';
 const SECURE_STORAGE_SERVICE = 'claude-scionos';
+const WINDOWS_POWERSHELL_MODULE_PATHS = [
+  'C:\\Program Files\\WindowsPowerShell\\Modules',
+  'C:\\WINDOWS\\System32\\WindowsPowerShell\\v1.0\\Modules',
+];
 const SECURE_STORAGE_ACCOUNT = SERVICES[DEFAULT_SERVICE].secureStorageAccount;
 const DEFAULT_CLAUDE_MODELS = [
   'claude-haiku-4-5-20251001',
@@ -69,10 +73,10 @@ const STRATEGIES = [
   {
     value: 'claude-glm-5',
     name: 'GLM-5',
-    description: 'Forces all requests to claude-glm-5.',
-    selectionDescription: 'Forces all requests to claude-glm-5.',
-    mappedModels: ['claude-glm-5'],
-  },
+    description: 'Forces all requests to claude-glm-5.',
+    selectionDescription: 'Forces all requests to claude-glm-5.',
+    mappedModels: ['claude-glm-5'],
+  },
   {
     value: 'claude-minimax-m2.5',
     name: 'MiniMax M2.5',
@@ -95,85 +99,85 @@ const STRATEGIES = [
     mappedModels: ['claude-qwen3.6-plus'],
   },
 ];
-
+
 async function fetchModels(apiKey, options = {}) {
   const {
     baseUrl = BASE_URL,
-    anthropicVersion = DEFAULT_ANTHROPIC_VERSION,
-    timeoutMs = 30000,
-  } = options;
-
-  try {
-    const controller = new AbortController();
-    const timeoutId = setTimeout(() => controller.abort(), timeoutMs);
-    const response = await fetch(`${baseUrl}/v1/models`, {
-      method: 'GET',
-      headers: {
-        'x-api-key': apiKey,
-        'anthropic-version': anthropicVersion,
-      },
-      signal: controller.signal,
-    });
-    clearTimeout(timeoutId);
-
-    if (response.ok) {
-      let payload = null;
-      try {
-        payload = await response.json();
-      } catch {
-        payload = null;
-      }
-
-      return {
-        valid: true,
-        models: payload ? extractModelIds(payload) : null,
-      };
-    }
-
-    if (response.status === 401 || response.status === 403) {
-      return {valid: false, reason: 'auth_failed'};
-    }
-
-    return {
-      valid: false,
-      reason: 'server_error',
-      status: response.status,
-      statusText: response.statusText,
-      message: `Server responded with ${response.status} ${response.statusText}`.trim(),
-    };
-  } catch (error) {
-    if (error.name === 'AbortError') {
-      return {valid: false, reason: 'timeout', message: `Request timed out after ${Math.round(timeoutMs / 1000)}s`};
-    }
-
-    return {valid: false, reason: 'network_error', message: error.message};
-  }
-}
-
-async function validateToken(apiKey, options = {}) {
-  return fetchModels(apiKey, options);
-}
-
-function extractModelIds(payload) {
-  if (!payload) {
-    return [];
-  }
-
-  if (Array.isArray(payload)) {
-    return payload.map((entry) => entry?.id ?? entry?.name ?? entry).filter(Boolean);
-  }
-
-  if (Array.isArray(payload.data)) {
-    return payload.data.map((entry) => entry?.id ?? entry?.name ?? entry).filter(Boolean);
-  }
-
-  if (Array.isArray(payload.models)) {
-    return payload.models.map((entry) => entry?.id ?? entry?.name ?? entry).filter(Boolean);
-  }
-
-  return [];
-}
-
+    anthropicVersion = DEFAULT_ANTHROPIC_VERSION,
+    timeoutMs = 30000,
+  } = options;
+
+  try {
+    const controller = new AbortController();
+    const timeoutId = setTimeout(() => controller.abort(), timeoutMs);
+    const response = await fetch(`${baseUrl}/v1/models`, {
+      method: 'GET',
+      headers: {
+        'x-api-key': apiKey,
+        'anthropic-version': anthropicVersion,
+      },
+      signal: controller.signal,
+    });
+    clearTimeout(timeoutId);
+
+    if (response.ok) {
+      let payload = null;
+      try {
+        payload = await response.json();
+      } catch {
+        payload = null;
+      }
+
+      return {
+        valid: true,
+        models: payload ? extractModelIds(payload) : null,
+      };
+    }
+
+    if (response.status === 401 || response.status === 403) {
+      return {valid: false, reason: 'auth_failed'};
+    }
+
+    return {
+      valid: false,
+      reason: 'server_error',
+      status: response.status,
+      statusText: response.statusText,
+      message: `Server responded with ${response.status} ${response.statusText}`.trim(),
+    };
+  } catch (error) {
+    if (error.name === 'AbortError') {
+      return {valid: false, reason: 'timeout', message: `Request timed out after ${Math.round(timeoutMs / 1000)}s`};
+    }
+
+    return {valid: false, reason: 'network_error', message: error.message};
+  }
+}
+
+async function validateToken(apiKey, options = {}) {
+  return fetchModels(apiKey, options);
+}
+
+function extractModelIds(payload) {
+  if (!payload) {
+    return [];
+  }
+
+  if (Array.isArray(payload)) {
+    return payload.map((entry) => entry?.id ?? entry?.name ?? entry).filter(Boolean);
+  }
+
+  if (Array.isArray(payload.data)) {
+    return payload.data.map((entry) => entry?.id ?? entry?.name ?? entry).filter(Boolean);
+  }
+
+  if (Array.isArray(payload.models)) {
+    return payload.models.map((entry) => entry?.id ?? entry?.name ?? entry).filter(Boolean);
+  }
+
+  return [];
+}
+
 function canProceedWithValidation(validation) {
   return validation.valid === true;
 }
@@ -256,9 +260,9 @@ function assessStrategy(strategyValue, modelIds = [], serviceValue = DEFAULT_SER
   const strategy = findStrategy(strategyValue, serviceValue);
   if (!strategy) {
     return {
-      available: false,
-      level: 'unavailable',
-      note: 'Unknown strategy.',
+      available: false,
+      level: 'unavailable',
+      note: 'Unknown strategy.',
       strategy: null,
     };
   }
@@ -293,17 +297,17 @@ function assessStrategy(strategyValue, modelIds = [], serviceValue = DEFAULT_SER
       strategy,
     };
   }
-
-  if (presentCount > 0) {
-    return {
+
+  if (presentCount > 0) {
+    return {
       available: true,
       level: 'partial',
       note: `Partially available on ${serviceLabel}.`,
       strategy,
     };
   }
-
-  return {
+
+  return {
     available: false,
     level: 'unavailable',
     note: `Not reported by ${serviceLabel}.`,
@@ -383,30 +387,30 @@ function getStrategyChoices(modelIds = [], serviceValue = DEFAULT_SERVICE) {
     description: strategy.selectionDescription ?? strategy.description,
   }));
 }
-
-function getSecureStorageBackend() {
-  if (process.platform === 'win32') {
-    return {supported: true, backend: 'Windows DPAPI'};
-  }
-
-  if (process.platform === 'darwin') {
-    return {supported: true, backend: 'macOS Keychain'};
-  }
-
-  if (process.platform === 'linux') {
-    return commandExists('secret-tool')
-      ? {supported: true, backend: 'Linux Secret Service'}
-      : {supported: false, backend: 'Linux Secret Service', reason: '`secret-tool` not found'};
-  }
-
-  return {supported: false, backend: 'Unknown', reason: 'Unsupported operating system'};
-}
-
-function commandExists(command) {
-  const result = spawnSync(command, ['--help'], {encoding: 'utf8'});
-  return !result.error;
-}
-
+
+function getSecureStorageBackend() {
+  if (process.platform === 'win32') {
+    return {supported: true, backend: 'Windows DPAPI'};
+  }
+
+  if (process.platform === 'darwin') {
+    return {supported: true, backend: 'macOS Keychain'};
+  }
+
+  if (process.platform === 'linux') {
+    return commandExists('secret-tool')
+      ? {supported: true, backend: 'Linux Secret Service'}
+      : {supported: false, backend: 'Linux Secret Service', reason: '`secret-tool` not found'};
+  }
+
+  return {supported: false, backend: 'Unknown', reason: 'Unsupported operating system'};
+}
+
+function commandExists(command) {
+  const result = spawnSync(command, ['--help'], {encoding: 'utf8'});
+  return !result.error;
+}
+
 function runPowerShell(command, options = {}) {
   const {
     env = {},
@@ -415,41 +419,43 @@ function runPowerShell(command, options = {}) {
   const powershell = process.env.SystemRoot
     ? path.join(process.env.SystemRoot, 'System32', 'WindowsPowerShell', 'v1.0', 'powershell.exe')
     : 'powershell.exe';
+  const childEnv = {
+    ...process.env,
+    ...(process.platform === 'win32' ? {PSModulePath: WINDOWS_POWERSHELL_MODULE_PATHS.join(';')} : {}),
+    ...env,
+  };
 
   const result = spawnSync(powershell, ['-NoProfile', '-NonInteractive', '-Command', command], {
     encoding: 'utf8',
     input,
-    env: {
-      ...process.env,
-      ...env,
-    },
-  });
-
-  if (result.error) {
-    throw result.error;
-  }
-
-  if (result.status !== 0) {
-    throw new Error((result.stderr || result.stdout || 'PowerShell command failed').trim());
-  }
-
-  return result.stdout.trim();
-}
-
-function runCommand(command, args, options = {}) {
-  const result = spawnSync(command, args, {
-    encoding: 'utf8',
-    input: options.input,
-    env: options.env,
-  });
-
-  if (result.error) {
-    throw result.error;
-  }
-
-  return result;
-}
-
+    env: childEnv,
+  });
+
+  if (result.error) {
+    throw result.error;
+  }
+
+  if (result.status !== 0) {
+    throw new Error((result.stderr || result.stdout || 'PowerShell command failed').trim());
+  }
+
+  return result.stdout.trim();
+}
+
+function runCommand(command, args, options = {}) {
+  const result = spawnSync(command, args, {
+    encoding: 'utf8',
+    input: options.input,
+    env: options.env,
+  });
+
+  if (result.error) {
+    throw result.error;
+  }
+
+  return result;
+}
+
 function storeToken(token, serviceValue = DEFAULT_SERVICE) {
   const service = getServiceConfig(serviceValue);
   if (!service) {
@@ -459,7 +465,7 @@ function storeToken(token, serviceValue = DEFAULT_SERVICE) {
   const storage = getSecureStorageBackend();
   if (!storage.supported) {
     throw new Error(storage.reason || 'Secure storage is not available on this machine');
-  }
+  }
 
   if (process.platform === 'win32') {
     const tokenFile = getWindowsTokenFile(service.value);
@@ -476,9 +482,9 @@ function storeToken(token, serviceValue = DEFAULT_SERVICE) {
 
     return storage;
   }
-
-  if (process.platform === 'darwin') {
-    const result = runCommand('security', [
+
+  if (process.platform === 'darwin') {
+    const result = runCommand('security', [
       'add-generic-password',
       '-U',
       '-a',
@@ -486,16 +492,16 @@ function storeToken(token, serviceValue = DEFAULT_SERVICE) {
       '-s',
       SECURE_STORAGE_SERVICE,
       '-w',
-      token,
-    ]);
-
-    if (result.status !== 0) {
-      throw new Error((result.stderr || result.stdout || 'Unable to store token in Keychain').trim());
-    }
-
-    return storage;
-  }
-
+      token,
+    ]);
+
+    if (result.status !== 0) {
+      throw new Error((result.stderr || result.stdout || 'Unable to store token in Keychain').trim());
+    }
+
+    return storage;
+  }
+
   const result = runCommand('secret-tool', [
     'store',
     `--label=${service.secureStorageLabel}`,
@@ -506,14 +512,14 @@ function storeToken(token, serviceValue = DEFAULT_SERVICE) {
   ], {
     input: token,
   });
-
-  if (result.status !== 0) {
-    throw new Error((result.stderr || result.stdout || 'Unable to store token in Secret Service').trim());
-  }
-
-  return storage;
-}
-
+
+  if (result.status !== 0) {
+    throw new Error((result.stderr || result.stdout || 'Unable to store token in Secret Service').trim());
+  }
+
+  return storage;
+}
+
 function getStoredToken(serviceValue = DEFAULT_SERVICE) {
   const service = getServiceConfig(serviceValue);
   if (!service) {
@@ -546,8 +552,8 @@ function getStoredToken(serviceValue = DEFAULT_SERVICE) {
     );
     return token || null;
   }
-
-  if (process.platform === 'darwin') {
+
+  if (process.platform === 'darwin') {
     const result = runCommand('security', [
       'find-generic-password',
       '-a',
@@ -555,10 +561,10 @@ function getStoredToken(serviceValue = DEFAULT_SERVICE) {
       '-s',
       SECURE_STORAGE_SERVICE,
       '-w',
-    ]);
-    return result.status === 0 ? result.stdout.trim() || null : null;
-  }
-
+    ]);
+    return result.status === 0 ? result.stdout.trim() || null : null;
+  }
+
   const result = runCommand('secret-tool', [
     'lookup',
     'service',
@@ -598,9 +604,9 @@ function deleteStoredToken(serviceValue = DEFAULT_SERVICE) {
       '-s',
       SECURE_STORAGE_SERVICE,
     ]);
-    return result.status === 0;
-  }
-
+    return result.status === 0;
+  }
+
   const result = runCommand('secret-tool', [
     'clear',
     'service',
@@ -616,10 +622,10 @@ function getStoredTokenStatus(serviceValue = DEFAULT_SERVICE) {
   const storedToken = getStoredToken(serviceValue);
   return {
     ...storage,
-    stored: Boolean(storedToken),
-  };
-}
-
+    stored: Boolean(storedToken),
+  };
+}
+
 export {
   BASE_URL,
   DEFAULT_CLAUDE_MODELS,