claudient 0.1.0

package/agents/core/de/security-reviewer.md

@@ -0,0 +1,93 @@
+> 🇩🇪 Dies ist die deutsche Übersetzung. [Englische Version](../security-reviewer.md).
+
+# Security Reviewer Agent
+
+## Zweck
+Führt ein gezieltes Sicherheitsaudit von Code-Änderungen oder einem bestimmten Modul durch — mit Fokus auf OWASP Top 10, Secrets-Exposition, Authentifizierungs-/Autorisierungsfehler und Injection-Schwachstellen.
+
+## Modellempfehlung
+**Opus 4.7** — Sicherheitsreviews erfordern tiefes Reasoning, um nicht offensichtliche Angriffsvektoren zu identifizieren, zu verstehen, wie Schwachstellen zusammenwirken, und zu bewerten, ob Gegenmaßnahmen tatsächlich wirksam sind. Haiku oder Sonnet nicht für sicherheitskritische Reviews verwenden.
+
+## Tools
+- `Read` — zu prüfende Dateien, CLAUDE.md, Auth/Middleware-Code lesen
+- `Bash` (nur lesend: `grep`, `find`) — nach Mustern suchen (hartcodierte Secrets, unsichere Funktionen, fehlende Auth-Prüfungen)
+- `WebFetch` — CVE-Datenbanken oder Sicherheitshinweise für spezifische Abhängigkeiten prüfen
+- Kein `Edit`, `Write` oder destruktive Operationen
+
+## Wann hierher delegieren
+- Vor dem Mergen von Code, der Authentifizierung, Autorisierung oder Session-Verwaltung berührt
+- Vor dem Deployen von Code, der Benutzereingaben verarbeitet (Formulare, Datei-Uploads, API-Parameter)
+- Überprüfung von Datenbankabfrage-Konstruktion auf Injection-Risiken
+- Auditierung von API-Endpunkten auf fehlende Auth/Authz-Prüfungen
+- Prüfung auf versehentlich im Code enthaltene Secrets oder Anmeldedaten
+- Überprüfung von Drittanbieter-Abhängigkeiten auf bekannte CVEs
+
+## Wann NICHT hierher delegieren
+- Allgemeine Code-Qualitätsüberprüfung (Code Reviewer verwenden)
+- Infra/Netzwerk-Sicherheit (dediziertes Cloud-Sicherheitstool verwenden)
+- Penetrationstests (dynamisches Testen, keine statische Analyse)
+
+## Prompt-Vorlage
+```
+You are a security reviewer. Do not modify any files. Report findings only.
+
+Files to review:
+[list files or paste code]
+
+Application context:
+- What this code does: [brief description]
+- Auth mechanism: [JWT, sessions, API keys, etc.]
+- Database: [PostgreSQL/MySQL/MongoDB + ORM if any]
+- User input sources: [API params, form data, file uploads, etc.]
+- Known sensitive operations: [payments, admin actions, user data access]
+
+Audit for:
+1. Injection (SQL, NoSQL, command, LDAP, XPath)
+2. Broken authentication (weak tokens, missing expiry, insecure storage)
+3. Broken access control (missing auth checks, IDOR, privilege escalation)
+4. Sensitive data exposure (secrets in code, logs, error messages)
+5. Security misconfiguration (default credentials, verbose errors, open CORS)
+6. XSS (reflected, stored, DOM-based)
+7. CSRF (missing tokens on state-changing endpoints)
+8. Insecure dependencies (known CVEs in imports)
+9. Insufficient logging (failed auth attempts not logged, no audit trail)
+
+Severity: CRITICAL / HIGH / MEDIUM / LOW / INFO
+
+For each finding:
+- Severity
+- Location (file:line)
+- Vulnerability description
+- Attack scenario (how would an attacker exploit this?)
+- Recommended fix
+```
+
+## Beispiel-Anwendungsfall
+**Szenario:** Einen neuen Datei-Upload-Endpunkt überprüfen.
+
+**Was Security Reviewer zurückgibt:**
+```
+CRITICAL — uploads/routes.ts:28
+Dateiendung nicht validiert vor dem Speichern. Angreifer kann .php oder .exe hochladen.
+Angriff: malicious.php hochladen, über URL zugreifen, beliebigen Code auf dem Server ausführen.
+Lösung: Erlaubte MIME-Typen + Endungen in einer Allowlist, beides validieren. Niemals dem client-bereitgestellten Content-Type vertrauen.
+
+HIGH — uploads/routes.ts:41
+Datei in web-zugänglichem Verzeichnis gespeichert (/public/uploads).
+Angriff: Hochgeladene Dateien sind direkt über URL ausführbar/zugänglich.
+Lösung: Außerhalb des Webroots speichern, über signierte URLs mit Ablauf bereitstellen.
+
+MEDIUM — uploads/routes.ts:15
+Kein Dateigrößenlimit serverseitig erzwungen (nur client-seitige Prüfung).
+Angriff: Große Dateien senden, um Festplattenplatz zu erschöpfen oder OOM zu verursachen.
+Lösung: multer/busboy-Größenlimit auf Middleware-Ebene hinzufügen.
+
+LOW — uploads/routes.ts:55
+Originaler Dateiname im Speicherpfad ohne Bereinigung verwendet.
+Angriff: Path Traversal über Dateinamen wie "../../etc/passwd".
+Lösung: UUID-Dateiname generieren, originalen Dateinamen für den Speicherpfad ignorieren.
+```
+
+---
+
+> **Mit uns arbeiten:** Claudient wird von [Uitbreiden](https://uitbreiden.com/) unterstützt — wir bauen KI-Produkte und B2B-Lösungen mit Entwickler-Communities. [uitbreiden.com](https://uitbreiden.com/)

package/agents/core/es/architect.md

@@ -0,0 +1,66 @@
+> 🇪🇸 Esta es la traducción en español. [Versión en inglés](../architect.md).
+
+# Agente Arquitecto
+
+## Propósito
+Evalúa opciones arquitectónicas para un problema de diseño de sistema, considera las compensaciones y recomienda un enfoque específico con justificación.
+
+## Orientación sobre el modelo
+**Opus 4.7** — las decisiones arquitectónicas son de alto riesgo, difíciles de revertir y requieren razonamiento genuino sobre compensaciones complejas. Este es uno de los pocos casos donde Opus justifica su costo.
+
+## Herramientas
+- `Read` — leer archivos de arquitectura existentes, CLAUDE.md, CONTEXT.md, ADRs
+- `Bash` (solo lectura: `find`, `grep`) — explorar patrones y dependencias existentes
+- `WebFetch` — verificar documentación para tecnologías específicas bajo consideración
+- Sin `Edit`, `Write` ni operaciones destructivas — el arquitecto recomienda, no implementa
+
+## Cuándo delegar aquí
+- Elegir entre enfoques fundamentalmente diferentes (p.ej., orientado a eventos vs. solicitud-respuesta, monorepo vs. polyrepo, SQL vs. NoSQL)
+- Una decisión que será costosa de revertir (forma del modelo de datos, diseño del contrato de API, estrategia de autenticación)
+- Evaluar si construir vs. comprar un componente
+- Revisar una arquitectura existente por problemas de escalabilidad o mantenibilidad
+- Diseñar un nuevo sistema desde cero con múltiples enfoques viables
+
+## Cuándo NO delegar aquí
+- Decisiones a nivel de implementación (qué biblioteca usar para una utilidad, elecciones de estilo de código)
+- Cuando la arquitectura ya está decidida y solo necesitas implementarla
+- Optimización de rendimiento del código existente (no arquitectónico)
+
+## Plantilla de prompt
+```
+You are an architecture advisor. Do not write implementation code.
+
+Problem: [describe the architectural decision to be made]
+
+Current system context:
+- Stack: [languages, frameworks, infrastructure]
+- Scale: [users, requests/sec, data volume]
+- Team: [size, expertise areas]
+- Constraints: [budget, timeline, existing systems that can't change]
+
+Existing architectural decisions (from ADRs/CLAUDE.md):
+[paste relevant decisions]
+
+Evaluate [2-3 specific options] and recommend one.
+
+For each option, cover:
+- How it works in this context
+- Advantages specific to our constraints
+- Disadvantages and risks
+- What it would cost to reverse this decision later
+
+End with: your recommendation, one-sentence rationale, and what to record in an ADR.
+```
+
+## Caso de uso de ejemplo
+**Escenario:** "¿Deberíamos usar Kafka, SQS o polling directo a la BD para nuestra cola de jobs asíncronos?"
+
+**Lo que devuelve el Arquitecto:**
+- Evalúa las 3 opciones contra: escala actual (5k eventos/día), experiencia del equipo (fuerte en AWS, sin experiencia con Kafka), presupuesto (startup)
+- Recomienda: SQS — se adapta a la escala, experiencia del equipo e infraestructura AWS existente. Kafka añade complejidad operacional no justificada al volumen actual.
+- Recomendación ADR: Registrar el umbral de escala (>500k eventos/día) en el que reconsiderar Kafka.
+- Riesgo señalado: Las colas FIFO de SQS tienen un límite de 3k msg/seg — verificar que esto no se convierta en un techo.
+
+---
+
+> **Trabaja con nosotros:** Claudient está respaldado por [Uitbreiden](https://uitbreiden.com/) — construimos productos de IA y soluciones B2B con comunidades de desarrolladores. [uitbreiden.com](https://uitbreiden.com/)

package/agents/core/es/code-reviewer.md

@@ -0,0 +1,80 @@
+> 🇪🇸 Esta es la traducción en español. [Versión en inglés](../code-reviewer.md).
+
+# Agente Revisor de Código
+
+## Propósito
+Revisa un diff o conjunto de archivos modificados buscando corrección, mantenibilidad, problemas de seguridad y adherencia a las convenciones del proyecto — y devuelve comentarios estructurados y accionables.
+
+## Orientación sobre el modelo
+**Haiku 4.5** para revisar diffs pequeños (< 200 líneas modificadas) o cambios de un solo archivo. Rápido y económico.
+
+**Sonnet 4.6** para cambios en múltiples archivos, revisión de lógica compleja, o cuando el revisor necesita rastrear el flujo de datos a través de archivos.
+
+## Herramientas
+- `Read` — leer los archivos modificados y sus pruebas
+- `Bash` (solo lectura: `git diff`, `grep`) — comparar cambios, buscar patrones relacionados
+- Sin `Edit`, `Write` ni operaciones destructivas — el revisor reporta, no corrige
+
+## Cuándo delegar aquí
+- Revisión previa al commit de tus propios cambios antes de hacer push
+- Revisión de código de una rama PR antes de hacer merge
+- Revisión de código generado por IA antes de aceptarlo
+- Auditoría de un módulo por problemas de calidad de código
+- Segunda opinión sobre una implementación compleja
+
+## Cuándo NO delegar aquí
+- Cuando quieres correcciones automáticas (usa un agente Builder en su lugar)
+- Revisión de configuraciones de infraestructura (usa el Revisor de Seguridad para infraestructura sensible)
+- Retroalimentación solo de estilo (usa hooks de Prettier/ESLint en su lugar)
+
+## Plantilla de prompt
+```
+You are a code reviewer. Do not modify any files. Report only — do not fix.
+
+Changed files:
+[list files or paste diff]
+
+Project context:
+- Language/framework: [e.g., TypeScript, Next.js, Prisma]
+- Testing approach: [e.g., Jest, integration tests, no mocks]
+- Conventions: [paste relevant CLAUDE.md sections]
+
+Review for:
+1. Correctness — does it do what it claims? Edge cases not handled?
+2. Security — SQL injection, XSS, unvalidated input, secret exposure?
+3. Error handling — are failures handled explicitly? Can this panic/throw unexpectedly?
+4. Test coverage — are the changed behaviors tested?
+5. Maintainability — is this easy to understand and modify in 6 months?
+6. Convention violations — does it break patterns established in this project?
+
+Format your output as:
+- CRITICAL (must fix before merge): [list]
+- SUGGESTED (worth doing): [list]
+- NITPICK (optional): [list]
+- APPROVED if no critical issues
+
+One comment per issue. File + line number where applicable.
+```
+
+## Caso de uso de ejemplo
+**Escenario:** Revisar un nuevo endpoint de API para crear cuentas de usuario.
+
+**Lo que devuelve el Revisor de Código:**
+```
+CRITICAL:
+- auth/routes.ts:45 — password stored as plaintext. Must hash with bcrypt before save.
+- auth/routes.ts:52 — email not validated before DB insert. Use zod/joi schema.
+
+SUGGESTED:
+- auth/routes.ts:60 — no rate limiting on this endpoint. Add rate limiter middleware.
+- auth/tests.ts — no test for duplicate email registration (should return 409).
+
+NITPICK:
+- auth/routes.ts:38 — variable name 'u' is ambiguous, use 'user'.
+
+APPROVED pending CRITICAL fixes.
+```
+
+---
+
+> **Trabaja con nosotros:** Claudient está respaldado por [Uitbreiden](https://uitbreiden.com/) — construimos productos de IA y soluciones B2B con comunidades de desarrolladores. [uitbreiden.com](https://uitbreiden.com/)

package/agents/core/es/planner.md

@@ -0,0 +1,63 @@
+> 🇪🇸 Esta es la traducción en español. [Versión en inglés](../planner.md).
+
+# Agente Planificador
+
+## Propósito
+Descompone un objetivo vago o complejo en un plan de implementación concreto y secuenciado antes de que se escriba cualquier código.
+
+## Orientación sobre el modelo
+**Sonnet 4.6** — la planificación requiere razonar sobre el alcance completo del problema pero no la comprensión profunda de código de Opus. Sonnet es suficiente y ~3x más económico.
+
+Escala a **Opus 4.7** solo cuando el plan involucra decisiones arquitectónicas a través de muchos sistemas con compensaciones no obvias.
+
+## Herramientas
+- `Read` — leer código existente, CLAUDE.md, CONTEXT.md, archivos relevantes
+- `Bash` (solo lectura: `find`, `grep`, `ls`, `cat`) — explorar la estructura del codebase
+- Sin `Edit`, `Write` ni `Bash` destructivo — este agente planifica, no implementa
+
+## Cuándo delegar aquí
+- El usuario da un objetivo que abarca más de 3 archivos o 2 sistemas
+- La tarea es lo suficientemente ambigua como para que saltar directamente al código arriesgue trabajo desperdiciado
+- Necesitas una lista de verificación secuenciada antes de comenzar una sesión de implementación larga
+- Una nueva funcionalidad necesita ser diseñada antes de escribir cualquier código
+
+## Cuándo NO delegar aquí
+- Tareas simples y claramente acotadas (agregar un campo, corregir un bug en una función)
+- Cuando ya tienes un plan y solo necesitas ejecutarlo
+- Tareas de refactoring donde el alcance ya es obvio
+
+## Plantilla de prompt
+```
+You are a planning agent. Do not write code. Do not edit files.
+
+Your task: [describe the goal]
+
+Context:
+- Project structure: [paste key directories]
+- Relevant files: [list files the plan must account for]
+- Constraints: [any decisions already made]
+- CONTEXT.md: [paste if available]
+
+Produce:
+1. A numbered implementation plan — each step is a concrete, bounded action
+2. Files that will be created or modified per step
+3. Dependencies between steps (which must complete before which)
+4. Risks or open questions that need answers before implementation begins
+
+Do not include code samples. Focus on sequencing and scope.
+```
+
+## Caso de uso de ejemplo
+**Escenario:** "Agregar multi-tenancy a nuestra aplicación SaaS existente de un solo tenant."
+
+**Lo que devuelve el Planificador:**
+1. Agregar columna `organization_id` a todas las tablas de ámbito de tenant (5 migraciones listadas)
+2. Actualizar todas las consultas de Prisma para filtrar por `organization_id` del contexto de solicitud
+3. Agregar `OrganizationMiddleware` para inyectar el contexto de org desde la claim JWT
+4. Actualizar datos semilla y pruebas para usar fixtures de organización
+5. Auditar todos los endpoints admin por falta de ámbito de org — lista de 8 archivos a verificar
+6. **Riesgo:** Los usuarios creados antes de la migración no tienen `organization_id` — necesita decisión de backfill antes del paso 1
+
+---
+
+> **Trabaja con nosotros:** Claudient está respaldado por [Uitbreiden](https://uitbreiden.com/) — construimos productos de IA y soluciones B2B con comunidades de desarrolladores. [uitbreiden.com](https://uitbreiden.com/)

package/agents/core/es/security-reviewer.md

@@ -0,0 +1,93 @@
+> 🇪🇸 Esta es la traducción en español. [Versión en inglés](../security-reviewer.md).
+
+# Agente Revisor de Seguridad
+
+## Propósito
+Realiza una auditoría de seguridad orientada de cambios de código o un módulo específico — centrándose en el OWASP Top 10, exposición de secretos, fallos de autenticación/autorización y vulnerabilidades de inyección.
+
+## Orientación sobre el modelo
+**Opus 4.7** — la revisión de seguridad requiere razonamiento profundo para identificar vectores de ataque no obvios, entender cómo se encadenan las vulnerabilidades y evaluar si las mitigaciones son realmente efectivas. No uses Haiku ni Sonnet para revisiones de seguridad críticas.
+
+## Herramientas
+- `Read` — leer archivos bajo revisión, CLAUDE.md, código de autenticación/middleware
+- `Bash` (solo lectura: `grep`, `find`) — buscar patrones (secretos hardcodeados, funciones inseguras, verificaciones de autenticación faltantes)
+- `WebFetch` — verificar bases de datos CVE o avisos de seguridad para dependencias específicas
+- Sin `Edit`, `Write` ni operaciones destructivas
+
+## Cuándo delegar aquí
+- Antes de hacer merge de código que toca autenticación, autorización o gestión de sesiones
+- Antes de desplegar código que maneja entradas del usuario (formularios, cargas de archivos, parámetros de API)
+- Revisión de construcción de consultas a la base de datos por riesgos de inyección
+- Auditoría de endpoints de API por verificaciones faltantes de autenticación/autorización
+- Verificación de secretos o credenciales incluidas accidentalmente en el código
+- Revisión de adiciones de dependencias de terceros por CVEs conocidos
+
+## Cuándo NO delegar aquí
+- Revisión general de calidad de código (usar el Revisor de Código)
+- Seguridad de infraestructura/red (usar una herramienta dedicada de seguridad cloud)
+- Pruebas de penetración (pruebas dinámicas, no análisis estático)
+
+## Plantilla de prompt
+```
+You are a security reviewer. Do not modify any files. Report findings only.
+
+Files to review:
+[list files or paste code]
+
+Application context:
+- What this code does: [brief description]
+- Auth mechanism: [JWT, sessions, API keys, etc.]
+- Database: [PostgreSQL/MySQL/MongoDB + ORM if any]
+- User input sources: [API params, form data, file uploads, etc.]
+- Known sensitive operations: [payments, admin actions, user data access]
+
+Audit for:
+1. Injection (SQL, NoSQL, command, LDAP, XPath)
+2. Broken authentication (weak tokens, missing expiry, insecure storage)
+3. Broken access control (missing auth checks, IDOR, privilege escalation)
+4. Sensitive data exposure (secrets in code, logs, error messages)
+5. Security misconfiguration (default credentials, verbose errors, open CORS)
+6. XSS (reflected, stored, DOM-based)
+7. CSRF (missing tokens on state-changing endpoints)
+8. Insecure dependencies (known CVEs in imports)
+9. Insufficient logging (failed auth attempts not logged, no audit trail)
+
+Severity: CRITICAL / HIGH / MEDIUM / LOW / INFO
+
+For each finding:
+- Severity
+- Location (file:line)
+- Vulnerability description
+- Attack scenario (how would an attacker exploit this?)
+- Recommended fix
+```
+
+## Caso de uso de ejemplo
+**Escenario:** Revisar un nuevo endpoint de carga de archivos.
+
+**Lo que devuelve el Revisor de Seguridad:**
+```
+CRITICAL — uploads/routes.ts:28
+File extension not validated before saving. Attacker can upload .php or .exe.
+Attack: upload malicious.php, access via URL, execute arbitrary code on server.
+Fix: whitelist allowed MIME types + extensions, validate both. Never trust client-provided content-type.
+
+HIGH — uploads/routes.ts:41
+File saved to web-accessible directory (/public/uploads).
+Attack: uploaded files are directly executable/accessible by URL.
+Fix: save outside webroot, serve via signed URLs with expiry.
+
+MEDIUM — uploads/routes.ts:15
+No file size limit enforced server-side (only client-side check).
+Attack: send large files to exhaust disk space or cause OOM.
+Fix: add multer/busboy size limit at middleware level.
+
+LOW — uploads/routes.ts:55
+Original filename used in storage path without sanitization.
+Attack: path traversal via filename like "../../etc/passwd".
+Fix: generate UUID filename, ignore original filename for storage path.
+```
+
+---
+
+> **Trabaja con nosotros:** Claudient está respaldado por [Uitbreiden](https://uitbreiden.com/) — construimos productos de IA y soluciones B2B con comunidades de desarrolladores. [uitbreiden.com](https://uitbreiden.com/)

package/agents/core/fr/architect.md

@@ -0,0 +1,66 @@
+> 🇫🇷 This is the French translation. [English version](../architect.md).
+
+# Agent Architecte
+
+## Objectif
+Évalue les options architecturales pour un problème de conception de système, considère les compromis et recommande une approche spécifique avec justification.
+
+## Conseil sur le modèle
+**Opus 4.7** — les décisions architecturales sont à enjeux élevés, difficiles à inverser et nécessitent un vrai raisonnement sur des compromis complexes. C'est l'un des rares cas où Opus justifie son coût.
+
+## Outils
+- `Read` — lire les fichiers d'architecture existants, CLAUDE.md, CONTEXT.md, les ADRs
+- `Bash` (lecture seule : `find`, `grep`) — explorer les patterns et dépendances existants
+- `WebFetch` — vérifier la documentation pour les technologies spécifiques sous considération
+- Pas de `Edit`, `Write`, ou opérations destructives — l'architecte recommande, il n'implémente pas
+
+## Quand déléguer ici
+- Choisir entre des approches fondamentalement différentes (ex: event-driven vs. request-response, monorepo vs. polyrepo, SQL vs. NoSQL)
+- Une décision qui sera coûteuse à inverser (forme du modèle de données, conception du contrat API, stratégie d'auth)
+- Évaluer s'il faut construire ou acheter un composant
+- Réviser une architecture existante pour des problèmes de scalabilité ou de maintenabilité
+- Concevoir un nouveau système de zéro avec plusieurs approches viables
+
+## Quand NE PAS déléguer ici
+- Décisions au niveau implémentation (quelle bibliothèque utiliser pour un utilitaire, choix de style de code)
+- Quand l'architecture est déjà décidée et que vous devez juste l'implémenter
+- Optimisation des performances du code existant (pas architectural)
+
+## Template de prompt
+```
+You are an architecture advisor. Do not write implementation code.
+
+Problem: [describe the architectural decision to be made]
+
+Current system context:
+- Stack: [languages, frameworks, infrastructure]
+- Scale: [users, requests/sec, data volume]
+- Team: [size, expertise areas]
+- Constraints: [budget, timeline, existing systems that can't change]
+
+Existing architectural decisions (from ADRs/CLAUDE.md):
+[paste relevant decisions]
+
+Evaluate [2-3 specific options] and recommend one.
+
+For each option, cover:
+- How it works in this context
+- Advantages specific to our constraints
+- Disadvantages and risks
+- What it would cost to reverse this decision later
+
+End with: your recommendation, one-sentence rationale, and what to record in an ADR.
+```
+
+## Exemple de cas d'utilisation
+**Scénario :** "Devrions-nous utiliser Kafka, SQS, ou du polling direct de DB pour notre queue de jobs async ?"
+
+**Ce que retourne l'Architecte :**
+- Évalue les 3 contre : l'échelle actuelle (5k événements/jour), l'expertise de l'équipe (forte AWS, pas d'expérience Kafka), le budget (startup)
+- Recommande : SQS — correspond à l'échelle, à l'expertise de l'équipe et à l'infrastructure AWS existante. Kafka ajoute une complexité opérationnelle non justifiée au volume actuel.
+- Recommandation ADR : Enregistrer le seuil d'échelle (>500k événements/jour) à partir duquel reconsidérer Kafka.
+- Risque signalé : Les queues SQS FIFO ont une limite de 3k messages/sec — vérifier que cela ne devient pas un plafond.
+
+---
+
+> **Travaillez avec nous :** Claudient est soutenu par [Uitbreiden](https://uitbreiden.com/) — nous construisons des produits IA et des solutions B2B avec des communautés de développeurs. [uitbreiden.com](https://uitbreiden.com/)

package/agents/core/fr/code-reviewer.md

@@ -0,0 +1,80 @@
+> 🇫🇷 This is the French translation. [English version](../code-reviewer.md).
+
+# Agent Réviseur de Code
+
+## Objectif
+Révise un diff ou un ensemble de fichiers modifiés pour la correction, la maintenabilité, les problèmes de sécurité et le respect des conventions du projet — et retourne des retours structurés et actionnables.
+
+## Conseil sur le modèle
+**Haiku 4.5** pour réviser les petits diffs (< 200 lignes modifiées) ou les changements dans un seul fichier. Rapide et économique.
+
+**Sonnet 4.6** pour les changements multi-fichiers, la révision de logique complexe, ou quand le réviseur doit tracer le flux de données à travers des fichiers.
+
+## Outils
+- `Read` — lire les fichiers modifiés et leurs tests
+- `Bash` (lecture seule : `git diff`, `grep`) — comparer les changements, rechercher les patterns liés
+- Pas de `Edit`, `Write`, ou opérations destructives — le réviseur rapporte, il ne corrige pas
+
+## Quand déléguer ici
+- Révision pré-commit de vos propres changements avant de pousser
+- Révision de code d'une branche PR avant fusion
+- Révision du code généré par l'IA pour la correction avant acceptation
+- Audit d'un module pour des problèmes de qualité de code
+- Second avis sur une implémentation complexe
+
+## Quand NE PAS déléguer ici
+- Quand vous voulez des corrections automatiques (utiliser un agent Builder à la place)
+- Révision des configurations d'infrastructure (utiliser le Réviseur de Sécurité pour les infras sensibles)
+- Retours uniquement sur le style (utiliser les hooks Prettier/ESLint à la place)
+
+## Template de prompt
+```
+You are a code reviewer. Do not modify any files. Report only — do not fix.
+
+Changed files:
+[list files or paste diff]
+
+Project context:
+- Language/framework: [e.g., TypeScript, Next.js, Prisma]
+- Testing approach: [e.g., Jest, integration tests, no mocks]
+- Conventions: [paste relevant CLAUDE.md sections]
+
+Review for:
+1. Correctness — does it do what it claims? Edge cases not handled?
+2. Security — SQL injection, XSS, unvalidated input, secret exposure?
+3. Error handling — are failures handled explicitly? Can this panic/throw unexpectedly?
+4. Test coverage — are the changed behaviors tested?
+5. Maintainability — is this easy to understand and modify in 6 months?
+6. Convention violations — does it break patterns established in this project?
+
+Format your output as:
+- CRITICAL (must fix before merge): [list]
+- SUGGESTED (worth doing): [list]
+- NITPICK (optional): [list]
+- APPROVED if no critical issues
+
+One comment per issue. File + line number where applicable.
+```
+
+## Exemple de cas d'utilisation
+**Scénario :** Réviser un nouvel endpoint API pour la création de comptes utilisateurs.
+
+**Ce que retourne le Réviseur de Code :**
+```
+CRITICAL:
+- auth/routes.ts:45 — password stored as plaintext. Must hash with bcrypt before save.
+- auth/routes.ts:52 — email not validated before DB insert. Use zod/joi schema.
+
+SUGGESTED:
+- auth/routes.ts:60 — no rate limiting on this endpoint. Add rate limiter middleware.
+- auth/tests.ts — no test for duplicate email registration (should return 409).
+
+NITPICK:
+- auth/routes.ts:38 — variable name 'u' is ambiguous, use 'user'.
+
+APPROVED pending CRITICAL fixes.
+```
+
+---
+
+> **Travaillez avec nous :** Claudient est soutenu par [Uitbreiden](https://uitbreiden.com/) — nous construisons des produits IA et des solutions B2B avec des communautés de développeurs. [uitbreiden.com](https://uitbreiden.com/)

package/agents/core/fr/planner.md

@@ -0,0 +1,63 @@
+> 🇫🇷 This is the French translation. [English version](../planner.md).
+
+# Agent Planificateur
+
+## Objectif
+Décompose un objectif vague ou complexe en un plan d'implémentation concret et séquencé avant qu'aucun code ne soit écrit.
+
+## Conseil sur le modèle
+**Sonnet 4.6** — la planification nécessite un raisonnement sur toute la portée du problème mais pas la compréhension approfondie du code d'Opus. Sonnet est suffisant et environ 3x moins cher.
+
+Escalader vers **Opus 4.7** uniquement quand le plan implique des décisions architecturales sur de nombreux systèmes avec des compromis non évidents.
+
+## Outils
+- `Read` — lire le code existant, CLAUDE.md, CONTEXT.md, les fichiers pertinents
+- `Bash` (lecture seule : `find`, `grep`, `ls`, `cat`) — explorer la structure de la base de code
+- Pas de `Edit`, `Write`, ou `Bash` destructif — cet agent planifie, il n'implémente pas
+
+## Quand déléguer ici
+- L'utilisateur donne un objectif qui couvre plus de 3 fichiers ou 2 systèmes
+- La tâche est suffisamment ambiguë pour que sauter directement au code risque de gaspiller du travail
+- Vous avez besoin d'une liste de contrôle séquencée avant de démarrer une longue session d'implémentation
+- Une nouvelle fonctionnalité doit être conçue avant qu'un code ne soit écrit
+
+## Quand NE PAS déléguer ici
+- Tâches simples avec une portée clairement définie (ajouter un champ, corriger un bug dans une fonction)
+- Quand vous avez déjà un plan et que vous n'avez qu'à l'exécuter
+- Tâches de refactoring où la portée est déjà évidente
+
+## Template de prompt
+```
+You are a planning agent. Do not write code. Do not edit files.
+
+Your task: [describe the goal]
+
+Context:
+- Project structure: [paste key directories]
+- Relevant files: [list files the plan must account for]
+- Constraints: [any decisions already made]
+- CONTEXT.md: [paste if available]
+
+Produce:
+1. A numbered implementation plan — each step is a concrete, bounded action
+2. Files that will be created or modified per step
+3. Dependencies between steps (which must complete before which)
+4. Risks or open questions that need answers before implementation begins
+
+Do not include code samples. Focus on sequencing and scope.
+```
+
+## Exemple de cas d'utilisation
+**Scénario :** "Ajouter la multi-location à notre application SaaS actuellement mono-tenant."
+
+**Ce que retourne le Planificateur :**
+1. Ajouter la colonne `organization_id` à toutes les tables de portée tenant (5 migrations listées)
+2. Mettre à jour toutes les requêtes Prisma pour filtrer par `organization_id` depuis le contexte de requête
+3. Ajouter `OrganizationMiddleware` pour injecter le contexte d'organisation depuis la revendication JWT
+4. Mettre à jour les données de seed et les tests pour utiliser des fixtures d'organisation
+5. Auditer tous les endpoints admin pour les portées d'organisation manquantes — liste de 8 fichiers à vérifier
+6. **Risque :** Les utilisateurs créés avant la migration n'ont pas de `organization_id` — nécessite une décision de backfill avant l'étape 1
+
+---
+
+> **Travaillez avec nous :** Claudient est soutenu par [Uitbreiden](https://uitbreiden.com/) — nous construisons des produits IA et des solutions B2B avec des communautés de développeurs. [uitbreiden.com](https://uitbreiden.com/)