leerness 1.9.145 → 1.9.147

package/CHANGELOG.md

@@ -1,5 +1,105 @@
 # Changelog
 
+## 1.9.147 — 2026-05-20
+
+**자동 유지보수 시스템 — 사용자 명시 요청.**
+
+> 사용자 시나리오: "프로그램 개발/이용/디버그 중 오류 발생 시 자동으로 웹훅으로 받아 leerness를 참조해서 버그 픽스/테스트/검수/배포 자동, 자격증명까지 자동, 모든 오류 실시간 감지"
+
+### 보안 정책 (1.9.71/75 연장)
+- **실제 자격증명은 절대 leerness 파일에 저장하지 않음** — `.harness/credentials.local.json` 에는 **환경변수 이름만**
+- 실제 토큰은 사용자가 OS keychain 또는 `.env` 파일에 직접 보관
+- `.gitignore` + `.npmignore` 자동 추가 (incidents/, credentials.local.json)
+- HMAC SHA-256 시그니처 검증 (`LEERNESS_WEBHOOK_SECRET`)
+
+### Added — webhook listener (`leerness webhook serve`)
+- HTTP 서버 (기본 9876, `--port` / `LEERNESS_WEBHOOK_PORT`)
+- POST `/incident` — JSON 페이로드 받아 `.harness/incidents/inc-<ts>.json` 저장
+- GET `/health` — 헬스 체크
+- HMAC: `X-Leerness-Signature` 헤더 (옵션, `LEERNESS_WEBHOOK_SECRET` 설정 시 활성)
+- 외부 시스템 (Sentry, Datadog, GitHub Actions, Stripe webhooks 등) 연결 가능
+
+### Added — incident handler (`leerness incident list/show/handle`)
+- `incident list [--json]` — 최근 incidents 50건 (시간 역순)
+- `incident show <id>` — 단일 incident JSON 출력
+- `incident handle [id]` — 자동 분석:
+  1. error 키워드 → **feature graph 매칭** + 영향 범위 (1.9.141~)
+  2. error 키워드 → **lessons 자동 회수** (1.9.54)
+  3. **권한 검증** (1.9.146) — basic 모드면 자동 fix 거부, extended/full 만 진행
+  4. 후속 명령 안내: `leerness agent "fix: ..."` / `verify-code` / `deploy auto`
+  5. incident JSON 에 `handledAt` + `permissionMode` 기록
+
+### Added — credentials registry (`leerness creds list/register/check/refresh`)
+- **환경변수 이름만 저장** — 실제 값 보유 0 (보안)
+- `creds register <service> --env-var <NAME[,NAME2]> --deploy "<cmd>" --token-lifetime-hours 24`
+  - 예: `firebase --env-var FIREBASE_TOKEN --token-lifetime-hours 24`
+- `creds list` — 등록된 서비스 + 환경변수 설정 여부 + 토큰 만료 여부
+- `creds check <service>` — 환경변수 누락 / 만료 → exit 1 (CI 가시화)
+- `creds refresh <service>` — 사용자 재로그인 후 lastRefreshed 갱신
+- 24h 토큰 만료 자동 감지 + 알림
+
+### Added — deploy auto (`leerness deploy auto <service>`)
+- `creds register` 의 `--deploy` 명령 실행 wrapper
+- 사전 검증:
+  - 환경변수 존재 (`creds check`)
+  - 토큰 만료 여부 (lastRefreshed + tokenLifetimeHours)
+  - **agent 권한** (1.9.146 — shell.exec + allowList)
+- `--dry-run` / `--force` 지원
+- 성공 시 `lastRefreshed` 자동 갱신 + task-log 기록
+
+### Fixed
+- `read()` 함수 UTF-8 BOM 자동 strip — Windows PowerShell `Out-File` BOM JSON.parse 실패 방지
+
+### Validation
+- stress-v92: PASS
+- e2e: 219/219 PASS
+
+## 1.9.146 — 2026-05-20
+
+**사용자 명시 요청 5종 통합** — CLI 에이전트 모드 + 권한 시스템 + install 흐름 재구성.
+
+### 설계 결정 (사용자 질문에 대한 답)
+- **agent 모드는 별도 명령** (`leerness agent`) — 기존 명령에 영향 없음
+- **권한은 공유 시스템** (`.harness/agent-permissions.json`) — basic/extended/full 프리셋
+- **IDE 통합은 자동** — IDE가 leerness CLI 호출 시 `agent-permissions.json` 자동 적용 (별도 모드 불필요)
+
+### ① 스킬 라이브러리 단순화 (사용자 요청)
+- 인터랙티브 옵션 2개로 축소: **"표준 공식 5종 자동 설치"** / **"건너뛰기"**
+- 이전: 빌트인 카탈로그 전체 + 추천 default + 직접 입력 등
+- 비대화형 (--yes / --skills) 동작은 그대로
+
+### ② install 흐름 재구성 (사용자 요청)
+- 모든 prompt (언어 / 스킬 / agent 활성화 / 권한 모드) 응답 완료 후 → 일괄 설치
+- 응답 수집 단계와 파일 생성 단계 명확히 분리
+- "📦 응답 수집 완료 — leerness 파일 설치 시작" 메시지
+
+### ③ Ollama CLI 에이전트 활성화 추가 (사용자 요청)
+- `EXTERNAL_AGENTS` 에 ollama 추가 — `LEERNESS_ENABLE_OLLAMA=1`
+- HTTP API (기본 `http://localhost:11434`), 모델 env: `LEERNESS_OLLAMA_MODEL`
+- `agents list` 표에 표시
+- install prompt: "Claude 단일 / Ollama 단일 / 전체 / 활성화 안함" 4지선다
+
+### ④ leerness agent — 오픈소스 CLI 에이전트 모드 (사용자 요청)
+- `leerness agent "<task 설명>"` — OpenClaw/Hermes 스타일
+- handoff context 자동 회수 (compact preview)
+- Ollama HTTP API 직접 호출 (MVP) — `_ollamaChat(prompt, model)`
+- 다른 provider 는 `leerness agents dispatch` 또는 외부 CLI 직접 호출 안내
+- `--dry-run` / `--provider <name>` 지원
+- task-log 자동 기록
+
+### ⑤ Agent 권한 시스템 (사용자 요청)
+- `.harness/agent-permissions.json` — basic / extended / full 프리셋
+- **basic**: `.harness/` 만 read/write, shell/network/mouse/keyboard/browser/admin 거부 (deny-by-default)
+- **extended**: 프로젝트 폴더 + shell allowlist (npm/git/node/pnpm/yarn/pytest/jest/tsc), network localhost/github/npm 만
+- **full**: 마우스/키보드/웹/관리자 전체 ⚠ IDE 통합 시에만 권장
+- `leerness permissions list --json` 조회
+- `leerness permissions set <mode>` 변경
+- `permissionCheck(root, action, target)` 내부 헬퍼 — agent 작업 시 사전 검증
+
+### Validation
+- stress-v91: PASS
+- e2e: 219/219 PASS
+
 ## 1.9.145 — 2026-05-20
 
 **실행 환경 자동 감지 — 사용자 명시 요청.**

package/README.md

@@ -2,7 +2,7 @@
 
 > **AI 코딩 에이전트의 거짓 완료·중복·망각·충돌을 막아주는 검수·기억·협업 CLI 하네스.**
 
-[![npm](https://img.shields.io/badge/npm-leerness-blue)](https://www.npmjs.com/package/leerness) [![version](https://img.shields.io/badge/version-1.9.145-green)]() [![tests](https://img.shields.io/badge/e2e-219%2F219-success)]() [![mcp](https://img.shields.io/badge/MCP--tools-47-blue)]() [![json](https://img.shields.io/badge/--json-20_commands-blueviolet)]() [![rounds](https://img.shields.io/badge/autonomous--rounds-75-blueviolet)]() [![main-push](https://img.shields.io/badge/release--main--push-auto-success)]() [![env-detect](https://img.shields.io/badge/env--detect-1.9.145_PATH_guard-success)]() [![license](https://img.shields.io/badge/license-MIT-lightgrey)]()
+[![npm](https://img.shields.io/badge/npm-leerness-blue)](https://www.npmjs.com/package/leerness) [![version](https://img.shields.io/badge/version-1.9.147-green)]() [![tests](https://img.shields.io/badge/e2e-219%2F219-success)]() [![mcp](https://img.shields.io/badge/MCP--tools-47-blue)]() [![json](https://img.shields.io/badge/--json-20_commands-blueviolet)]() [![rounds](https://img.shields.io/badge/autonomous--rounds-77-blueviolet)]() [![main-push](https://img.shields.io/badge/release--main--push-auto-success)]() [![auto-maintenance](https://img.shields.io/badge/auto--maintenance-webhook%2Bincident%2Bcreds%2Bdeploy-success)]() [![license](https://img.shields.io/badge/license-MIT-lightgrey)]()
 
 ```
   ╔══════════════════════════════════════════════════════════════╗
@@ -12,7 +12,7 @@
   ║  ██║     ██╔══╝  ██╔══╝  ██╔══██╗██║╚██╗██║██╔══╝  ╚════██║  ║
   ║  ███████╗███████╗███████╗██║  ██║██║ ╚████║███████╗███████║  ║
   ║  ╚══════╝╚══════╝╚══════╝╚═╝  ╚═╝╚═╝  ╚═══╝╚══════╝╚══════╝  ║
-  ║  v1.9.145  AI Agent Reliability Harness                      ║
+  ║  v1.9.147  AI Agent Reliability Harness                      ║
   ║  verify · remember · orchestrate · audit · prevent drift     ║
   ╚══════════════════════════════════════════════════════════════╝
 ```

package/bin/harness.js

@@ -6,7 +6,7 @@ const path = require('path');
 const cp = require('child_process');
 const readline = require('readline');
 
-const VERSION = '1.9.145';
+const VERSION = '1.9.147';
 const MARK = '<!-- leerness:managed -->';
 const README_START = '<!-- leerness:project-readme:start -->';
 const README_END = '<!-- leerness:project-readme:end -->';
@@ -101,7 +101,11 @@ function warn(s) { log('⚠ ' + s); }
 function fail(s) { log('✗ ' + s); }
 function absRoot(p) { return path.resolve(p || process.cwd()); }
 function exists(p) { return fs.existsSync(p); }
-function read(p) { return fs.readFileSync(p, 'utf8'); }
+function read(p) {
+  // 1.9.147: UTF-8 BOM 자동 strip — Windows PowerShell Out-File 등이 BOM 붙이는 경우 JSON.parse 실패 방지
+  const text = fs.readFileSync(p, 'utf8');
+  return text.charCodeAt(0) === 0xFEFF ? text.slice(1) : text;
+}
 function readBuf(p) { return fs.readFileSync(p); }
 function mkdirp(p) { fs.mkdirSync(p, { recursive: true }); }
 function writeUtf8(p, s) { mkdirp(path.dirname(p)); fs.writeFileSync(p, s, { encoding: 'utf8' }); }
@@ -681,35 +685,61 @@ async function resolveInstallOptions(root, opts = {}) {
       lang = a === '2' ? 'ko' : a === '3' ? 'en' : detectLanguageValue(root, 'auto');
     }
   }
+  // 1.9.146: 스킬 라이브러리 — 표준 공식 추천 자동 설치 / 건너뛰기 2-option 단순화 (사용자 명시 요청 #1)
   if (shouldAsk && !explicitSkills) {
     if (useInteractive) {
-      // 카탈로그에서 옵션 생성
-      const cat = Object.entries(skillCatalog).map(([id, meta]) => ({
-        id, label: id, description: (meta.displayNameKo || id).slice(0, 50)
-      }));
-      // 추천 4개의 인덱스 계산
-      const recommended = ['office', 'commerce-api', 'ai-verified-skill-publisher', 'feature-implementation'];
-      const defaults = recommended.map(id => cat.findIndex(c => c.id === id)).filter(i => i >= 0);
-      const picked = await _selectMany(
-        '설치할 스킬 라이브러리 (Space=토글, a=전체, n=해제, Enter=확정)',
-        cat,
-        { defaults }
-      );
-      skills = picked.map(p => p.id);
+      const opt = await _selectOne('스킬 라이브러리 설치 (표준 공식 5종)', [
+        { label: '표준 공식 5종 자동 설치 (추천)', description: 'office · commerce-api · ai-verified-skill-publisher · feature-implementation · project-roadmap-generator', id: 'recommended' },
+        { label: '건너뛰기 (필요할 때 leerness skill install 로 추가)', description: '하네스만 설치, 스킬은 없음', id: 'none' }
+      ], { defaultIndex: 0 });
+      skills = (opt && opt.id === 'recommended') ? parseSkillsValue('recommended') : [];
+    } else {
+      log('\n스킬 라이브러리 설치를 선택하세요.');
+      log('1) 표준 공식 5종 자동 설치 (추천)');
+      log('2) 건너뛰기 (leerness skill install 로 추가 가능)');
+      const a = await ask('선택 [1]: ');
+      skills = (a === '2') ? [] : parseSkillsValue('recommended');
+    }
+  }
+  // 1.9.146: CLI 에이전트 활성화 선택 (사용자 명시 요청 #3 — Ollama 추가)
+  //   설치 마지막에 .env.example 에 활성화 옵트인 키만 기록 (실제 토큰 입력은 사용자가 직접).
+  let agentsOptIn = null;
+  if (shouldAsk && !opts._skipAgentsPrompt) {
+    if (useInteractive) {
+      const aOpt = await _selectOne('CLI 에이전트 활성화 (sub-agent 위임용, opt-in)', [
+        { label: '활성화 안함 (나중에 .env에서 직접 설정)', description: '권장 — 토큰/모델은 사용자가 직접 관리', id: 'none' },
+        { label: 'Claude (LEERNESS_CLAUDE_ENABLED=1)', description: 'claude CLI 또는 ANTHROPIC_API_KEY', id: 'claude' },
+        { label: 'Ollama (LEERNESS_OLLAMA_ENABLED=1) — 로컬 LLM', description: 'http://localhost:11434 (모델: llama3/qwen 등)', id: 'ollama' },
+        { label: '여러 개 (claude+codex+gemini+copilot+ollama)', description: '전체 후보 활성화 (각각 별도 토큰 필요)', id: 'all' }
+      ], { defaultIndex: 0 });
+      agentsOptIn = aOpt ? aOpt.id : 'none';
+    } else {
+      log('\nCLI 에이전트 활성화 (opt-in, 나중에 .env에서 변경 가능):');
+      log('1) 활성화 안함  2) Claude  3) Ollama  4) 전체');
+      const a = await ask('선택 [1]: ');
+      agentsOptIn = a === '2' ? 'claude' : a === '3' ? 'ollama' : a === '4' ? 'all' : 'none';
+    }
+  }
+  // 1.9.146: 권한 모드 (사용자 명시 요청 #5 — agent IDE 모드 사전 prompt)
+  let permissionMode = null;
+  if (shouldAsk && !opts._skipPermissionsPrompt) {
+    if (useInteractive) {
+      const pOpt = await _selectOne('agent 권한 모드 (leerness agent 사용 시 적용)', [
+        { label: 'basic (안전) — 읽기/쓰기 .harness/ 만', description: '권장 — 파일시스템/네트워크 거부, .harness 안만 쓰기', id: 'basic' },
+        { label: 'extended — 프로젝트 폴더 + shell allowlist', description: '프로젝트 폴더 read/write, 사전 정의된 명령만 exec', id: 'extended' },
+        { label: 'full — 전체 (마우스/키보드/웹/관리자) ⚠ 위험', description: '⚠ IDE 통합 시에만 권장 — 모든 PC 작업 가능', id: 'full' }
+      ], { defaultIndex: 0 });
+      permissionMode = pOpt ? pOpt.id : 'basic';
     } else {
-      log('\n설치할 스킬 라이브러리를 선택하세요.');
-      log('0) 기본 하네스만 설치');
-      log('1) 추천: office, commerce-api, ai-verified-skill-publisher, feature-implementation');
-      log('2) 전체 스킬 설치'); log('3) 직접 입력');
-      skillList();
+      log('\nagent 권한 모드 (leerness agent 명령 사용 시):');
+      log('1) basic (안전) — .harness/ 만');
+      log('2) extended — 프로젝트 폴더 + shell allowlist');
+      log('3) full ⚠ — 마우스/키보드/웹/관리자 전체 (IDE 통합 시에만)');
       const a = await ask('선택 [1]: ');
-      if (!a || a === '1') skills = parseSkillsValue('recommended');
-      else if (a === '2') skills = parseSkillsValue('all');
-      else if (a === '3') skills = parseSkillsValue(await ask('스킬 ID를 쉼표로 입력: '));
-      else if (a === '0') skills = [];
+      permissionMode = a === '2' ? 'extended' : a === '3' ? 'full' : 'basic';
     }
   }
-  return { lang, skills };
+  return { lang, skills, agentsOptIn, permissionMode };
 }
 
 async function install(root, opts = {}) {
@@ -731,10 +761,13 @@ async function install(root, opts = {}) {
   const resolved = await resolveInstallOptions(root, opts);
   const lang = resolved.lang;
   const skills = resolved.skills;
-  log(`Leerness v${VERSION}`);
+  // 1.9.146: 사용자 명시 요청 #2 — 모든 prompt 끝난 후 한꺼번에 설치 단계 진입 (응답 수집과 파일 쓰기 분리)
+  log(`\n📦 응답 수집 완료 — leerness 파일 설치 시작 (Leerness v${VERSION})`);
   log(`Target: ${root}`);
   log(`Language: ${lang}`);
-  log(`Skills: ${skills.length ? skills.join(', ') : 'none'}`);
+  log(`Skills: ${skills.length ? skills.join(', ') : 'none (건너뜀)'}`);
+  if (resolved.agentsOptIn && resolved.agentsOptIn !== 'none') log(`Agents 활성화: ${resolved.agentsOptIn}`);
+  if (resolved.permissionMode) log(`Agent 권한 모드: ${resolved.permissionMode}`);
   // 1.9.10: 스킬 카탈로그 출처 안내
   if (SKILLPACK_SOURCE === 'builtin') log(`Skill catalog source: builtin (leerness-skillpack 미설치 — \`npm i leerness-skillpack\`로 확장 가능)`);
   else log(`Skill catalog source: ${SKILLPACK_SOURCE} (leerness-skillpack${SKILLPACK_META ? ` v${SKILLPACK_META.version}` : ''})`);
@@ -773,26 +806,36 @@ async function install(root, opts = {}) {
   if (!opts.dry) {
     mergeLinesFile(path.join(root, '.gitignore'), [
       '.harness/skill-publish.local.json','.harness/**/*.local.json','.env.local',
-      '.harness/archive/','.harness/migration-report.md','.harness/cache/'
+      '.harness/archive/','.harness/migration-report.md','.harness/cache/',
+      // 1.9.147: 자동 유지보수 — 자격증명 + incident 페이로드 비공개 (보안)
+      '.harness/credentials.local.json','.harness/incidents/'
     ]);
+    // 1.9.146: agentsOptIn 선택에 따라 LEERNESS_ENABLE_* 플래그 자동 설정 (사용자 명시 요청 #3 — Ollama 추가)
+    const a = resolved.agentsOptIn || 'none';
+    const enable = (cli) => a === 'all' || a === cli;
     mergeLinesFile(path.join(root, '.env.example'), [
       '# Leerness uses environment variable names only. Do not store real secrets here.',
       'LEERNESS_NPM_TOKEN=','LEERNESS_GITHUB_TOKEN=',
       '# 1.9.22 — orchestrate opt-in. URL이 설정되면 leerness가 Ollama를 사용 가능. 미설정 시 LLM 호출 자동 시작 금지.',
-      'LEERNESS_OLLAMA_BASE_URL=',
-      '# 선택. 기본 모델 (orchestrate --model 로 override 가능).',
+      `LEERNESS_OLLAMA_BASE_URL=${enable('ollama') ? 'http://localhost:11434' : ''}`,
+      '# 선택. 기본 모델 (orchestrate --model 로 override 가능). 예: llama3 / qwen2.5-coder / gpt-oss',
       'LEERNESS_OLLAMA_MODEL=',
-      '# 1.9.30 — 외부 AI CLI 활성화 플래그. 1=활성, 0/미설정=비활성. 메인 에이전트가 sub-agent 분배 시 활성 CLI들에 작업 위임 가능.',
-      'LEERNESS_ENABLE_CLAUDE=1',
-      'LEERNESS_ENABLE_CODEX=0',
-      'LEERNESS_ENABLE_GEMINI=0',
-      'LEERNESS_ENABLE_COPILOT=0',
+      '# 1.9.30+1.9.146 — 외부 AI CLI 활성화 플래그. 1=활성, 0/미설정=비활성. 메인 에이전트가 sub-agent 분배 시 활성 CLI들에 작업 위임 가능.',
+      `LEERNESS_ENABLE_CLAUDE=${enable('claude') ? 1 : 0}`,
+      `LEERNESS_ENABLE_CODEX=${enable('all') ? 1 : 0}`,
+      `LEERNESS_ENABLE_GEMINI=${enable('all') ? 1 : 0}`,
+      `LEERNESS_ENABLE_COPILOT=${enable('all') ? 1 : 0}`,
+      `LEERNESS_ENABLE_OLLAMA=${enable('ollama') ? 1 : 0}`,
       '# 1.9.42 — agentskills.io 공개 표준 스킬 자동 탐색 (opt-in). URL 설정 시 `leerness skill discover` 사용 가능.',
       '#   예: LEERNESS_SKILL_DISCOVER_URL=https://agentskills.io/llms.txt',
       'LEERNESS_SKILL_DISCOVER_URL=',
       '# (선택) 사용자 요청 분석 시 자동 매칭 스킬 추천. 1=활성, 0/미설정=비활성.',
       'LEERNESS_SKILL_AUTO_DISCOVER=0'
     ]);
+    // 1.9.146: agent 권한 파일 자동 생성 (사용자 명시 요청 #5)
+    if (resolved.permissionMode) {
+      try { _writePermissionsPreset(root, resolved.permissionMode); } catch (e) { warn('permissions 생성 실패: ' + e.message); }
+    }
     mergeLinesFile(path.join(root, '.gitattributes'), [
       '* text=auto eol=lf','*.bat text eol=crlf','*.ps1 text eol=crlf'
     ]);
@@ -4430,7 +4473,10 @@ const EXTERNAL_AGENTS = [
   { id: 'gemini',  bin: 'gemini',  envFlag: 'LEERNESS_ENABLE_GEMINI',  versionArgs: ['--version'], desc: 'Google Gemini CLI (--yolo 모드 워크스페이스 직접 수정 가능)',
     installCmd: 'npm i -g @google/gemini-cli', installHint: 'https://github.com/google-gemini/gemini-cli' },
   { id: 'copilot', bin: 'gh',      envFlag: 'LEERNESS_ENABLE_COPILOT', versionArgs: ['copilot', '--version'], desc: 'GitHub Copilot CLI (gh copilot)',
-    installCmd: 'gh extension install github/gh-copilot', installHint: 'https://github.com/github/gh-copilot (gh CLI 선행 설치 필요)' }
+    installCmd: 'gh extension install github/gh-copilot', installHint: 'https://github.com/github/gh-copilot (gh CLI 선행 설치 필요)' },
+  // 1.9.146: Ollama 추가 (사용자 명시 요청 #3) — 로컬 LLM, HTTP API 11434
+  { id: 'ollama',  bin: 'ollama',  envFlag: 'LEERNESS_ENABLE_OLLAMA',  versionArgs: ['--version'], desc: 'Ollama 로컬 LLM (http://localhost:11434, llama3/qwen 등)',
+    installCmd: 'curl -fsSL https://ollama.com/install.sh | sh (또는 https://ollama.com/download)', installHint: 'ollama serve 실행 + ollama pull <model>' }
 ];
 
 // 1.9.36: 작업 키워드 분석으로 최적 CLI 추천
@@ -9786,6 +9832,520 @@ function envDetectCmd(root, opts = {}) {
   if (diff.missing && diff.missing.length) process.exitCode = 1;
 }
 
+// ===== 1.9.146: Agent 권한 시스템 (사용자 명시 요청 #5) =====
+// .harness/agent-permissions.json — leerness agent 명령 실행 시 적용. 기본 deny-by-default.
+function _permissionsPath(root) { return path.join(absRoot(root), '.harness', 'agent-permissions.json'); }
+function _permissionsPreset(mode) {
+  // basic: 안전 — .harness/ 안만 쓰기
+  // extended: 프로젝트 폴더 + shell allowlist
+  // full: 전체 (mouse/keyboard/web/admin) — IDE 통합 시
+  const presets = {
+    basic: {
+      mode: 'basic',
+      filesystem: { read: true, write: true, restrictTo: ['.harness/', 'progress-tracker.md', 'session-handoff.md'], delete: false },
+      shell: { exec: false, allowList: [] },
+      network: { fetch: false, outboundAllowList: [] },
+      mouse: false, keyboard: false, browser: false, admin: false,
+      requireConfirmation: ['shell.exec', 'filesystem.delete', 'network.fetch']
+    },
+    extended: {
+      mode: 'extended',
+      filesystem: { read: true, write: true, restrictTo: ['./'], delete: false },
+      shell: { exec: true, allowList: ['npm', 'git', 'node', 'pnpm', 'yarn', 'pytest', 'jest', 'tsc'] },
+      network: { fetch: true, outboundAllowList: ['localhost', 'github.com', 'api.github.com', 'npmjs.org'] },
+      mouse: false, keyboard: false, browser: false, admin: false,
+      requireConfirmation: ['filesystem.delete', 'shell.exec_outside_allowlist']
+    },
+    full: {
+      mode: 'full',
+      filesystem: { read: true, write: true, restrictTo: ['./'], delete: true },
+      shell: { exec: true, allowList: ['*'] },
+      network: { fetch: true, outboundAllowList: ['*'] },
+      mouse: true, keyboard: true, browser: true, admin: true,
+      requireConfirmation: ['filesystem.delete_outside_project', 'admin_action']
+    }
+  };
+  return presets[mode] || presets.basic;
+}
+function _writePermissionsPreset(root, mode) {
+  const preset = _permissionsPreset(mode);
+  preset.generatedAt = new Date().toISOString();
+  preset.leernessVersion = VERSION;
+  mkdirp(path.dirname(_permissionsPath(root)));
+  writeUtf8(_permissionsPath(root), JSON.stringify(preset, null, 2) + '\n');
+  return preset;
+}
+function _readPermissions(root) {
+  const p = _permissionsPath(root);
+  if (!exists(p)) return _permissionsPreset('basic');
+  try { return JSON.parse(read(p)); } catch { return _permissionsPreset('basic'); }
+}
+function permissionsListCmd(root) {
+  root = absRoot(root || process.cwd());
+  const p = _readPermissions(root);
+  if (has('--json')) { log(JSON.stringify(p, null, 2)); return; }
+  log(`# leerness permissions (1.9.146)`);
+  log(`mode: ${p.mode || 'basic'}  ·  generated: ${p.generatedAt || '(없음)'}`);
+  log('');
+  log(`📂 filesystem: read=${p.filesystem?.read} write=${p.filesystem?.write} delete=${p.filesystem?.delete}`);
+  if (p.filesystem?.restrictTo?.length) log(`   restrict to: ${p.filesystem.restrictTo.join(', ')}`);
+  log(`💻 shell.exec: ${p.shell?.exec}  ·  allowList: ${(p.shell?.allowList || []).join(', ') || '(없음)'}`);
+  log(`🌐 network.fetch: ${p.network?.fetch}  ·  outbound: ${(p.network?.outboundAllowList || []).join(', ') || '(없음)'}`);
+  log(`🖱  mouse=${p.mouse}  ⌨ keyboard=${p.keyboard}  🌐 browser=${p.browser}  👑 admin=${p.admin}`);
+  if (p.requireConfirmation?.length) log(`\n⚠ 확인 필요: ${p.requireConfirmation.join(', ')}`);
+}
+function permissionsSetCmd(root, mode) {
+  root = absRoot(root || process.cwd());
+  if (!['basic', 'extended', 'full'].includes(mode)) {
+    return fail(`mode 는 basic / extended / full — 받음: ${mode || '(없음)'}`);
+  }
+  const p = _writePermissionsPreset(root, mode);
+  ok(`permissions mode set: ${p.mode}`);
+  log(`   → 수정: ${_permissionsPath(root).replace(root, '.').replace(/\\/g, '/')}`);
+  if (mode === 'full') warn(`⚠ full 모드 — IDE 통합 외 환경에서는 위험. agent 작업 시작 전 leerness permissions list 로 재확인 권장.`);
+}
+function permissionCheck(root, action, target) {
+  // leerness agent 호출 시 권한 검증 — true(허용) / false(거부) 반환
+  const p = _readPermissions(root);
+  try {
+    if (action === 'filesystem.read') return !!p.filesystem?.read;
+    if (action === 'filesystem.write') {
+      if (!p.filesystem?.write) return false;
+      const restrict = p.filesystem?.restrictTo || [];
+      if (!restrict.length || restrict.includes('./') || restrict.includes('*')) return true;
+      return restrict.some(prefix => (target || '').startsWith(prefix));
+    }
+    if (action === 'filesystem.delete') return !!p.filesystem?.delete;
+    if (action === 'shell.exec') {
+      if (!p.shell?.exec) return false;
+      const allow = p.shell?.allowList || [];
+      if (allow.includes('*')) return true;
+      const first = String(target || '').split(/\s+/)[0];
+      return allow.includes(first);
+    }
+    if (action === 'network.fetch') return !!p.network?.fetch;
+    if (action === 'mouse') return !!p.mouse;
+    if (action === 'keyboard') return !!p.keyboard;
+    if (action === 'browser') return !!p.browser;
+    if (action === 'admin') return !!p.admin;
+  } catch {}
+  return false;
+}
+
+// ===== 1.9.146: leerness agent — OpenClaw/Hermes 스타일 오픈소스 CLI 에이전트 모드 (사용자 명시 요청 #4) =====
+// MVP: handoff 컨텍스트 자동 로드 → 활성 CLI (claude/codex/gemini/ollama) 1개에 작업 위임.
+// 권한은 .harness/agent-permissions.json 기준. 실제 LLM 호출은 외부 CLI 또는 Ollama HTTP API.
+function _activeCliAgents() {
+  const out = [];
+  if (process.env.LEERNESS_ENABLE_CLAUDE === '1') out.push('claude');
+  if (process.env.LEERNESS_ENABLE_CODEX === '1') out.push('codex');
+  if (process.env.LEERNESS_ENABLE_GEMINI === '1') out.push('gemini');
+  if (process.env.LEERNESS_ENABLE_COPILOT === '1') out.push('copilot');
+  if (process.env.LEERNESS_ENABLE_OLLAMA === '1') out.push('ollama');
+  return out;
+}
+async function _ollamaChat(prompt, model) {
+  // Ollama HTTP API — 기본 http://localhost:11434/api/generate
+  const url = (process.env.LEERNESS_OLLAMA_BASE_URL || 'http://localhost:11434').replace(/\/+$/, '') + '/api/generate';
+  const mdl = model || process.env.LEERNESS_OLLAMA_MODEL || 'llama3';
+  return new Promise((resolve) => {
+    try {
+      const body = JSON.stringify({ model: mdl, prompt, stream: false });
+      const u = new URL(url);
+      const lib = u.protocol === 'https:' ? require('https') : require('http');
+      const req = lib.request({
+        hostname: u.hostname, port: u.port || (u.protocol === 'https:' ? 443 : 80),
+        path: u.pathname + (u.search || ''), method: 'POST',
+        headers: { 'Content-Type': 'application/json', 'Content-Length': Buffer.byteLength(body) },
+        timeout: 60000
+      }, (res) => {
+        let data = '';
+        res.on('data', c => { data += c; });
+        res.on('end', () => {
+          try { const j = JSON.parse(data); resolve({ ok: res.statusCode === 200, response: j.response || '', model: mdl }); }
+          catch { resolve({ ok: false, error: 'invalid JSON response', model: mdl }); }
+        });
+      });
+      req.on('error', e => resolve({ ok: false, error: e.message, model: mdl }));
+      req.on('timeout', () => { req.destroy(); resolve({ ok: false, error: 'timeout', model: mdl }); });
+      req.write(body); req.end();
+    } catch (e) { resolve({ ok: false, error: e.message, model: mdl }); }
+  });
+}
+async function agentCmd(root, taskArg) {
+  root = absRoot(root || process.cwd());
+  const task = (taskArg || arg('--task', '') || '').trim();
+  if (!task) {
+    log('# leerness agent (1.9.146) — 오픈소스 CLI 에이전트 모드');
+    log('');
+    log('사용법:');
+    log('  leerness agent "<task 설명>"      # 1회 위임');
+    log('  leerness agent --provider ollama  # 명시적 provider 선택');
+    log('  leerness agent --dry-run           # LLM 호출 없이 흐름만 확인');
+    log('');
+    log('현재 활성 provider: ' + (_activeCliAgents().join(', ') || '(없음) — .env에서 LEERNESS_ENABLE_* 활성화'));
+    log('권한 모드: ' + (_readPermissions(root).mode || 'basic'));
+    return;
+  }
+  const dryRun = has('--dry-run');
+  const providerArg = arg('--provider', null);
+  const active = _activeCliAgents();
+  const provider = providerArg || active[0] || null;
+  log(`# leerness agent (1.9.146)`);
+  log(`task: ${task.slice(0, 120)}${task.length > 120 ? '…' : ''}`);
+  log(`provider: ${provider || '(없음 — .env 에서 LEERNESS_ENABLE_* 활성화 필요)'}`);
+  const perms = _readPermissions(root);
+  log(`permission mode: ${perms.mode || 'basic'}`);
+  // handoff 자동 회수 (compact 모드)
+  try {
+    const hf = cp.spawnSync(process.execPath, [__filename, 'handoff', root, '--compact', '--no-drift-check'], { encoding: 'utf8', timeout: 10000, env: { ...process.env, LEERNESS_NO_BANNER: '1', LEERNESS_NO_PROMPT: '1' } });
+    if (hf.status === 0 && hf.stdout) {
+      const preview = hf.stdout.split('\n').slice(0, 6).join('\n');
+      log('\n[handoff context (preview)]\n' + preview);
+    }
+  } catch {}
+  if (dryRun) { log('\n(dry-run) LLM 호출 스킵 — provider/권한/컨텍스트만 출력'); return; }
+  if (!provider) { fail('활성 provider 없음 — .env 에서 LEERNESS_ENABLE_OLLAMA=1 또는 LEERNESS_ENABLE_CLAUDE=1 활성화'); process.exitCode = 1; return; }
+  // MVP: Ollama 지원 (로컬). 다른 CLI 는 사용자가 직접 호출 (leerness agents dispatch 이미 존재).
+  if (provider === 'ollama') {
+    log('\n[ollama 호출 중...]');
+    const r = await _ollamaChat(task);
+    if (r.ok) {
+      log('\n[response (model=' + r.model + ')]\n' + r.response);
+      // task-log 자동 기록
+      try {
+        const tlp = taskLogPath(root);
+        const block = `\n## ${today()} leerness agent (ollama:${r.model})\n- task: ${task.slice(0, 200)}\n- response (preview): ${r.response.slice(0, 240).replace(/\n+/g, ' ')}\n`;
+        append(tlp, block);
+      } catch {}
+    } else {
+      fail(`ollama 호출 실패: ${r.error || 'unknown'}`);
+      log(`  → ollama serve 실행 + LEERNESS_OLLAMA_BASE_URL 확인`);
+      process.exitCode = 1;
+    }
+    return;
+  }
+  // 그 외 provider: 사용자에게 직접 dispatch 안내
+  log(`\n💡 ${provider} provider 는 \`leerness agents dispatch "<task>" --to ${provider}\` 또는 외부 CLI 직접 호출 권장`);
+}
+
+// ===== 1.9.147: 자동 유지보수 시스템 (사용자 명시 요청) =====
+//
+// 4 컴포넌트:
+//   1) webhook listener — HTTP + HMAC 검증으로 외부 에러 보고 수신
+//   2) incident handler — 받은 페이로드를 leerness 컨텍스트로 분석/fix/test
+//   3) credentials registry — 환경변수 이름만 등록 (값은 사용자 .env / OS keychain — 보안 정책)
+//   4) deploy auto — Firebase/Cloudflare/Vercel adapter (24h 토큰 만료 알림)
+//
+// 보안 정책 (1.9.71/75 연장):
+//   - .harness/credentials.local.json 에 실제 토큰 절대 미저장 (env-ref 만)
+//   - .gitignore + .npmignore 자동 등록
+//   - .harness/incidents/*.json 도 비공개 (시크릿 페이로드 누출 방지)
+
+// ---- (1) Credentials Registry ----
+function _credentialsPath(root) { return path.join(absRoot(root), '.harness', 'credentials.local.json'); }
+function _readCredentials(root) {
+  const p = _credentialsPath(root);
+  if (!exists(p)) return { schemaVersion: 1, services: {} };
+  try { return JSON.parse(read(p)); } catch { return { schemaVersion: 1, services: {} }; }
+}
+function _writeCredentials(root, data) {
+  const p = _credentialsPath(root);
+  mkdirp(path.dirname(p));
+  writeUtf8(p, JSON.stringify(data, null, 2) + '\n');
+  // 1.9.147: gitignore + npmignore 자동 보강 (보안)
+  try {
+    const giPath = path.join(absRoot(root), '.gitignore');
+    if (exists(giPath)) {
+      const gi = read(giPath);
+      if (!gi.includes('credentials.local.json')) {
+        writeUtf8(giPath, gi.trimEnd() + '\n.harness/credentials.local.json\n');
+      }
+    }
+  } catch {}
+}
+function credsListCmd(root) {
+  root = absRoot(root || process.cwd());
+  const j = _readCredentials(root);
+  if (has('--json')) { log(JSON.stringify(j, null, 2)); return; }
+  log(`# leerness creds list (1.9.147)`);
+  const services = Object.entries(j.services || {});
+  if (!services.length) { log('(등록된 자격증명 없음 — leerness creds register <service> --env-var <NAME>)'); return; }
+  log(`총 ${services.length}개 서비스 (값 미저장 — env-ref 만)`);
+  for (const [name, meta] of services) {
+    const present = meta.envVars.every(v => process.env[v] !== undefined && process.env[v] !== '');
+    const last = meta.lastRefreshed ? new Date(meta.lastRefreshed) : null;
+    const ageDays = last ? Math.floor((Date.now() - last.getTime()) / 86400000) : null;
+    const ageWarn = (meta.tokenLifetimeHours && last && (Date.now() - last.getTime()) > meta.tokenLifetimeHours * 3600 * 1000);
+    log(`  ${name}: env=${meta.envVars.join(',')} · ${present ? '✓ 환경변수 있음' : '⚠ 미설정'}${ageDays !== null ? ` · ${ageDays}일 전 refresh${ageWarn ? ' (만료 가능)' : ''}` : ''}`);
+    if (meta.deployCommand) log(`    deploy: ${meta.deployCommand}`);
+  }
+}
+function credsRegisterCmd(root, service) {
+  root = absRoot(root || process.cwd());
+  if (!service) return fail('service 이름 필요 — leerness creds register <service> --env-var <NAME[,NAME2]>');
+  const envVarArg = arg('--env-var', null);
+  if (!envVarArg) return fail('--env-var <NAME> 필요 (콤마 구분 가능)');
+  const envVars = envVarArg.split(',').map(s => s.trim()).filter(Boolean);
+  const deployCmd = arg('--deploy', null);
+  const lifetime = parseInt(arg('--token-lifetime-hours', '0'), 10) || null;
+  const j = _readCredentials(root);
+  j.services = j.services || {};
+  j.services[service] = {
+    envVars,
+    deployCommand: deployCmd || j.services[service]?.deployCommand || null,
+    tokenLifetimeHours: lifetime || j.services[service]?.tokenLifetimeHours || null,
+    lastRefreshed: j.services[service]?.lastRefreshed || null,
+    registeredAt: j.services[service]?.registeredAt || new Date().toISOString()
+  };
+  _writeCredentials(root, j);
+  ok(`creds registered: ${service} · env=${envVars.join(',')}${deployCmd ? ` · deploy="${deployCmd}"` : ''}`);
+  // 환경변수 즉시 확인
+  const missing = envVars.filter(v => !process.env[v]);
+  if (missing.length) warn(`⚠ 다음 환경변수가 현재 셸에 설정되지 않음: ${missing.join(', ')} — .env 또는 OS keychain에서 export 필요`);
+}
+function credsCheckCmd(root, service) {
+  root = absRoot(root || process.cwd());
+  const j = _readCredentials(root);
+  const result = { service: service || null, services: {}, ok: true };
+  const targets = service ? (j.services[service] ? { [service]: j.services[service] } : {}) : (j.services || {});
+  if (!Object.keys(targets).length) { fail(`등록된 서비스 없음${service ? ` (${service})` : ''}`); return; }
+  for (const [name, meta] of Object.entries(targets)) {
+    const missing = (meta.envVars || []).filter(v => !process.env[v]);
+    const expired = meta.tokenLifetimeHours && meta.lastRefreshed
+      ? (Date.now() - new Date(meta.lastRefreshed).getTime()) > meta.tokenLifetimeHours * 3600 * 1000
+      : false;
+    result.services[name] = { envSet: !missing.length, missing, expired };
+    if (missing.length || expired) result.ok = false;
+  }
+  if (has('--json')) { log(JSON.stringify(result, null, 2)); if (!result.ok) process.exitCode = 1; return; }
+  log(`# leerness creds check (1.9.147)`);
+  for (const [name, r] of Object.entries(result.services)) {
+    if (r.envSet && !r.expired) log(`  ✓ ${name}: 사용 준비됨`);
+    else {
+      log(`  ⚠ ${name}: ${r.missing.length ? `누락 ${r.missing.join(',')}` : ''}${r.expired ? ' · 토큰 만료 (재로그인 필요)' : ''}`);
+    }
+  }
+  if (!result.ok) process.exitCode = 1;
+}
+function credsRefreshTimestampCmd(root, service) {
+  root = absRoot(root || process.cwd());
+  if (!service) return fail('service 이름 필요');
+  const j = _readCredentials(root);
+  if (!j.services[service]) return fail(`등록된 서비스 없음: ${service} — leerness creds register 먼저`);
+  j.services[service].lastRefreshed = new Date().toISOString();
+  _writeCredentials(root, j);
+  ok(`creds refreshed: ${service} · lastRefreshed=${j.services[service].lastRefreshed}`);
+}
+
+// ---- (2) Incident Handler ----
+function _incidentsDir(root) { return path.join(absRoot(root), '.harness', 'incidents'); }
+function _saveIncident(root, payload) {
+  const dir = _incidentsDir(root);
+  mkdirp(dir);
+  const ts = new Date().toISOString().replace(/[:.]/g, '-');
+  const id = `inc-${ts}`;
+  const fp = path.join(dir, `${id}.json`);
+  writeUtf8(fp, JSON.stringify({ id, receivedAt: new Date().toISOString(), payload }, null, 2) + '\n');
+  return { id, path: fp };
+}
+function incidentListCmd(root) {
+  root = absRoot(root || process.cwd());
+  const dir = _incidentsDir(root);
+  if (!exists(dir)) { log('(incidents 없음 — leerness webhook serve 로 수신 가능)'); return; }
+  const files = fs.readdirSync(dir).filter(f => f.endsWith('.json')).sort().reverse();
+  if (has('--json')) {
+    const items = files.slice(0, 50).map(f => { try { return JSON.parse(read(path.join(dir, f))); } catch { return null; } }).filter(Boolean);
+    log(JSON.stringify({ total: files.length, items }, null, 2));
+    return;
+  }
+  log(`# leerness incident list (1.9.147)`);
+  log(`총 ${files.length}건${files.length > 20 ? ' (최근 20)' : ''}`);
+  for (const f of files.slice(0, 20)) {
+    try {
+      const j = JSON.parse(read(path.join(dir, f)));
+      const e = j.payload?.error || j.payload?.message || '(no description)';
+      log(`  ${j.id}  ·  ${String(e).slice(0, 80)}`);
+    } catch {}
+  }
+}
+function incidentShowCmd(root, id) {
+  root = absRoot(root || process.cwd());
+  const fp = path.join(_incidentsDir(root), `${id}.json`);
+  if (!exists(fp)) return fail(`incident 없음: ${id}`);
+  log(read(fp));
+}
+async function incidentHandleCmd(root, id) {
+  root = absRoot(root || process.cwd());
+  const dir = _incidentsDir(root);
+  let target = id;
+  if (!target) {
+    if (!exists(dir)) return fail('incidents 없음');
+    const files = fs.readdirSync(dir).filter(f => f.endsWith('.json')).sort();
+    if (!files.length) return fail('incidents 없음');
+    target = files[files.length - 1].replace('.json', '');
+  }
+  const fp = path.join(dir, `${target}.json`);
+  if (!exists(fp)) return fail(`incident 없음: ${target}`);
+  const j = JSON.parse(read(fp));
+  const p = _readPermissions(root);
+  log(`# leerness incident handle (1.9.147)`);
+  log(`incident: ${j.id}  ·  permission mode: ${p.mode || 'basic'}`);
+  const err = j.payload?.error || j.payload?.message || '';
+  const stack = j.payload?.stack || '';
+  log(`error: ${String(err).slice(0, 200)}`);
+  if (stack) log(`stack head:\n${String(stack).split('\n').slice(0, 4).join('\n')}`);
+  // (1) feature impact 자동 회수 — error 키워드 매칭
+  try {
+    const { nodes: fn } = _readFeatureGraph(root);
+    if (fn.length) {
+      const keywords = String(err).toLowerCase().match(/[\w가-힣]{3,}/g) || [];
+      const matched = fn.find(n => keywords.some(k => n.title.toLowerCase().includes(k)));
+      if (matched) {
+        const impacted = _featureImpactBfs(fn, matched.id);
+        log(`\n🔗 feature impact: ${matched.id} ${matched.title} → ${impacted.length} feature 영향`);
+        for (const it of impacted.slice(0, 5)) log(`  • ${it.id} ${it.title}`);
+      }
+    }
+  } catch {}
+  // (2) lessons 자동 회수
+  try {
+    const keywords = String(err).toLowerCase().match(/[\w가-힣]{4,}/g) || [];
+    if (keywords.length) {
+      const r = cp.spawnSync(process.execPath, [__filename, 'lessons', '--path', root, '--query', keywords[0], '--limit', '3'],
+        { encoding: 'utf8', timeout: 8000, env: { ...process.env, LEERNESS_NO_PROMPT: '1' } });
+      if (r.status === 0 && /총 \d+건 발견/.test(r.stdout)) {
+        const block = r.stdout.split('\n').slice(0, 12).join('\n');
+        log(`\n📚 관련 lessons:\n${block}`);
+      }
+    }
+  } catch {}
+  // (3) 권한 확인 후 자동 fix 시도 (MVP: dry-run — 실제 LLM 호출은 사용자가 leerness agent 로)
+  log(`\n💡 자동 fix 시도:`);
+  if (permissionCheck(root, 'shell.exec', 'npm')) {
+    log(`  • 권한 OK — verify-code 실행 권장: leerness verify-code .`);
+  } else {
+    log(`  ⚠ basic 권한 모드 — fix/test 자동 실행 불가. extended/full 로 변경: leerness permissions set extended`);
+  }
+  // (4) incident 상태 갱신
+  j.handledAt = new Date().toISOString();
+  j.permissionMode = p.mode || 'basic';
+  writeUtf8(fp, JSON.stringify(j, null, 2) + '\n');
+  ok(`incident handled: ${j.id} (분석/회수 완료)`);
+  log(`  → 후속: leerness agent "fix: ${String(err).slice(0, 80)}" / leerness verify-code . / leerness deploy auto`);
+}
+
+// ---- (3) Webhook Listener ----
+function _hmacSha256(key, body) {
+  const crypto = require('crypto');
+  return crypto.createHmac('sha256', key).update(body).digest('hex');
+}
+async function webhookServeCmd(root) {
+  root = absRoot(root || process.cwd());
+  const port = parseInt(arg('--port', process.env.LEERNESS_WEBHOOK_PORT || '9876'), 10);
+  const secret = arg('--secret', process.env.LEERNESS_WEBHOOK_SECRET || '');
+  const http = require('http');
+  log(`# leerness webhook serve (1.9.147)`);
+  log(`port: ${port}  ·  HMAC: ${secret ? '활성 (X-Leerness-Signature)' : '비활성 — LEERNESS_WEBHOOK_SECRET 권장'}`);
+  log(`incidents dir: ${rel(root, _incidentsDir(root))}`);
+  log(`POST endpoint: http://localhost:${port}/incident`);
+  log(`헬스 체크: curl http://localhost:${port}/health`);
+  const server = http.createServer(async (req, res) => {
+    const url = req.url || '';
+    if (req.method === 'GET' && url === '/health') {
+      res.writeHead(200, { 'Content-Type': 'application/json' });
+      res.end(JSON.stringify({ ok: true, version: VERSION, port }));
+      return;
+    }
+    if (req.method === 'POST' && url === '/incident') {
+      let body = '';
+      req.on('data', c => { body += c; if (body.length > 100000) { req.destroy(); } });
+      req.on('end', () => {
+        try {
+          if (secret) {
+            const sig = req.headers['x-leerness-signature'] || '';
+            const expected = _hmacSha256(secret, body);
+            if (sig !== expected) {
+              res.writeHead(401, { 'Content-Type': 'application/json' });
+              res.end(JSON.stringify({ ok: false, error: 'invalid signature' }));
+              return;
+            }
+          }
+          let payload;
+          try { payload = JSON.parse(body); } catch { payload = { raw: body }; }
+          const saved = _saveIncident(root, payload);
+          res.writeHead(202, { 'Content-Type': 'application/json' });
+          res.end(JSON.stringify({ ok: true, incident: saved.id }));
+          log(`📥 incident received: ${saved.id} · error="${String(payload?.error || payload?.message || '').slice(0, 80)}"`);
+        } catch (e) {
+          res.writeHead(500, { 'Content-Type': 'application/json' });
+          res.end(JSON.stringify({ ok: false, error: e.message }));
+        }
+      });
+      return;
+    }
+    res.writeHead(404); res.end('Not Found');
+  });
+  server.listen(port, () => {
+    ok(`listening on port ${port}`);
+    log(`(Ctrl+C 로 종료)`);
+  });
+  // 종료 시그널 (SIGINT/SIGTERM) 대기 — auto-close 안 함
+  process.on('SIGINT', () => { log('\n중단 신호 — 서버 종료'); server.close(); process.exit(0); });
+  process.on('SIGTERM', () => { server.close(); process.exit(0); });
+}
+
+// ---- (4) Deploy Auto ----
+async function deployAutoCmd(root, service) {
+  root = absRoot(root || process.cwd());
+  const j = _readCredentials(root);
+  if (!service) {
+    log('# leerness deploy auto (1.9.147)');
+    log('사용법: leerness deploy auto <service>');
+    log('등록된 서비스:');
+    for (const [name, meta] of Object.entries(j.services || {})) {
+      log(`  ${name}: ${meta.deployCommand || '(deploy 명령 미설정)'}`);
+    }
+    if (!Object.keys(j.services || {}).length) log('  (없음 — leerness creds register <service> --env-var <NAME> --deploy "<cmd>")');
+    return;
+  }
+  const meta = j.services?.[service];
+  if (!meta) return fail(`등록된 서비스 없음: ${service} — leerness creds register 먼저`);
+  if (!meta.deployCommand) return fail(`deploy 명령 미설정: ${service} — leerness creds register --deploy "<cmd>"`);
+  // 환경변수 + 만료 검증
+  const missing = (meta.envVars || []).filter(v => !process.env[v]);
+  if (missing.length) { fail(`환경변수 누락: ${missing.join(', ')} — .env 또는 OS keychain에서 export`); process.exitCode = 1; return; }
+  if (meta.tokenLifetimeHours && meta.lastRefreshed) {
+    const age = Date.now() - new Date(meta.lastRefreshed).getTime();
+    if (age > meta.tokenLifetimeHours * 3600 * 1000) {
+      warn(`⚠ ${service} 토큰 만료 가능 (${Math.floor(age / 3600000)}시간 경과 vs 한도 ${meta.tokenLifetimeHours}h)`);
+      log(`  → 재로그인 후: leerness creds refresh ${service}`);
+      if (!has('--force')) { process.exitCode = 1; return; }
+    }
+  }
+  // 권한 확인
+  if (!permissionCheck(root, 'shell.exec', meta.deployCommand.split(/\s+/)[0])) {
+    return fail(`shell.exec 권한 부족 (현재: ${_readPermissions(root).mode}) — leerness permissions set extended 권장`);
+  }
+  log(`# leerness deploy auto (1.9.147)`);
+  log(`service: ${service}  ·  command: ${meta.deployCommand}`);
+  if (has('--dry-run')) { log('(dry-run) 실제 실행 스킵'); return; }
+  const t0 = Date.now();
+  const r = cp.spawnSync(meta.deployCommand, [], { cwd: root, encoding: 'utf8', shell: true, timeout: 10 * 60 * 1000, stdio: 'inherit' });
+  const dt = Date.now() - t0;
+  if (r.status === 0) {
+    ok(`deploy 성공: ${service} (${dt}ms)`);
+    // lastRefreshed 자동 갱신 — 성공 시 만료 카운터 reset
+    j.services[service].lastRefreshed = new Date().toISOString();
+    _writeCredentials(root, j);
+    // task-log 기록
+    try { append(taskLogPath(root), `\n## ${today()} deploy auto (1.9.147)\n- service: ${service}\n- duration: ${dt}ms\n- status: success\n`); } catch {}
+  } else {
+    fail(`deploy 실패: ${service} (exit ${r.status}, ${dt}ms)`);
+    process.exitCode = 1;
+  }
+}
+
 // 1.9.85: leerness health — 종합 헬스 체크 (drift + 보안 + skill + MCP + 누적)
 function healthCmd(root) {
   root = absRoot(root || process.cwd());
@@ -10287,6 +10847,20 @@ async function main() {
   if (cmd === 'env' && args[1] === 'sync')  return envSyncCmd(args[2] || arg('--path', process.cwd()));
   // 1.9.145: 실행 환경 자동 감지 + 변동 추적 (사용자 명시)
   if (cmd === 'env' && args[1] === 'detect') return envDetectCmd(args[2] || arg('--path', process.cwd()));
+  // 1.9.146: agent 권한 시스템 + CLI 에이전트 모드 (사용자 명시 요청 #4, #5)
+  if (cmd === 'permissions' && args[1] === 'list') return permissionsListCmd(arg('--path', process.cwd()));
+  if (cmd === 'permissions' && args[1] === 'set')  return permissionsSetCmd(arg('--path', process.cwd()), args[2]);
+  if (cmd === 'agent') return agentCmd(arg('--path', process.cwd()), args.slice(1).filter(x => !x.startsWith('--')).join(' '));
+  // 1.9.147: 자동 유지보수 시스템 (사용자 명시 요청)
+  if (cmd === 'webhook' && args[1] === 'serve')   return webhookServeCmd(arg('--path', process.cwd()));
+  if (cmd === 'incident' && args[1] === 'list')   return incidentListCmd(arg('--path', process.cwd()));
+  if (cmd === 'incident' && args[1] === 'show')   return incidentShowCmd(arg('--path', process.cwd()), args[2]);
+  if (cmd === 'incident' && args[1] === 'handle') return incidentHandleCmd(arg('--path', process.cwd()), args[2]);
+  if (cmd === 'creds' && args[1] === 'list')      return credsListCmd(arg('--path', process.cwd()));
+  if (cmd === 'creds' && args[1] === 'register')  return credsRegisterCmd(arg('--path', process.cwd()), args[2]);
+  if (cmd === 'creds' && args[1] === 'check')     return credsCheckCmd(arg('--path', process.cwd()), args[2]);
+  if (cmd === 'creds' && args[1] === 'refresh')   return credsRefreshTimestampCmd(arg('--path', process.cwd()), args[2]);
+  if (cmd === 'deploy' && args[1] === 'auto')     return deployAutoCmd(arg('--path', process.cwd()), args[2]);
   // 1.9.85: leerness health — 종합 헬스 체크
   if (cmd === 'health') return healthCmd(args[1] || arg('--path', process.cwd()));
   if (cmd === 'whats-new') return whatsNewCmd(args[1] || arg('--path', process.cwd()));

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "leerness",
-  "version": "1.9.145",
+  "version": "1.9.147",
   "description": "Leerness: 비파괴 마이그레이션, 자동 버전 감지·업데이트, 계획/진행/핸드오프 자동화, 게으름·시크릿·인코딩 자동 가드, Claude Code 슬래시 통합을 갖춘 한국어 우선 AI 개발 하네스.",
   "keywords": [
     "leerness",

package/scripts/e2e.js

@@ -807,13 +807,14 @@ total++;
     && /\| gemini \|/.test(r1.stdout)
     && /\| copilot \|/.test(r1.stdout);
   // env 모두 0 → 비활성
-  const env2 = { ...process.env, LEERNESS_ENABLE_CLAUDE: '0', LEERNESS_ENABLE_CODEX: '0', LEERNESS_ENABLE_GEMINI: '0', LEERNESS_ENABLE_COPILOT: '0' };
+  // 1.9.146: Ollama 추가 → 5 CLI
+  const env2 = { ...process.env, LEERNESS_ENABLE_CLAUDE: '0', LEERNESS_ENABLE_CODEX: '0', LEERNESS_ENABLE_GEMINI: '0', LEERNESS_ENABLE_COPILOT: '0', LEERNESS_ENABLE_OLLAMA: '0' };
   const r2 = cp.spawnSync(process.execPath, [CLI, 'agents', 'list', '--json'], { encoding: 'utf8', timeout: 15000, env: env2 });
   let parsed = null;
   try { parsed = JSON.parse(r2.stdout); } catch {}
-  const okJson = parsed && Array.isArray(parsed.agents) && parsed.agents.length === 4 && parsed.agents.every(a => a.status !== 'ready');
+  const okJson = parsed && Array.isArray(parsed.agents) && parsed.agents.length === 5 && parsed.agents.every(a => a.status !== 'ready');
   const ok = okList && okJson;
-  console.log(ok ? '✓ B(1.9.30) agents list: 4 CLI 정의 + env 0 시 모두 비활성' : `✗ agents list 실패 (list=${okList} json=${okJson})`);
+  console.log(ok ? '✓ B(1.9.30+1.9.146) agents list: 5 CLI 정의 (claude/codex/gemini/copilot/ollama)' : `✗ agents list 실패 (list=${okList} json=${okJson})`);
   if (!ok) { failed++; console.log(r1.stdout.slice(0, 500)); }
 }
 
@@ -851,10 +852,11 @@ total++;
   const r2 = cp.spawnSync(process.execPath, [CLI, 'agents', 'quota', '--json'], { encoding: 'utf8', timeout: 15000, env });
   let parsed = null;
   try { parsed = JSON.parse(r2.stdout); } catch {}
-  const okJson = parsed && Array.isArray(parsed.quota) && parsed.quota.length === 4
+  // 1.9.146: Ollama 추가 → 5 CLI
+  const okJson = parsed && Array.isArray(parsed.quota) && parsed.quota.length === 5
     && parsed.quota.every(q => typeof q.id === 'string' && typeof q.status === 'string' && (q.hint === null || typeof q.hint === 'string'));
   const ok = okText && okJson;
-  console.log(ok ? '✓ B(1.9.31) agents quota: 4 CLI 사용량/안내 + JSON 출력' : `✗ quota 실패 (text=${okText} json=${okJson})`);
+  console.log(ok ? '✓ B(1.9.31+1.9.146) agents quota: 5 CLI 사용량/안내' : `✗ quota 실패 (text=${okText} json=${okJson})`);
   if (!ok) { failed++; console.log(r.stdout.slice(0, 500)); }
 }