leerness 1.9.434 → 1.9.436

package/CHANGELOG.md

@@ -1,5 +1,31 @@
 # Changelog
 
+## 1.9.436 — 2026-06-08 — 시크릿 스캐너 all-X/0 placeholder FP 차단 (11th 외부평가 Opus P3, UR-0139)
+
+**🔑 `AKIAXXXXXXXXXXXXXXXX`(전부 X 더미)를 실키로 오탐하던 FP — prefix 보다 우선하는 더미 가드.**
+
+### 변경
+- **`_isPlaceholderSecret`**: 본문(alnum)에 **동일문자 8+연속**(`XXXXXXXX`/`00000000`/`aaaaaaaa`)이 있으면 실키 prefix(akia/sk- 등) 여부와 무관하게 placeholder 로 판정. 암호학적 실키는 고엔트로피라 8연속이 없어 무영향.
+- 기존 `hasRealPrefix → 실키` 규칙보다 앞에 배치(AKIA 등 prefix + 더미 본문 FP 해소).
+
+### 검증 (회귀 0)
+- AKIA all-X / sk-0000… → placeholder(미탐). 실키스러움/`sk-test-…`/`ghp_…` 토큰 → 탐지 유지.
+- **selftest 180→181 PASS** · **E2E 무회귀**.
+
+### UR-0139 잔여
+contract impl ESM re-export(`export {default as X} from`/`export *`) 인식 + encoding CRLF 미탐지는 후속.
+
+## 1.9.435 — 2026-06-08 — agents dispatch task flag-value 흡수 차단 (11th 외부평가 Codex P2, UR-0137)
+
+**🧹 `agents dispatch "<task>" --to codex` 의 생성 명령에 `codex`(또는 경로)가 task 본문으로 섞이던 문제.**
+
+### 변경
+- **`lib/agents.js` dispatch/multi `_taskArg`**: 상위(bin)에서 `--to` flag 는 제거되나 그 값(codex)은 positional 로 남아 기존 `filter(!startsWith('-'))` 가 task 에 흡수시켰음. → 첫 flag 에서 break + lib 가 소비하는 값-flag(`--to`/`--model`/`--role`/`--only`) 값을 task 에서 제외. 명시 task 는 `--task` 폴백.
+- 결과: `dispatch "REVIEWTASK" --to codex --path X` → 생성 명령 `codex exec … "REVIEWTASK"`(codex/경로 미흡수). 양쪽 인자 순서 안전.
+
+### 검증 (회귀 0)
+- **selftest 179→180** + **E2E 신규 B(1.9.435)**: dispatch task 에 `--to`/경로 값 흡수 없음.
+
 ## 1.9.434 — 2026-06-08 — health/drift/status 미존재 경로 exit 1 통일 (11th 외부평가 Opus P2, UR-0136)
 
 **🚧 존재하지 않는 경로를 "healthy"로 위조 보고하던 문제 — CI 게이트 안전성.**

package/README.md

@@ -3,7 +3,7 @@
 > **AI 코딩 에이전트의 거짓 완료·중복·망각·충돌을 막아주는 검수·기억·협업 CLI 하네스.**
 > **A CLI harness that stops AI coding agents from faking completion, duplicating work, forgetting context, and colliding.**
 
-[![npm](https://img.shields.io/badge/npm-leerness-blue)](https://www.npmjs.com/package/leerness) [![version](https://img.shields.io/badge/version-1.9.434-green)]() [![tests](https://img.shields.io/badge/e2e-358%2F358-success)]() [![selftest](https://img.shields.io/badge/selftest-179-success)]() [![mcp](https://img.shields.io/badge/MCP--tools-85-brightgreen)]() [![providers](https://img.shields.io/badge/AI_providers-10-brightgreen)]() [![license](https://img.shields.io/badge/license-MIT-lightgrey)]()
+[![npm](https://img.shields.io/badge/npm-leerness-blue)](https://www.npmjs.com/package/leerness) [![version](https://img.shields.io/badge/version-1.9.436-green)]() [![tests](https://img.shields.io/badge/e2e-359%2F359-success)]() [![selftest](https://img.shields.io/badge/selftest-181-success)]() [![mcp](https://img.shields.io/badge/MCP--tools-85-brightgreen)]() [![providers](https://img.shields.io/badge/AI_providers-10-brightgreen)]() [![license](https://img.shields.io/badge/license-MIT-lightgrey)]()
 
 ```
   ╔══════════════════════════════════════════════════════════════╗
@@ -471,7 +471,7 @@ MIT — © leerness contributors
 <!-- leerness:project-readme:start -->
 ## Leerness Project Harness
 
-이 프로젝트는 Leerness v1.9.434 하네스를 사용합니다. AI 에이전트는 작업 전 `leerness handoff`로 컨텍스트를 적재하고, 작업 후 `leerness check`/`leerness audit`/`leerness session close`를 수행해야 합니다.
+이 프로젝트는 Leerness v1.9.436 하네스를 사용합니다. AI 에이전트는 작업 전 `leerness handoff`로 컨텍스트를 적재하고, 작업 후 `leerness check`/`leerness audit`/`leerness session close`를 수행해야 합니다.
 
 ### 정체성 — AI 에이전트 운영 레이어 (UR-0030)
 
@@ -525,7 +525,7 @@ leerness memory restore decision <date|title>
 
 ### MCP server (외부 AI 통합)
 
-Leerness v1.9.434는 stdio JSON-RPC MCP server를 내장합니다 — Claude Code · Cursor · Codex CLI 등 외부 AI에 **85개 도구**를 노출:
+Leerness v1.9.436는 stdio JSON-RPC MCP server를 내장합니다 — Claude Code · Cursor · Codex CLI 등 외부 AI에 **85개 도구**를 노출:
 
 ```jsonc
 // 카테고리별
@@ -546,7 +546,7 @@ Leerness v1.9.434는 stdio JSON-RPC MCP server를 내장합니다 — Claude Cod
 `<<autonomous-loop-dynamic>>` 신호만 보내면 AI가:
 1) 다음 라운드 후보 선정 → 2) 코드 변경 → 3) stress-v* 신규 작성 + 누적 회귀 → 4) e2e 219/219 → 5) npm pack + git tag + GitHub release → 6) main 자동 push (1.9.140+) → 7) session close → 8) 다음 라운드 예약.
 
-현재 누적: **70 라운드 (1.9.40 → 1.9.434)** · 매 라운드 GitHub release/태그 생성 · _reports/는 비공개 보존.
+현재 누적: **70 라운드 (1.9.40 → 1.9.436)** · 매 라운드 GitHub release/태그 생성 · _reports/는 비공개 보존.
 
 ### 성능 가이드 (1.9.140 측정)
 
@@ -584,6 +584,6 @@ leerness release pack --close --auto-main-push
 - `.harness/session-handoff.md`: 다음 세션 인수인계 (자동 작성)
 - `.harness/lessons.md` / `decisions.md` / `rules.md`: 영구 메모리 (5 surface)
 
-Last synced by Leerness v1.9.434: 2026-06-07
+Last synced by Leerness v1.9.436: 2026-06-07
 <!-- leerness:project-readme:end -->
 

package/bin/leerness.js

@@ -31,7 +31,7 @@ const { _evidenceQuality, _parseEvidenceStats, _shellGuardAnalyze, _claimFileInG
 // 1.9.295 (UR-0025 4단계): 정적 데이터 카탈로그 모듈 분리 (비파괴, require-based).
 const { CAPABILITY_SURFACE, POWERFUL_COMMANDS, ADAPTERS, REUSE_CATEGORIES, REUSE_CHECKLIST, _DEFAULT_PLATFORM_CONSTRAINTS, _DEFAULT_DOMAIN_CATALOG, _LSP_LANG_PATTERNS, OPTIMISM_PATTERNS, BUILT_IN_PERSONAS, STRINGS, BUILTIN_CATALOG, ROADMAP_STATUS_LABEL, ROADMAP_STATUS_COLOR, SECRET_PATTERNS, MERGE_OVERWRITE_FILES, MINIMAL_SKIP_KEYS, REQUIRED_WORKSPACE_FILES, KEYWORD_STOPWORDS, SKILL_CATALOG_PRESETS } = require('../lib/catalogs');  // 1.9.344/368/369 (UR-0025): catalog 분리 (MERGE_OVERWRITE_FILES/MINIMAL_SKIP_KEYS 포함)
 
-const VERSION = '1.9.434';
+const VERSION = '1.9.436';
 
 // 1.9.290 (UR-0037, Codex gpt-5.5 #4 수렴): CLI 전용 부작용은 require 시 실행하지 않는다.
 //   이전: warning listener 제거 / NODE_OPTIONS 변경 / chcp IIFE 가 top-level 즉시 실행 → require('harness') 시 호스트 프로세스 오염.
@@ -3267,6 +3267,17 @@ function _selfTestCases() {
       const src = read(__filename);
       return guard(hSrc) && guard(dSrc) && guard(src);  // status(bin) 도 동일 가드
     } },
+    { name: '11th 외부평가 Codex P2 (UR-0137): agents dispatch task 에 flag 값(--to/--model 등) 흡수 차단 (1.9.435)', run: () => {
+      const modSrc = read(path.join(path.dirname(__filename), '..', 'lib', 'agents.js'));
+      return modSrc.includes('const _taskArg = () =>') && modSrc.includes("const consumed = new Set([arg('--to', null)") && modSrc.includes('if (consumed.has(a)) continue;');
+    } },
+    { name: '11th 외부평가 Opus P3 (UR-0139): 시크릿 all-X/0 placeholder FP — 동일문자 8+연속은 prefix 무관 더미 (1.9.436)', run: () => {
+      const m = require('../lib/pure-utils');
+      return m._isPlaceholderSecret('AKIA' + 'X'.repeat(16)) === true   // all-X 더미
+        && m._isPlaceholderSecret('sk-' + '0'.repeat(22)) === true       // all-0 더미
+        && m._isPlaceholderSecret('sk-test-1234567890abcdefghijklmnopqrstuvwxyz') === false  // 테스트 픽스처 탐지 유지
+        && m._isPlaceholderSecret('ghp_abcdefghijklmnopqrstuvwxyz123456') === false;          // GitHub 토큰 탐지 유지
+    } },
     { name: 'VERSION 형식 (x.y.z)', run: () => /^\d+\.\d+\.\d+$/.test(VERSION) }
   ];
 }

package/lib/agents.js

@@ -12,6 +12,15 @@ const { EXTERNAL_AGENTS, AGENT_SLASH_COMMANDS } = require('./agent-registry');
 function agentsCmd(root, sub, args = [], deps = {}) {
   const { VERSION, has, arg, _agentSlashHint, _allProviders, _checkAgent, _cliChat, _dispatchCommand, _loadEnvFile, _normalizeRole, _policyEnforce, _readUserProviders, _recommendAgent, _recordRun, _resolveRole, _shellQuoteArg, lessonsPath, taskLogPath } = deps;
   root = absRoot(root || process.cwd());
+  // 1.9.435 (11th 외부평가 Codex P2, UR-0137): dispatch/multi task 파싱 — flag 값이 task 본문에 흡수되던 버그 수정.
+  //   상위(bin)에서 args 는 '--to' flag 만 제거되고 값(codex)은 positional 로 남아 기존 filter 가 task 에 흡수시켰음.
+  //   → flag 에서 break + lib 가 소비하는 값-flag(--to/--model/--role/--only) 값을 제외. 명시 task 는 --task 폴백.
+  const _taskArg = () => {
+    const consumed = new Set([arg('--to', null), arg('--model', null), arg('--role', null), arg('--only', null)].filter(Boolean));
+    const p = [];
+    for (const a of args) { if (a.startsWith('-')) break; if (consumed.has(a)) continue; p.push(a); }
+    return p.join(' ').trim() || arg('--task', null);
+  };
   // .env 자동 로드 (1.9.22)
   _loadEnvFile(root);
   _loadEnvFile(path.join(root, '..'));
@@ -63,7 +72,7 @@ function agentsCmd(root, sub, args = [], deps = {}) {
   // 1.9.152: agents multi — 1.9.151 install 복수 선택된 ready 에이전트들에 일괄 dispatch 명령 생성
   // 단일 task → 활성 N개 에이전트 동시 dispatch 명령들. 사용자가 한 번에 복사 실행하거나 메인 에이전트가 spawn.
   if (sub === 'multi') {
-    const task = args.filter(x => !x.startsWith('-')).join(' ').trim() || arg('--task', null);
+    const task = _taskArg();
     if (!task) { fail('multi "<task>" 또는 --task 필요'); return process.exit(1); }
     const onlyArg = arg('--only', null);  // 'claude,codex' 처럼 콤마 구분 — 활성 중에서 추가 필터
     const writeMode = has('--write');
@@ -228,7 +237,7 @@ function agentsCmd(root, sub, args = [], deps = {}) {
     return;
   }
   if (sub === 'dispatch') {
-    const task = args.filter(x => !x.startsWith('-')).join(' ').trim() || arg('--task', null);
+    const task = _taskArg();
     let target = arg('--to', null);
     if (!task) { fail('dispatch "<task>" 또는 --task 필요'); return process.exit(1); }
     // 1.9.152: --multi 또는 --to=all 또는 --to 없음 + 활성 ≥2 → multi 모드로 routing
@@ -308,7 +317,7 @@ function agentsCmd(root, sub, args = [], deps = {}) {
 
   if (sub === 'bench') {
     // 1.9.36: 같은 prompt를 ready CLI 모두에 동시 호출 + 시간/응답 길이/exit code 비교
-    const task = args.filter(x => !x.startsWith('-')).join(' ').trim() || arg('--task', null);
+    const task = _taskArg();
     if (!task) { fail('bench "<task>" 필요'); return process.exit(1); }
     const timeoutS = parseInt(arg('--timeout', '60'), 10);
     const writeMode = has('--write');

package/lib/pure-utils.js

@@ -634,6 +634,8 @@ function _isPlaceholderSecret(value) {
   const distinct = new Set(alnum).size;
   const hasMarker = v.includes('example') || v.includes('placeholder') || v.includes('change-me') || v.includes('changeme') || v.includes('replace-me') || v.includes('your-') || v.includes('your_') || v.includes('my-secret') || v.includes('xxxx') || v.includes('<') || v.includes('${') || v.includes('{{');
   const hasRealPrefix = /^(?:sk-|sk-proj-|pk_|rk_|akia|ghp_|gho_|ghs_|ghr_|github_pat_|xox[baprs]-|aiza|ya29\.|glpat-|-----begin)/.test(v);
+  // 1.9.436 (11th 외부평가 Opus P3): prefix 가 있어도 본문이 동일문자 8+연속(AKIAXXXX…/…00000000…)이면 명백한 더미 → placeholder. 실키는 고엔트로피라 무영향.
+  if (/(.)\1{7,}/.test(alnum)) return true;
   // 실키 prefix → 항상 실키(마커 무시). 그 외 마커 단어 있으면 placeholder(고엔트로피여도). prefix 없고 마커 없고 고엔트로피 → 실키.
   if (hasRealPrefix) return false;
   if (hasMarker) return true;

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "leerness",
-  "version": "1.9.434",
+  "version": "1.9.436",
   "description": "Leerness: 비파괴 마이그레이션, 자동 버전 감지·업데이트, 계획/진행/핸드오프 자동화, 게으름·시크릿·인코딩 자동 가드, Claude Code 슬래시 통합을 갖춘 한국어 우선 AI 개발 하네스.",
   "keywords": [
     "leerness",

package/scripts/e2e.js

@@ -6056,5 +6056,22 @@ total++;
   if (!ok) failed++;
 }
 
+// 1.9.435 (11th 외부평가 Codex P2, UR-0137): agents dispatch task 에 flag 값(--to 의 codex) 흡수 금지.
+total++;
+{
+  let ok = false;
+  try {
+    const d = fs.mkdtempSync(path.join(os.tmpdir(), 'leerness-disp-'));
+    cp.spawnSync(process.execPath, [CLI, 'init', d, '--yes', '--language', 'ko'], { encoding: 'utf8', timeout: 30000 });
+    const r = cp.spawnSync(process.execPath, [CLI, 'agents', 'dispatch', 'REVIEWTASK', '--to', 'codex', '--path', d], { encoding: 'utf8', timeout: 20000, env: { ...process.env, LEERNESS_ENABLE_CODEX: '1' } });
+    const out = r.stdout || '';
+    // dispatch 명령에 task 가 정확히 "REVIEWTASK" 로만 인용되어야(코덱스/경로 흡수 없음)
+    ok = /"REVIEWTASK"/.test(out) && !/"REVIEWTASK codex"/.test(out) && !/REVIEWTASK.*tmp/.test(out);
+    fs.rmSync(d, { recursive: true, force: true });
+  } catch {}
+  console.log(ok ? '✓ B(1.9.435) UR-0137: agents dispatch task 에 --to/경로 값 흡수 없음' : '✗ agents dispatch flag bleed');
+  if (!ok) failed++;
+}
+
 console.log(`\nE2E result: ${total - failed}/${total} passed · ${((Date.now() - _e2eStart) / 1000).toFixed(0)}s`);
 if (failed > 0) process.exit(1);