npm - oh-my-customcode - Versions diffs - 0.141.0 → 0.143.0 - Mend

oh-my-customcode 0.141.0 → 0.143.0

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (13) hide show

package/README.md +5 -5
package/dist/cli/index.js +1 -1
package/dist/index.js +1 -1
package/package.json +1 -1
package/templates/.claude/skills/instinct-extractor/SKILL.md +176 -0
package/templates/.claude/skills/profile/SKILL.md +57 -0
package/templates/.claude/skills/sec-agentshield-wrapper/SKILL.md +174 -0
package/templates/CLAUDE.md +2 -2
package/templates/README.md +1 -1
package/templates/guides/profiles/manifest-install.md +177 -0
package/templates/guides/security/agentshield-pre-flight.md +196 -0
package/templates/guides/skill-promotion/instinct-extraction.md +114 -0
package/templates/manifest.json +109 -4

package/README.md CHANGED Viewed

@@ -13,7 +13,7 @@
 **[한국어 문서 (Korean)](./README_ko.md)**
-49 agents. 119 skills. 23 rules. One command.
+49 agents. 121 skills. 23 rules. One command.
 ```bash
 npm install -g oh-my-customcode && cd your-project && omcustom init
@@ -132,7 +132,7 @@ Each agent declares its tools, model, memory scope, and limitations in YAML fron
 ---
-### Skills (119)
+### Skills (121)
 | Category | Count | Includes |
 |----------|-------|----------|
@@ -222,7 +222,7 @@ Key rules: R010 (orchestrator never writes files), R009 (parallel execution mand
 ---
-### Guides (54)
+### Guides (57)
 Reference documentation covering best practices, architecture decisions, and integration patterns. Located in `guides/` at project root, covering topics from agent design to CI/CD to observability.
@@ -272,14 +272,14 @@ your-project/
 ├── CLAUDE.md                   # Entry point
 ├── .claude/
 │   ├── agents/                 # 49 agent definitions
-│   ├── skills/                 # 119 skill modules
+│   ├── skills/                 # 121 skill modules
 │   ├── rules/                  # 22 governance rules (R000-R021)
 │   ├── hooks/                  # 15 lifecycle hook scripts
 │   ├── schemas/                # Tool input validation schemas
 │   ├── specs/                  # Extracted canonical specs
 │   ├── contexts/               # 4 shared context files
 │   └── ontology/               # Knowledge graph for RAG
-└── guides/                     # 54 reference documents
+└── guides/                     # 57 reference documents
 ```
 ---

package/dist/cli/index.js CHANGED Viewed

@@ -2334,7 +2334,7 @@ var init_package = __esm(() => {
     workspaces: [
       "packages/*"
     ],
-    version: "0.141.0",
+    version: "0.143.0",
     description: "Batteries-included agent harness for Claude Code",
     type: "module",
     bin: {

package/dist/index.js CHANGED Viewed

@@ -2014,7 +2014,7 @@ var package_default = {
   workspaces: [
     "packages/*"
   ],
-  version: "0.141.0",
+  version: "0.143.0",
   description: "Batteries-included agent harness for Claude Code",
   type: "module",
   bin: {

package/package.json CHANGED Viewed

@@ -3,7 +3,7 @@
   "workspaces": [
     "packages/*"
   ],
-  "version": "0.141.0",
+  "version": "0.143.0",
   "description": "Batteries-included agent harness for Claude Code",
   "type": "module",
   "bin": {

package/templates/.claude/skills/instinct-extractor/SKILL.md ADDED Viewed

@@ -0,0 +1,176 @@
+---
+name: instinct-extractor
+description: 다중 세션 transcript에서 반복 실패 패턴(instinct)을 자동 채굴하여 신규 skill candidate 생성
+scope: core
+user-invocable: true
+argument-hint: "[--days <n>] [--min-repeat <n>] [--dry-run]"
+version: 0.1.0
+effort: medium
+---
+# Instinct Extractor
+세션 transcript 시계열에서 _instinct_ (실패 학습 + 대응 본능) 패턴을 자동 채굴하여 신규 skill candidate를 생성한다.
+R016 연속 개선 루프의 자동화 단계로, 사람이 명시적으로 호출하거나 R016 Skill Promotion 트리거(동일 패턴 3회 이상 반복)에 의해 자동 실행된다.
+## skill-extractor와의 차별점
+| 자산 | trigger | input | output |
+|------|---------|-------|--------|
+| `skill-extractor` | 명시 호출 (`--mode success` / `--mode failure`) | 단일 세션 task trajectory + feedback memory | SKILL.md candidate |
+| `instinct-extractor` | 자동/스케줄 (R016 3회 반복 트리거) | 다중 세션 transcript 시계열 (N일 범위) | failure pattern + 대응 본능 클러스터 → SKILL.md candidate |
+**보완 관계**: `skill-extractor --mode failure`는 현재 세션의 feedback memory를 분석한다.
+`instinct-extractor`는 여러 세션을 가로질러 시계열 패턴을 채굴한다.
+두 스킬은 경쟁하지 않으며, instinct-extractor가 발견한 후보를 skill-extractor의 결과물과 교차 검증하는 것을 권장한다.
+## Usage
+```
+/instinct-extractor                    # 최근 14일 transcript 분석
+/instinct-extractor --days 30          # 분석 범위 확장
+/instinct-extractor --min-repeat 2     # 반복 임계값 낮춤 (기본: 3)
+/instinct-extractor --dry-run          # 제안만 출력, 파일 미생성
+```
+## Options
+```
+--days, -d         분석할 transcript 범위 (일 단위, 기본: 14)
+--min-repeat, -r   instinct 후보 최소 반복 횟수 (기본: 3)
+--dry-run          후보 목록만 stdout 출력, mgr-creator 위임 없음
+--cluster-only     클러스터링 결과만 출력, SKILL.md 제안 없음
+```
+## 입력
+```
+~/.claude/projects/*/session-*.jsonl   # Claude Code 세션 transcript
+.claude/agent-memory*/feedback_*.md   # 누적 feedback memory (보조)
+```
+transcript 파일이 없을 경우: `"분석 가능한 transcript 없음 (--days 범위 내)"` 보고 후 종료.
+## 워크플로우
+### Phase 1: Transcript 스캔
+```bash
+# 분석 대상 수집
+find ~/.claude/projects -name "session-*.jsonl" \
+  -newer $(date -v-${DAYS}d +%Y-%m-%dT00:00:00) 2>/dev/null
+```
+각 transcript에서 다음 이벤트 추출:
+- `type: "error"` — 오류 발생 기록
+- `type: "correction"` — 사용자 수정 지시
+- `type: "feedback"` — 부정 피드백 (`"no"`, `"wrong"`, `"don't"` 키워드 포함)
+- `type: "retry"` — 동일 작업 재시도
+### Phase 2: 패턴 클러스터링
+추출된 이벤트를 `(domain, action_verb, error_class)` 튜플로 그룹화:
+```
+Cluster: (agent-design, write, missing-frontmatter)
+  → sessions: [s1, s3, s7], count: 4
+  → first_seen: 2026-05-01, last_seen: 2026-05-15
+  → example_corrections: ["bypassPermissions 누락", "name 필드 없음"]
+```
+필터링 기준:
+- `count >= --min-repeat` (기본: 3)
+- `last_seen` >= 7일 이내 (오래된 패턴 제외)
+- 기존 skill과 80% 이상 키워드 겹침 → 새 skill 대신 기존 skill 업데이트 제안
+### Phase 3: Instinct 후보 생성
+각 클러스터를 "instinct 후보"로 명명:
+```
+instinct: prevent-missing-bypassPermissions
+  근거: 4회 반복 (2주), agent spawn 시 mode 누락
+  대응 패턴: spawn 전 bypassPermissions 자가 체크
+  제안 자산: 기존 R010 강화 OR 신규 guard skill
+```
+**분류 기준**:
+| 패턴 성격 | 권장 자산 |
+|-----------|----------|
+| 동일 실수 반복 (행동 교정) | feedback memory 강화 |
+| 워크플로우 절차 누락 | 기존 skill 섹션 추가 |
+| 명확한 재사용 루틴 | 신규 SKILL.md 제안 |
+| 규칙 미준수 (R007~R022) | 해당 rule 자가 체크 섹션 강화 제안 |
+context fork cap (12개) 확인: 신규 skill이 `context: fork` 필요 시 현재 사용량 체크.
+현재 cap: 10/12 (secretary/dev-lead/de-lead/qa-lead-routing, dag-orchestration, task-decomposition, worker-reviewer-pipeline, deep-plan, professor-triage, roundtable-debate).
+### Phase 4: 사용자 제시
+```
+[instinct-extractor] {N}개 instinct 후보 발견 (최근 {DAYS}일, {M}개 세션)
+  1. [high] prevent-missing-bypassPermissions
+     반복: 4회 | 마지막: 2026-05-15 | 도메인: agent-design
+     대응 본능: spawn 전 mode 체크 → skill 후보: bypassPermissions-guard
+  2. [medium] transcript-scan-format-mismatch
+     반복: 3회 | 마지막: 2026-05-10 | 도메인: memory
+     대응 본능: JSONL 파싱 전 format 버전 체크
+생성할 항목 선택 [1-N], "all", 또는 "skip":
+```
+### Phase 5: Skill Candidate 생성 (승인 시)
+mgr-creator에 위임:
+- 후보 이름 및 설명
+- 클러스터 데이터 (반복 횟수, 예시 수정 사항)
+- 분류 결과 (신규 skill / 기존 확장 / rule 강화)
+- 기존 skill과의 겹침 경고
+## 아티팩트 출력
+```
+.claude/outputs/sessions/{YYYY-MM-DD}/instinct-extractor-{HHmmss}.md
+```
+CC v2.1.121+ 환경에서 `.claude/outputs/` 직접 Write 가능 (`bypassPermissions` 모드).
+CC < v2.1.121 환경: `/tmp/instinct-extractor-{ts}.md` 경유 후 이동.
+## R016 자동화 연동
+R016 Defect Response Matrix의 "Skill Promotion" 조건:
+> feedback memory가 동일 패턴으로 3회 이상 반복 → skill-extractor `--mode failure` 실행 권장
+`instinct-extractor`는 이 조건을 **cross-session 범위로 확장**한다:
+- 단일 세션의 feedback memory 분석 → `skill-extractor --mode failure`
+- 다중 세션 시계열 채굴 → `instinct-extractor`
+R016 트리거 감지 시 오케스트레이터는 두 스킬을 순차 실행하여 결과를 교차 검증할 수 있다.
+## 통합
+| 시스템 | 연동 방식 |
+|--------|----------|
+| `skill-extractor --mode failure` | 보완 관계 — 결과 교차 검증 권장 |
+| R016 (continuous-improvement) | 3회 반복 트리거 → 자동 실행 후보 |
+| mgr-creator | 승인된 후보 SKILL.md 생성 위임 |
+| sys-memory-keeper | 채굴 결과를 project memory로 보존 |
+| feedback-collector | feedback 이벤트 소스 공유 |
+| R011 (memory) | User Model의 Override Decisions 반영 |
+## 안전 규칙
+- **사용자 승인 필수**: skill 자동 생성 없음, 항상 사용자 확인 후 mgr-creator 위임
+- **중복 체크**: 기존 skill과 80%+ 겹침 시 신규 생성 대신 업데이트 권장
+- **dry-run 모드**: 부작용 없는 미리보기
+- **context fork cap 체크**: `context: fork` 필요 skill은 cap(12) 초과 여부 사전 확인
+## 한계
+- **transcript 형식 의존**: CC `session-*.jsonl` 스키마 변경 시 파싱 재구현 필요.
+  AgentMemory 마이그레이션(#1169, Phase 3 DECOUPLE) 완료 후 transcript 경로/형식 재검토 예정.
+- **클러스터링 정확도**: 키워드 기반 클러스터링으로 의미적 동의어 처리 제한.
+- **Phase γ 제약**: #1169 AgentMemory Phase 3 이전에는 transcript 형식 불안정 — `--dry-run` 권장.

package/templates/.claude/skills/profile/SKILL.md CHANGED Viewed

@@ -137,3 +137,60 @@ IMPORTANT: Restart this Claude Code session for plugin changes to take effect.
 - Profiles define a subset: plugins not listed in `enabled` or `disabled` keep their current state
 - Profile JSON `enabled`/`disabled` lists use full plugin keys: `<name>@<marketplace>` format
 - All `.claude/` writes use the /tmp bypass pattern (see Implementation rules above)
+## Manifest Profile Integration
+`templates/manifest.json` 의 `profiles` 키는 **자산 필터링** (에이전트·스킬·가이드 범위)을 정의합니다. 기존 `.claude/profiles/*.json` 의 **플러그인 전환** 역할과 분리된 개념입니다.
+### 두 프로필 시스템 비교
+| 시스템 | 경로 | 역할 | 적용 시점 |
+|--------|------|------|-----------|
+| Plugin profiles | `.claude/profiles/*.json` | `~/.claude/settings.json` plugin on/off | 세션 재시작 후 |
+| Manifest profiles | `templates/manifest.json#profiles` | 설치 시 에이전트·스킬·가이드 범위 지정 | `omcustom install --profile <name>` |
+### Manifest Profile 사용 시나리오
+```bash
+# 최소 자산으로 설치 (학습·실험 환경)
+omcustom install --profile minimal
+# Web 앱 개발 전용 자산 설치
+omcustom install --profile web-app
+# 데이터 엔지니어링 전용 자산 설치
+omcustom install --profile data-eng
+# 전체 자산 설치 (기본값)
+omcustom install --profile full
+# 또는 (profile 생략 시 full과 동일)
+omcustom install
+```
+### include 패턴 해석 규칙
+| 패턴 | 의미 | 예시 |
+|------|------|------|
+| `"*"` | 해당 카테고리 전체 포함 | `"include": "*"` |
+| `"mgr-*"` | glob 패턴, 접두사 매칭 | mgr-creator, mgr-gitnerd 등 |
+| `{"scope": "core"}` | SKILL.md의 scope 필드 기준 | scope: core인 스킬 전체 |
+| `"react-best-practices"` | 특정 스킬/가이드 이름 | 해당 항목만 포함 |
+### Plugin + Manifest 프로필 연동 가이드
+동일 이름(예: `web-app`)으로 두 시스템을 함께 사용할 수 있습니다:
+```bash
+# 1. Manifest profile로 자산 설치
+omcustom install --profile web-app
+# 2. Plugin profile로 플러그인 전환
+/profile load web-app
+```
+두 시스템은 독립적이므로 어느 하나만 사용해도 무방합니다.
+### 관련 문서
+- `guides/profiles/manifest-install.md` — 전체 사용 가이드 및 프로필별 자산 표
+- `templates/manifest.json#profiles` — 프로필 정의 소스

package/templates/.claude/skills/sec-agentshield-wrapper/SKILL.md ADDED Viewed

@@ -0,0 +1,174 @@
+---
+name: sec-agentshield-wrapper
+description: Pre-flight security analysis before code changes — identifies trust boundary risks, dangerous patterns, and provides proceed/caution/block advisory before implementation starts
+scope: core
+version: 0.1.0
+user-invocable: true
+effort: medium
+argument-hint: '"<파일/영역 설명> — <변경 의도>"'
+---
+# 보안 사전 분석 Wrapper (sec-agentshield-wrapper)
+코드 작업을 시작하기 전에 보안 위험을 사전 식별하는 pre-flight 스킬.
+작업 진입 전 단계에서 트러스트 경계, 위험 패턴, 권한 변경을 분석하여 진행 여부 advisory를 제공한다.
+## 기존 보안 자산과의 차별점
+| 자산 | 시점 | 강점 | 약점 |
+|------|------|------|------|
+| `sec-codeql-expert` | post-write (작성 후 분석) | CodeQL 정적 분석, CVE 매칭, SARIF 출력 | 코드가 이미 작성된 후 문제 발견 |
+| `adversarial-review` | post-write (리뷰 단계) | 공격자 마인드, STRIDE+OWASP 4단계 리뷰 | 구현 완료 후 대규모 수정 필요할 수 있음 |
+| `cve-triage` | issue-triggered (CVE 발생 후) | CVE 평가, 재현 분석, 패치 검증 | 알려진 CVE에만 반응, 사전 예방 불가 |
+| **sec-agentshield-wrapper** | **pre-write (작업 시작 전)** | **사전 차단, 작업 진입 전 위험 식별** | 휴리스틱 기반, 구현 세부사항 미파악 |
+**핵심 차별점**: 이 스킬은 코드를 쓰기 _전에_ 실행한다. 작업 범위와 의도만으로 위험 패턴을 식별하여 설계 단계에서 보안 방향을 잡는다.
+## 워크플로우
+### 입력 형식
+```
+/sec-agentshield-wrapper "<변경 대상 파일/영역> — <변경 의도>"
+```
+예시:
+```
+/sec-agentshield-wrapper "auth-middleware.ts — refresh token 처리 추가"
+/sec-agentshield-wrapper "UserController.java — 외부 API 호출 기능 추가"
+/sec-agentshield-wrapper "upload.py — 파일 업로드 엔드포인트 신규 구현"
+```
+### 1단계: 트러스트 경계 영역 식별
+변경 대상 파일/영역이 트러스트 경계에 해당하는지 판단한다.
+**고위험 영역 분류**:
+| 영역 유형 | 예시 | 위험 수준 |
+|-----------|------|-----------|
+| 인증/인가 로직 | auth, jwt, session, permission | CRITICAL |
+| 외부 입력 처리 | request body, query params, file upload | HIGH |
+| 외부 API 호출 | HTTP client, SDK wrapper, webhook | HIGH |
+| 데이터 직렬화 | JSON parse, YAML, XML | MEDIUM |
+| 파일 시스템 접근 | read/write path, temp files | MEDIUM |
+| 설정/환경 변수 | config, env, secrets | HIGH |
+| 데이터베이스 쿼리 | raw SQL, ORM query builder | HIGH |
+CRG `query_graph` 활용 권장 — 변경 함수의 caller 체인을 추적하여 트러스트 경계 도달 여부를 확인한다.
+### 2단계: 위험 패턴 매칭
+변경 의도에서 다음 위험 패턴을 식별한다:
+**자동 트리거 패턴**:
+| 패턴 키워드 | 위험 유형 | 체크 항목 |
+|-------------|-----------|-----------|
+| token, jwt, session | 토큰 위조/재사용 | 서명 검증, 만료 처리, 재사용 방지 |
+| refresh, rotation | 토큰 갱신 경쟁 조건 | 원자성, 동시 요청 처리 |
+| upload, file, multipart | 파일 업로드 공격 | 확장자 검증, 경로 탐색, 크기 제한 |
+| admin, role, permission | 권한 상승 | 역할 검증, 최소 권한, 기본값 |
+| external, api, webhook | SSRF/외부 요청 | URL 화이트리스트, 타임아웃, 재시도 |
+| query, sql, filter | SQL 인젝션 | 파라미터화 쿼리, ORM 사용 여부 |
+| eval, exec, subprocess | 코드 실행 | 입력 새니타이즈, 허용 명령 목록 |
+| serialize, deserialize, pickle | 역직렬화 공격 | 신뢰할 수 없는 데이터 처리 여부 |
+| redirect, url, callback | 오픈 리다이렉트 | URL 검증, 도메인 화이트리스트 |
+### 3단계: Advisory 출력
+분석 결과를 3가지 레벨로 출력한다:
+- **PROCEED** — 식별된 고위험 패턴 없음, 표준 구현 진행 가능
+- **CAUTION** — 주의 필요 항목 존재, 체크리스트와 함께 진행
+- **BLOCK** — 설계 재검토 권장, 보안 전문가 리뷰 후 진행
+## 출력 형식
+```markdown
+## 보안 사전 분석 — sec-agentshield-wrapper
+**대상**: {파일/영역}
+**의도**: {변경 의도}
+**Advisory**: PROCEED | CAUTION | BLOCK
+### 트러스트 경계 분석
+| 영역 | 해당 여부 | 위험 수준 |
+|------|-----------|-----------|
+| {영역명} | Yes/No | CRITICAL/HIGH/MEDIUM/LOW |
+### 식별된 위험 패턴
+| 패턴 | 위험 유형 | 권장 사항 |
+|------|-----------|-----------|
+| {패턴} | {유형} | {권장} |
+### 구현 전 체크리스트
+- [ ] {체크 항목 1}
+- [ ] {체크 항목 2}
+### 권장 후속 작업
+- 구현 후: `adversarial-review` 로 공격자 관점 리뷰
+- 패턴 기반 분석: `sec-codeql-expert` 로 CodeQL 정적 분석
+- CVE 관련: `cve-triage` 로 의존성 취약점 확인
+```
+## 호출 패턴 예시
+**단일 파일**:
+```
+/sec-agentshield-wrapper "auth-middleware.ts — refresh token 처리 추가"
+```
+**여러 파일/영역**:
+```
+/sec-agentshield-wrapper "UserService.java, AuthController.java — OAuth2 로그인 플로우 추가"
+```
+**신규 기능**:
+```
+/sec-agentshield-wrapper "upload/ 디렉토리 — 사용자 파일 업로드 기능 신규 구현"
+```
+## 다른 자산과의 조합
+권장 보안 파이프라인:
+```
+sec-agentshield-wrapper (pre-write)
+  → 구현
+  → adversarial-review (post-write, 공격자 관점)
+  → sec-codeql-expert (post-write, 정적 분석)
+```
+CVE 발생 시 별도 트리거:
+```
+cve-triage (CVE 이슈 수신 시)
+  → sec-codeql-expert (영향 범위 분석)
+```
+## CRG 통합 (선택)
+CRG MCP 연결 시 1단계 트러스트 경계 분석 정확도가 향상된다:
+| CRG 도구 | 활용 목적 |
+|----------|-----------|
+| `query_graph` | 변경 함수의 caller 체인 추적, 트러스트 경계 도달 여부 확인 |
+| `get_impact_radius` | 변경의 영향 반경 파악, 위험 확산 범위 예측 |
+| `detect_changes` | 보안 관련 함수의 의미적 변경 감지 |
+CRG 미연결 시 Grep + Read 조합으로 fallback.
+## 한계
+- **휴리스틱 기반**: 키워드 매칭과 영역 분류 기반이므로 100% recall을 보장하지 않음
+- **구현 세부사항 미파악**: 실제 코드가 없으므로 로직 플로우 분석 불가
+- **False positive 가능성**: 보안 관련 키워드가 포함되어도 실제 위험이 없을 수 있음
+- **보완 필요**: 구현 후 `adversarial-review` + `sec-codeql-expert` 조합으로 보완 권장
+## Permission Mode
+이 스킬에서 Agent 도구를 사용하여 에이전트를 스폰할 경우, 항상 `mode: "bypassPermissions"` 를 전달해야 한다. Agent 도구의 기본값(`acceptEdits`)은 에이전트 frontmatter `permissionMode` 를 덮어쓰므로 무인 실행 중 권한 프롬프트가 발생할 수 있다.

package/templates/CLAUDE.md CHANGED Viewed

@@ -117,11 +117,11 @@ project/
 +-- CLAUDE.md                    # 진입점
 +-- .claude/
 |   +-- agents/                  # 서브에이전트 정의 (49 파일)
-|   +-- skills/                  # 스킬 (119 디렉토리)
+|   +-- skills/                  # 스킬 (121 디렉토리)
 |   +-- rules/                   # 전역 규칙 (R000-R023)
 |   +-- hooks/                   # 훅 스크립트 (보안, 검증, HUD)
 |   +-- contexts/                # 컨텍스트 파일 (ecomode)
-+-- guides/                      # 레퍼런스 문서 (54 토픽)
++-- guides/                      # 레퍼런스 문서 (57 토픽)
 ```
 ## 오케스트레이션

package/templates/README.md CHANGED Viewed

@@ -86,7 +86,7 @@ CI의 `verify-template-sync.sh`가 소스와 templates/ 간 일치를 검증합
 | Manager | 6 |
 | System | 4 |
-### Skills (119)
+### Skills (121)
 `.claude/skills/*/SKILL.md` — 재사용 가능한 스킬 모듈.

package/templates/guides/profiles/manifest-install.md ADDED Viewed

@@ -0,0 +1,177 @@
+# Manifest Profiles — Install Guide
+> **Source**: `templates/manifest.json#profiles`
+> **Related skill**: `.claude/skills/profile/SKILL.md`
+> **Issue**: #1177 (ECC manifest-install `--profile minimal/full` pattern)
+`--profile` 플래그를 사용하면 설치 시 포함할 에이전트·스킬·가이드 범위를 지정할 수 있습니다. 사용자 진입 비용(deactivation cost)을 줄이고, 목적에 맞는 최소 자산 세트로 빠르게 시작할 수 있습니다.
+## 사용 방법
+```bash
+# 기본 설치 (full — 전체 자산)
+omcustom install
+# 프로필 지정 설치
+omcustom install --profile minimal
+omcustom install --profile web-app
+omcustom install --profile data-eng
+omcustom install --profile harness-dev
+omcustom install --profile full
+```
+## 프로필 목록
+| 프로필 | 설명 | 추천 대상 |
+|--------|------|-----------|
+| `minimal` | 필수 최소 자산 (코어 SW Engineer + Manager) | 학습·실험·경량 환경 |
+| `full` | 전체 자산 (기본값) | 프로덕션, 다양한 도메인 |
+| `web-app` | 풀스택 웹 앱 개발 자산 | TypeScript/Python 풀스택 팀 |
+| `data-eng` | 데이터 엔지니어링 자산 | Airflow/Spark/dbt/Kafka/Snowflake |
+| `harness-dev` | oh-my-customcode 하네스 개발 자산 | 에이전트·스킬·룰 작성자 |
+---
+## 프로필별 포함 자산
+### minimal
+사용 시나리오: 첫 설치, 학습 환경, 토큰 비용 최소화.
+| 카테고리 | 포함 자산 |
+|----------|-----------|
+| 에이전트 | `mgr-*` (6개), `lang-*-expert` (6개), `sys-memory-keeper` |
+| 스킬 | scope: `core` + scope: `harness` 전체 |
+| 가이드 | `agent-design`, `git-safety`, `claude-code` |
+**배제**: 프레임워크 전문가(BE/FE/DE), QA 팀, 인프라, 보안, DB 전문가.
+### full
+사용 시나리오: 프로덕션 팀, 다양한 기술 스택, 기본 설치.
+| 카테고리 | 포함 자산 |
+|----------|-----------|
+| 에이전트 | 전체 49개 |
+| 스킬 | 전체 119개 |
+| 가이드 | 전체 54개 |
+`omcustom install` (profile 플래그 생략 시) 와 동일합니다.
+### web-app
+사용 시나리오: TypeScript/Python 풀스택 웹 앱 개발팀.
+| 카테고리 | 포함 자산 |
+|----------|-----------|
+| 에이전트 | `lang-typescript-expert`, `lang-python-expert`, `fe-vercel-agent`, `fe-design-expert`, `be-fastapi-expert`, `be-express-expert`, `be-nestjs-expert`, `db-postgres-expert`, `db-supabase-expert`, `db-redis-expert`, `infra-docker-expert`, `mgr-*` |
+| 스킬 | scope: `core` + `react-best-practices`, `typescript-best-practices`, `fastapi-best-practices`, `nextjs-best-practices` |
+| 가이드 | `agent-design`, `git-safety`, `claude-code`, `drizzle-orm`, `docker`, `fastapi`, `nextjs`, `react` |
+**배제**: 데이터 엔지니어링(DE), Java/Kotlin/Go/Rust 전문가, QA 팀, 보안.
+### data-eng
+사용 시나리오: 데이터 파이프라인 엔지니어링 팀.
+| 카테고리 | 포함 자산 |
+|----------|-----------|
+| 에이전트 | `de-*` (6개), `db-postgres-expert`, `db-redis-expert`, `db-alembic-expert`, `lang-python-expert`, `mgr-*` |
+| 스킬 | scope: `core` + `airflow-best-practices`, `dbt-best-practices` |
+| 가이드 | `agent-design`, `git-safety`, `airflow`, `dbt`, `snowflake` |
+**배제**: 프론트엔드, 백엔드 프레임워크, 인프라, QA.
+### harness-dev
+사용 시나리오: oh-my-customcode 시스템 자체 개발·유지보수.
+| 카테고리 | 포함 자산 |
+|----------|-----------|
+| 에이전트 | `mgr-*` (6개), `arch-*` (2개), `sys-*` (4개 중 sys-naggy 포함), `wiki-curator`, `tracker-checkpoint` |
+| 스킬 | scope: `harness` 전체 |
+| 가이드 | `agent-design`, `git-safety`, `claude-code`, `skill-authoring`, `agent-workflow` |
+**배제**: 언어/프레임워크/DE/QA/인프라 전문가.
+---
+## include 패턴 레퍼런스
+`manifest.json#profiles[].include` 필드에 사용 가능한 패턴:
+```json
+{
+  "include": "*"
+}
+```
+전체 포함 (full 프로필과 동일).
+```json
+{
+  "include": {
+    "agents": ["mgr-*", "lang-typescript-expert"],
+    "skills": [{"scope": "core"}, "react-best-practices"],
+    "guides": ["agent-design", "git-safety"]
+  }
+}
+```
+카테고리별 부분 포함.
+| 표현식 | 의미 |
+|--------|------|
+| `"*"` | 카테고리 전체 포함 |
+| `"mgr-*"` | 접두사 glob 매칭 |
+| `"lang-*-expert"` | 와일드카드 glob 매칭 |
+| `{"scope": "core"}` | SKILL.md `scope` 필드 기준 필터 |
+| `"react-best-practices"` | 정확한 이름 매칭 |
+---
+## Plugin Profile vs Manifest Profile
+두 프로필 시스템은 **서로 독립**입니다.
+| 구분 | 경로 | 역할 | 적용 시점 |
+|------|------|------|-----------|
+| **Plugin profiles** | `.claude/profiles/*.json` | `~/.claude/settings.json` plugin on/off | 세션 재시작 후 |
+| **Manifest profiles** | `templates/manifest.json#profiles` | 설치 시 에이전트·스킬·가이드 범위 | `omcustom install --profile` |
+동일한 이름(예: `web-app`)이 두 시스템에 모두 존재하면 각각 독립적으로 적용됩니다:
+```bash
+# Manifest profile: 설치 자산 범위
+omcustom install --profile web-app
+# Plugin profile: 플러그인 on/off
+/profile load web-app
+```
+---
+## 커스텀 프로필 추가
+`templates/manifest.json` 의 `profiles` 객체에 새 키를 추가합니다:
+```json
+"my-profile": {
+  "description": "My custom profile description",
+  "include": {
+    "agents": ["lang-golang-expert", "be-go-backend-expert", "mgr-*"],
+    "skills": [{"scope": "core"}],
+    "guides": ["agent-design", "git-safety"]
+  }
+}
+```
+커스텀 프로필은 `omcustom install --profile my-profile` 로 즉시 사용 가능합니다.
+---
+## 관련 자료
+- `.claude/skills/profile/SKILL.md` — Plugin profile 전환 스킬
+- `templates/manifest.json` — 전체 manifest 및 profiles 정의
+- `guides/agent-design/` — 에이전트 설계 가이드
+- Issue #1177 — ECC manifest-install 패턴 흡수
+- Issue #1170 — ECC 4 패턴 흡수 epic

package/templates/guides/security/agentshield-pre-flight.md ADDED Viewed

@@ -0,0 +1,196 @@
+# 보안 사전 분석 패턴 (AgentShield Pre-flight)
+코드 변경을 시작하기 전에 보안 위험을 식별하는 pre-flight 패턴에 대한 레퍼런스 가이드.
+## 배경
+전통적인 보안 검토는 코드가 작성된 후(post-write)에 이루어진다. 이 패턴은 작성 전(pre-write) 단계에서 보안 위험을 식별하여 설계 단계에서 방향을 잡는다.
+**ECC(External Code Corpus) 출처**: `sec-agentshield-wrapper` 패턴은 ECC의 AgentShield 구현에서 흡수되었다. 원본은 코드 변경 전 보안 사전 분석 wrapper로 사용되었으며, oh-my-customcode의 기존 보안 자산(`sec-codeql-expert`, `adversarial-review`, `cve-triage`)과 통합된 형태로 재설계되었다.
+## 보안 자산 전체 매트릭스
+oh-my-customcode의 보안 관련 자산 전체를 시점과 역할 기준으로 정리한다:
+| 자산 | 유형 | 실행 시점 | 주요 역할 | 인터페이스 |
+|------|------|-----------|-----------|-----------|
+| `sec-agentshield-wrapper` | skill | pre-write | 변경 의도 기반 위험 사전 식별 | `/sec-agentshield-wrapper "<설명>"` |
+| `adversarial-review` | skill | post-write | 공격자 마인드 4단계 리뷰 | `/adversarial-review <파일>` |
+| `sec-codeql-expert` | agent | post-write | CodeQL 정적 분석, CVE 매칭 | `@sec-codeql-expert` |
+| `cve-triage` | skill | issue-triggered | CVE 평가, 재현 분석, 패치 검증 | (sec-codeql-expert 내부 호출) |
+## Pre-flight 패턴의 필요성
+### 기존 방식의 문제
+```
+기존 흐름:
+  요구사항 → 구현 시작 → (보안 문제 포함) 구현 완료 → 코드 리뷰 → 보안 결함 발견 → 재작업
+```
+재작업 비용이 크다. 특히 인증/인가 로직, 외부 API 연동, 파일 업로드 등 보안 민감 영역에서 설계 단계의 잘못된 방향은 구현 완료 후 전면 수정으로 이어질 수 있다.
+### Pre-flight 방식
+```
+개선된 흐름:
+  요구사항 → sec-agentshield-wrapper 실행 → 위험 식별 + 체크리스트 수령 → 안전한 구현 → adversarial-review → sec-codeql-expert
+```
+변경 의도와 대상 파일만으로 트러스트 경계와 위험 패턴을 사전 식별한다.
+## 사용 시나리오
+### 시나리오 1: 인증 로직 변경
+**상황**: refresh token 처리 로직 추가
+```
+/sec-agentshield-wrapper "auth-middleware.ts — refresh token rotation 추가"
+```
+**예상 Advisory**: CAUTION 또는 BLOCK
+**식별 위험**:
+- 토큰 재사용 공격 (token replay)
+- 동시 요청 경쟁 조건 (refresh token race condition)
+- 만료 처리 누락
+**체크리스트**:
+- [ ] refresh token은 1회 사용 후 무효화(rotation)
+- [ ] 동시 refresh 요청에 대한 원자적 처리
+- [ ] 이전 토큰 즉시 무효화
+- [ ] refresh token 만료 시간 설정
+### 시나리오 2: 파일 업로드 신규 구현
+**상황**: 사용자 파일 업로드 기능 추가
+```
+/sec-agentshield-wrapper "upload.py — 사용자 이미지 업로드 엔드포인트 신규 구현"
+```
+**예상 Advisory**: CAUTION
+**식별 위험**:
+- 파일 확장자 우회 (Content-Type 스푸핑)
+- 경로 탐색 (path traversal)
+- 파일 크기 미제한
+**체크리스트**:
+- [ ] MIME 타입 + 확장자 이중 검증 (allowlist 방식)
+- [ ] 파일명 새니타이즈 (경로 문자 제거)
+- [ ] 최대 파일 크기 제한
+- [ ] 저장 경로를 웹 루트 외부로 설정
+### 시나리오 3: 외부 API 연동 추가
+**상황**: 외부 결제 API 연동
+```
+/sec-agentshield-wrapper "PaymentService.java — Stripe 웹훅 수신 처리 추가"
+```
+**예상 Advisory**: CAUTION
+**식별 위험**:
+- 웹훅 서명 검증 누락
+- SSRF 가능성 (URL 파라미터화 시)
+- 재시도 처리에서의 중복 결제
+**체크리스트**:
+- [ ] Stripe 서명 헤더(`Stripe-Signature`) 검증
+- [ ] 이벤트 ID 기반 멱등성 처리
+- [ ] 웹훅 페이로드 크기 제한
+### 시나리오 4: 위험 없는 변경
+**상황**: 로깅 포맷 변경
+```
+/sec-agentshield-wrapper "logger.ts — 로그 출력 포맷 JSON으로 변경"
+```
+**예상 Advisory**: PROCEED
+패턴 매칭 결과 고위험 패턴 없음. 단, 로그에 민감 정보(토큰, PII) 포함 여부는 구현 시 주의.
+## 다른 자산과의 조합 패턴
+### 표준 보안 파이프라인
+보안 민감 기능 개발 시 권장 순서:
+```
+1. sec-agentshield-wrapper     ← 설계 전 위험 식별
+2. 구현
+3. adversarial-review          ← 공격자 관점 코드 리뷰
+4. sec-codeql-expert           ← 정적 분석 (선택, CI에서도 가능)
+```
+### CVE 대응 파이프라인
+CVE 알림 수신 시:
+```
+1. cve-triage                  ← CVE 영향 평가
+2. sec-codeql-expert           ← 영향 범위 코드 분석
+3. 패치 적용
+4. adversarial-review          ← 패치 후 회귀 검증
+```
+### 긴급 핫픽스 시
+시간이 제한된 긴급 수정 시:
+```
+1. sec-agentshield-wrapper     ← 빠른 위험 체크 (5분)
+2. 구현
+3. adversarial-review --depth quick   ← 빠른 리뷰
+```
+## 트리거 키워드 참고
+다음 키워드가 변경 의도에 포함될 경우 반드시 pre-flight 실행:
+**CRITICAL 트리거** (즉시 BLOCK 고려):
+- `admin`, `superuser`, `root`, `privilege escalation`
+- `bypass`, `skip auth`, `disable security`
+- `eval(`, `exec(`, `system(`, `shell`
+**HIGH 트리거** (CAUTION 이상 예상):
+- `token`, `jwt`, `session`, `cookie`
+- `password`, `credential`, `secret`, `key`
+- `upload`, `file`, `multipart`
+- `external`, `webhook`, `callback`, `redirect`
+- `query`, `sql`, `filter`, `search`
+- `permission`, `role`, `acl`
+**MEDIUM 트리거** (상황에 따라 CAUTION):
+- `serialize`, `deserialize`, `parse`
+- `config`, `env`, `environment`
+- `log`, `audit` (민감 정보 로깅 위험)
+## 한계 및 향후 개선
+### 현재 한계
+1. **휴리스틱 기반**: 키워드와 영역 분류 기반이므로 100% recall 보장 불가
+2. **구현 세부사항 부재**: 실제 코드가 없으므로 로직 플로우 분석 불가 — `adversarial-review` 로 보완 필요
+3. **False positive**: 보안 관련 키워드 포함 코드가 실제로는 안전할 수 있음
+4. **프레임워크 비인식**: Spring Security, Next.js Auth 등 프레임워크 레벨 보안 기능은 인식 못함
+### 향후 개선 방향
+1. **CRG 통합 강화**: `query_graph`로 caller 체인 자동 분석 → 트러스트 경계 도달 여부 자동 판단
+2. **프로젝트별 패턴 학습**: `instinct-extractor` 연동으로 프로젝트 고유 위험 패턴 축적 (#1169)
+3. **CI 통합**: PR 생성 시 변경 파일 기반 자동 pre-flight 실행
+4. **severity calibration**: 프로젝트 히스토리 기반 false positive 감소
+## 관련 자산
+- `.claude/skills/sec-agentshield-wrapper/SKILL.md` — 스킬 정의 및 실행 워크플로우
+- `.claude/skills/adversarial-review/SKILL.md` — post-write 공격자 관점 리뷰
+- `.claude/skills/cve-triage/SKILL.md` — CVE 평가 워크플로우
+- `.claude/agents/sec-codeql-expert.md` — CodeQL 정적 분석 에이전트
+- `guides/security/agentshield-pre-flight.md` — 이 문서

package/templates/guides/skill-promotion/instinct-extraction.md ADDED Viewed

@@ -0,0 +1,114 @@
+# Skill Promotion: Instinct Extraction 가이드
+> **관련 자산**: `skill-extractor`, `instinct-extractor`, R016 (MUST-continuous-improvement.md)
+## 개요
+oh-my-customcode는 두 개의 보완적인 skill 채굴 도구를 제공한다.
+두 스킬은 **동일한 목표** (실패 패턴 → 영구 구조 전환)를 **다른 범위와 트리거**로 달성한다.
+## 두 스킬 비교
+| 속성 | `skill-extractor --mode failure` | `instinct-extractor` |
+|------|----------------------------------|----------------------|
+| **scope** | 단일 세션 | 다중 세션 시계열 (N일) |
+| **trigger** | 명시 호출 | 자동 / R016 3회 반복 트리거 |
+| **input** | `.claude/agent-memory*/feedback_*.md` | `~/.claude/projects/*/session-*.jsonl` |
+| **clustering** | feedback memory의 Why/How to apply 필드 | (domain, action_verb, error_class) 튜플 |
+| **output** | 기존 skill 확장 / rule 강화 / 신규 SKILL.md | failure pattern 클러스터 + instinct 후보 → SKILL.md candidate |
+| **사용자 승인** | 필수 | 필수 |
+| **context fork** | 신규 skill 전 cap 확인 | 신규 skill 전 cap 확인 |
+## 언제 어떤 스킬을 쓸까
+### skill-extractor 사용 시나리오
+```
+/skill-extractor               # 현재 세션 성공 패턴 추출
+/skill-extractor --mode failure  # 현재 세션 누적 실패 패턴 분석
+```
+- 오늘 세션에서 반복된 오류를 즉시 구조화하고 싶을 때
+- 특정 feedback memory 항목이 skill로 전환될 준비가 됐다고 느낄 때
+- 명시적·즉각적 분석이 필요할 때
+### instinct-extractor 사용 시나리오
+```
+/instinct-extractor                # 최근 14일 cross-session 채굴
+/instinct-extractor --days 30      # 한 달 범위 확장
+/instinct-extractor --dry-run      # 후보 목록만 확인
+```
+- R016 트리거: 동일 패턴이 여러 세션에 걸쳐 3회 이상 반복된다고 판단될 때
+- 주기적 시스템 점검 (예: 릴리즈 전, 스프린트 종료 시)
+- `skill-extractor`가 탐지하지 못한 cross-session 패턴이 의심될 때
+## R016 자동화 패턴
+R016 Defect Response Matrix에서 **Skill Promotion** 조건:
+> feedback memory가 동일 패턴으로 **3회 이상 반복** → skill candidate 분석
+### 권장 실행 순서
+```
+1. skill-extractor --mode failure
+   → 현재 세션 feedback memory 분석
+   → 즉각적 후보 식별
+2. instinct-extractor --days 14
+   → cross-session 시계열 검증
+   → skill-extractor 결과와 교차 검증
+3. 교차 검증: 두 스킬이 동일 패턴 발견 시 → high confidence → mgr-creator 위임
+4. 한쪽만 발견 시 → medium confidence → 추가 관찰 권장
+```
+### 자동 트리거 조건
+오케스트레이터는 다음 조건에서 `instinct-extractor` 자동 실행을 고려한다:
+- R016 Defect Response Matrix 기록 시 동일 domain의 feedback memory가 3개 이상일 때
+- 릴리즈 준비 단계 (`/release-plan` 실행 전)
+- 스프린트 회고 (수동 트리거: `/instinct-extractor`)
+## 호출 빈도 및 조건
+| 시나리오 | 권장 스킬 | 주기 |
+|----------|----------|------|
+| 일상 개발 세션 종료 | `skill-extractor` | 세션마다 (Stop hook 알림 시) |
+| 주간 점검 | `instinct-extractor --days 7` | 주 1회 |
+| 릴리즈 전 | `instinct-extractor --days 30` | 릴리즈마다 |
+| R016 트리거 감지 | 두 스킬 순차 실행 | 즉시 |
+| 신규 에이전트 설계 전 | `instinct-extractor --cluster-only` | 필요 시 |
+## Confidence 교차 검증 매트릭스
+| skill-extractor 결과 | instinct-extractor 결과 | 종합 Confidence | 권장 행동 |
+|---------------------|------------------------|----------------|----------|
+| 후보 있음 | 동일 패턴 발견 | **high** | mgr-creator 즉시 위임 |
+| 후보 있음 | 패턴 없음 | medium | 추가 세션 관찰 후 재분석 |
+| 후보 없음 | 패턴 발견 | medium | skill-extractor --mode failure 재실행 |
+| 후보 없음 | 패턴 없음 | low | 현재 구조 유지, 다음 주기에 재검토 |
+## 아티팩트 경로
+```
+# skill-extractor 출력
+.claude/outputs/sessions/{date}/skill-extractor-failure-{HH}.md
+# instinct-extractor 출력
+.claude/outputs/sessions/{date}/instinct-extractor-{HHmmss}.md
+# 교차 검증 요약 (선택)
+.claude/outputs/sessions/{date}/skill-promotion-summary-{HHmmss}.md
+```
+## 관련 자료
+- `.claude/skills/skill-extractor/SKILL.md` — 명시 호출 skill 채굴
+- `.claude/skills/instinct-extractor/SKILL.md` — cross-session instinct 채굴
+- `.claude/rules/MUST-continuous-improvement.md` — R016 Defect Response Matrix
+- `.claude/rules/MUST-agent-design.md` — context fork cap (12/12)
+- `guides/skill-bundle-design/README.md` — skill 설계 패턴
+- Issue #1175 — instinct-extractor 흡수 결정 맥락
+- Issue #1169 — AgentMemory 마이그레이션 (transcript format 안정화 전제)

package/templates/manifest.json CHANGED Viewed

@@ -1,5 +1,5 @@
 {
-  "version": "0.141.0",
+  "version": "0.143.0",
   "lastUpdated": "2026-05-18T00:00:00.000Z",
   "omcustomMinClaudeCode": "2.1.121",
   "omcustomMinClaudeCodeReason": "Sensitive-path direct Write/Edit on .claude/** under bypassPermissions (R010 deprecation, #1101)",
@@ -20,13 +20,13 @@
       "name": "skills",
       "path": ".claude/skills",
       "description": "Reusable skill modules (includes slash commands)",
-      "files": 119
+      "files": 121
     },
     {
       "name": "guides",
       "path": "guides",
       "description": "Reference documentation",
-      "files": 54
+      "files": 57
     },
     {
       "name": "hooks",
@@ -47,5 +47,110 @@
       "files": 8
     }
   ],
-  "source": "https://github.com/baekenough/oh-my-customcode"
+  "source": "https://github.com/baekenough/oh-my-customcode",
+  "profiles": {
+    "minimal": {
+      "description": "Essential assets only — core SW Engineers + Managers. Reduces deactivation cost on first use.",
+      "include": {
+        "agents": ["mgr-*", "lang-*-expert", "sys-memory-keeper"],
+        "skills": [
+          {"scope": "core"},
+          {"scope": "harness"}
+        ],
+        "guides": ["agent-design", "git-safety", "claude-code"]
+      }
+    },
+    "full": {
+      "description": "All assets (default). Equivalent to installing without --profile flag.",
+      "include": "*"
+    },
+    "web-app": {
+      "description": "Full-stack web application development profile.",
+      "include": {
+        "agents": [
+          "lang-typescript-expert",
+          "lang-python-expert",
+          "fe-vercel-agent",
+          "fe-design-expert",
+          "be-fastapi-expert",
+          "be-express-expert",
+          "be-nestjs-expert",
+          "db-postgres-expert",
+          "db-supabase-expert",
+          "db-redis-expert",
+          "infra-docker-expert",
+          "mgr-*"
+        ],
+        "skills": [
+          {"scope": "core"},
+          "react-best-practices",
+          "typescript-best-practices",
+          "fastapi-best-practices",
+          "nextjs-best-practices"
+        ],
+        "guides": [
+          "agent-design",
+          "git-safety",
+          "claude-code",
+          "drizzle-orm",
+          "docker",
+          "fastapi",
+          "nextjs",
+          "react"
+        ]
+      }
+    },
+    "data-eng": {
+      "description": "Data engineering sessions — Airflow, Spark, Kafka, Snowflake, dbt.",
+      "include": {
+        "agents": [
+          "de-airflow-expert",
+          "de-dbt-expert",
+          "de-spark-expert",
+          "de-kafka-expert",
+          "de-snowflake-expert",
+          "de-pipeline-expert",
+          "db-postgres-expert",
+          "db-redis-expert",
+          "db-alembic-expert",
+          "lang-python-expert",
+          "mgr-*"
+        ],
+        "skills": [
+          {"scope": "core"},
+          "airflow-best-practices",
+          "dbt-best-practices"
+        ],
+        "guides": [
+          "agent-design",
+          "git-safety",
+          "airflow",
+          "dbt",
+          "snowflake"
+        ]
+      }
+    },
+    "harness-dev": {
+      "description": "oh-my-customcode harness development — agent, skill, rule authoring.",
+      "include": {
+        "agents": [
+          "mgr-*",
+          "arch-*",
+          "sys-*",
+          "wiki-curator",
+          "tracker-checkpoint"
+        ],
+        "skills": [
+          {"scope": "harness"}
+        ],
+        "guides": [
+          "agent-design",
+          "git-safety",
+          "claude-code",
+          "skill-authoring",
+          "agent-workflow"
+        ]
+      }
+    }
+  }
 }