ppdevskill 1.2.0 → 1.3.0

package/README.md

@@ -1,108 +1,183 @@
 # ppdevskill — Engineering Partner Skill
 
-Claude Skill ที่เปลี่ยน Claude จาก "AI ที่พ่นโค้ดให้เสร็จ ๆ ไป" ให้กลายเป็น **เพื่อนร่วมงานวิศวกรรมจริง ๆ** — เข้าใจความต้องการที่แท้จริง แก้ให้ถูกจุด ไม่ over-engineer และเขียนโค้ดอย่างมีหลักการ
+A Claude skill that turns Claude from *"an AI that throws out throwaway code to finish fast"* into a **real engineering thought-partner** — one that understands the actual need, fixes the right spot, avoids over-engineering, and writes principled code.
+
+> **Language note:** by design, the skill **replies to you in Thai**, keeping technical terms — function names, paths, errors, commands, code — in English. That is why the `examples/` walkthroughs and a few quoted strings below are in Thai: they are not untranslated debt, they are the demonstrated behavior.
 
 ---
 
-## คืออะไร
+## What it is
 
-`ppdevskill` คือ skill เดียวที่รวม workflow งานวิศวกรรมซอฟต์แวร์ไว้ครบ 5 โหมด แต่ละโหมดมี **gate (ด่านบังคับ)** ที่ข้ามไม่ได้ เพื่อกัน Claude ไม่ให้ลงมือเขียนโค้ดก่อนที่ข้อมูลจะครบและก่อนที่ผู้ใช้จะอนุมัติ
+`ppdevskill` is a single skill that unifies the software-engineering workflow into **six modes plus a commit action**. Every mode has a **hard gate** that cannot be skipped — the gate stops Claude from writing code before the information is complete and before you have approved a plan.
 
-หัวใจของ skill คือ **zero drift** — LLM มักจะ "หลุด" กฎเมื่อบทสนทนายาวขึ้นหรือเมื่อผู้ใช้เร่ง skill นี้บังคับให้ Claude ยึดกฎตามตัวอักษรทุกครั้ง แม้ผู้ใช้จะบอกว่า "ทำเลย" หรือ "ข้าม gate ไปเถอะ" ก็ไม่ถือเป็นการอนุญาตให้ละเมิดกฎ
+The core idea is **zero drift**. LLMs tend to "slip" their rules as a conversation grows longer or as the user grows impatient. This skill forces Claude to follow every rule literally, every time. A user saying *"just do it"* or *"skip the gate"* is **not** authorization to break a rule — the rule is restated and the work stops until the gate is genuinely satisfied.
 
 ---
 
-## โหมดทั้งหมด
+## Modes & commands
 
-| โหมด | คำสั่ง | ใช้เมื่อ |
+| Mode | Command | Use when |
 |---|---|---|
-| Plan | `#plan` | งานใหญ่หลายขั้น ข้ามหลายโหมด หรือ >3 slices — orchestrate / วางแผน |
-| Debug | `#dbg` | เจอ bug, มี error / stack trace, ของพัง |
-| Feature | `#ft` | เพิ่ม / สร้าง / implement ฟีเจอร์ใหม่ |
-| Refactor | `#rf` | ทำความสะอาด / จัดโครงสร้างโค้ด (ไม่เปลี่ยนพฤติกรรม) |
-| Review | `#rv` | review / audit PR, diff, plan, design doc |
-| Post-mortem | `#pm` | เขียน RCA / post-mortem หลังแก้ bug เสร็จ |
-| Commit/Push | `#cp` | commit และ push (ข้อความสะอาด ไม่มี AI attribution) |
-
-- `#pp` — auto-route: ให้ Claude เลือกโหมดเองจากบริบท
-- `#plan` — orchestrator: แตกงานใหญ่เป็น slice (ตาม dependency), tag โหมดให้แต่ละ slice, แล้ว hand off — **ไม่เขียนโค้ดเอง** (เหมือน `#bs`)
-- **Security** เป็นด่านขวาง (cross-cutting) ไม่ใช่โหมดที่ 6 — ทุกการเปลี่ยนแปลงที่แตะ trust boundary (input / auth / token / file / SQL / shell / crypto / secret / network) จะเปิด security gate อัตโนมัติ และ **ปิดไม่ได้**
+| Plan | `#plan` | A big multi-step arc spanning more than one mode or more than 3 slices — orchestrate and decompose |
+| Debug | `#dbg` | A bug, an error / stack trace, something broken or throwing |
+| Feature | `#ft` | Add / build / implement a new capability |
+| Refactor | `#rf` | Clean up / restructure code with **no behavior change** |
+| Review | `#rv` | Review / audit a PR, diff, plan, or design doc |
+| Post-mortem | `#pm` | Write the RCA / post-mortem after a fix has landed |
+
+Plus two routers and one action:
+
+- **`#pp`** — auto-route: Claude picks the mode from context; if it is ambiguous, it asks one question and stops.
+- **`#plan`** — orchestrator: breaks a big arc into slices (ordered by dependency), tags each slice with a mode, then hands off. It **never writes code itself**.
+- **`#cp`** — commit / push **action** (not a mode): clean message, no AI attribution, stage only what the change touched. Runs *after* the work is verified.
+- **`#bs`** — brainstorm-partner is a **separate skill** the workflow hands off to when the *approach itself* is undecided (it generates and selects, never builds).
+
+```mermaid
+flowchart TD
+    U[User request or command] --> PP{"#pp — auto-route"}
+    PP -->|"bug / stack trace / broken"| DBG["#dbg Debug"]
+    PP -->|"add / build / implement"| FT["#ft Feature"]
+    PP -->|"clean up / restructure"| RF["#rf Refactor"]
+    PP -->|"review / audit PR or diff"| RV["#rv Review"]
+    PP -->|"write RCA / post-mortem"| PM["#pm Post-mortem"]
+    PP -->|"big multi-step arc"| PLAN["#plan Orchestrate"]
+    PP -->|"ambiguous"| ASK["Ask one question, stop"]
+    PLAN -.->|"decompose into slices,<br/>each faces its own gate"| DBG
+    PLAN -.-> FT
+    PLAN -.-> RF
+    PP -.->|"approach undecided"| BS["#bs Brainstorm<br/>(separate skill)"]
+```
+
+---
+
+## The gate model
+
+Each mode opens with a gate. **No gate, no proceed** — if the gate is not satisfied, Claude states exactly what is missing, stops, and waits. Security is a cross-cutting gate that **cannot be waved off**.
+
+- **GATE 0 `#plan`** — outcome stated as an end state + size gate passed + unknowns surfaced + whole-arc definition of done.
+- **GATE 1 `#dbg`** — a reliable reproduction exists; no repro → full stop, no hypothesizing.
+- **GATE 2 `#ft`** — real need stated + at least 3 given/when/then acceptance scenarios + scope bounded IN/OUT.
+- **GATE 3 `#rf`** — a safety net + a concrete motivation (a named smell) + behavior pinned in one sentence.
+- **GATE 4 `#rv`** — outsider stance, end-to-end trace, cite `file:line`, no rubber stamps.
+- **GATE 5 `#pm`** — repro + root cause + fix + validation all in hand, else refuse.
+- **SECURITY GATE (cross-cutting)** — any change touching a trust boundary (input / auth / token / file / SQL / shell / crypto / secret / network / access control / new dependency) trips this gate; the abuse case is written and the relevant OWASP Top 10 items are exercised, not assumed.
+
+```mermaid
+flowchart LR
+    PLAN["#plan"] --> G0["GATE 0<br/>outcome + size + DoD"]
+    DBG["#dbg"] --> G1["GATE 1<br/>reliable repro"]
+    FT["#ft"] --> G2["GATE 2<br/>need + 3 scenarios + scope"]
+    RF["#rf"] --> G3["GATE 3<br/>safety net + smell + pin"]
+    RV["#rv"] --> G4["GATE 4<br/>outsider trace + cite"]
+    PM["#pm"] --> G5["GATE 5<br/>repro + cause + fix + validation"]
+    G0 --> D{Gate satisfied?}
+    G1 --> D
+    G2 --> D
+    G3 --> D
+    G4 --> D
+    G5 --> D
+    D -->|No| B["BLOCKED — state what's missing, stop"]
+    D -->|Yes| P["Proceed to the mode's steps"]
+    SEC["SECURITY GATE<br/>cross-cutting, cannot be waived"] -.-> P
+```
+
+---
+
+## VERIFIED discipline + mechanical enforcement
+
+The skill never claims success it has not observed. Any claim-word — *done*, *works*, *complete*, `เสร็จ`, `เรียบร้อย` — must be backed by a `VERIFIED:` block (the actual commands run + their actual output) **immediately above it**. The escape hatch is `NOT VERIFIED:`, which lists every skipped step, the reason, and the concrete checks the user must perform. Static checks (type-check, lint) do not count as verification.
+
+This is not left to willpower. A **Stop hook** (`hooks/verify-guard.sh`) blocks the turn from ending when a ppdevskill response carries a banner and a claim-word but no verification block, and feeds the reason back so the model fixes it in the same turn. It is **self-scoping** (fires only on responses with a ppdevskill banner — other workflows are untouched), **fail-open** (any error → allow; a discipline hook must never brick a session), and catches **Thai claim-words too**.
+
+```mermaid
+flowchart TD
+    R["Assistant reply at turn end"] --> H["verify-guard.sh (Stop hook)"]
+    H --> S{"ppdevskill banner present?"}
+    S -->|No| A["Allow — not a ppdevskill turn"]
+    S -->|Yes| V{"VERIFIED: / NOT VERIFIED: block?"}
+    V -->|Yes| A
+    V -->|No| C{"claim-word? (done / works / เสร็จ ...)"}
+    C -->|No| A
+    C -->|Yes| BL["Block — feed reason back, fix this turn"]
+    H -.->|"any error / no jq / no banner"| A
+```
 
 ---
 
-## ใช้ยังไง
+## Ledger — anti-drift persistence
+
+`#plan` / `#dbg` / `#ft` / `#rf` persist their gate state (slice table, hypotheses, scope) to `.ppdev/<mode>-ledger.md` in the working repo, so it **survives context compaction** — Claude re-anchors from the file, not from memory. Add `.ppdev/` to that repo's `.gitignore`.
+
+The ledger is **bounded to one active unit, never append-only**: a new unit overwrites the file, a finished slice is marked `[x]` in place, a replan edits the table in place, and a met definition-of-done clears the file. Steady-state size is one unit's worth (a slice table is ~4–12 rows). If a ledger grows past that, it is being mis-appended — truncate it to the current unit.
+
+---
 
-### 1. ติดตั้ง
+## Install
 
-**วิธีง่ายสุด — ผ่าน npm:**
+**Easiest — via npm:**
 
 ```bash
-npx ppdevskill@latest install        # copy เข้า ~/.claude/skills/ + ถามว่าจะ wire hook ไหม
-npx ppdevskill install --with-hook   # wire Stop hook ให้เลย ไม่ถาม
-npx ppdevskill install --no-hook     # ไม่แตะ settings.json (print snippet ให้ paste เอง)
+npx ppdevskill@latest install        # copy into ~/.claude/skills/ + ask whether to wire the hook
+npx ppdevskill install --with-hook    # wire the Stop hook immediately, no prompt
+npx ppdevskill install --no-hook      # don't touch settings.json (prints the snippet to paste)
 ```
 
-installer จะ backup ของเดิมก่อน, `chmod +x` hook ให้, และไม่ทับ key อื่นใน settings.json. เสร็จแล้ว restart Claude Code.
+The installer backs up any existing install first, `chmod +x` the hook, and never clobbers unrelated keys in `settings.json`. Restart Claude Code afterward.
 
-**หรือ git clone:**
+**Or git clone:**
 
 ```bash
 git clone https://github.com/Kamisadev/ppdevskill.git ~/.claude/skills/ppdevskill
 ```
 
-โครงสร้างไฟล์:
+**Enable the hook manually** (if you used `--no-hook` or cloned): merge `hooks/settings.snippet.json` into `~/.claude/settings.json` (global) or `.claude/settings.json` (per project) — if a `hooks` key already exists, add the `Stop` entry, **do not overwrite**. The hook requires `jq`.
+
+```bash
+chmod +x ~/.claude/skills/ppdevskill/hooks/verify-guard.sh
+```
+
+File layout:
 
 ```
 ppdevskill/
-├── SKILL.md              # hub หลัก — กฎ, principles, routing
+├── SKILL.md              # main hub — rules, principles, routing
 ├── references/
-│   ├── plan.md           # GATE 0 + ขั้นตอนโหมด ultra-plan (orchestrator)
-│   ├── dbg.md            # gate + ขั้นตอนโหมด debug
-│   ├── ft.md             # gate + ขั้นตอนโหมด feature
-│   ├── rf.md             # gate + ขั้นตอนโหมด refactor
-│   ├── rv.md             # gate + ขั้นตอนโหมด review
-│   ├── pm.md             # gate + ขั้นตอนโหมด post-mortem
+│   ├── plan.md           # GATE 0 + steps for the ultra-plan orchestrator
+│   ├── dbg.md            # gate + steps for debug
+│   ├── ft.md             # gate + steps for feature
+│   ├── rf.md             # gate + steps for refactor
+│   ├── rv.md             # gate + steps for review
+│   ├── pm.md             # gate + steps for post-mortem
 │   ├── sec.md            # security gate (OWASP Top 10)
-│   ├── verify.md         # ตารางวิธี verify ตามชนิดงาน
-│   └── git-auto.md       # ขั้นตอน #cp commit / push
+│   ├── verify.md         # verification recipes per work type
+│   └── git-auto.md        # #cp commit / push procedure
 ├── hooks/
-│   ├── verify-guard.sh       # Stop hook — บังคับ VERIFIED block ด้วยกลไก
-│   └── settings.snippet.json # config ที่ merge เข้า settings.json
-└── examples/                 # worked example ต่อโหมด — อ่าน on demand
-    ├── plan.md           # ตัวอย่างโหมด ultra-plan (GATE 0 → slice table)
-    ├── dbg.md            # ตัวอย่างโหมด debug (gate → VERIFIED)
-    ├── ft.md             # ตัวอย่างโหมด feature
-    ├── rf.md             # ตัวอย่างโหมด refactor
-    ├── rv.md             # ตัวอย่างโหมด review
-    ├── pm.md             # ตัวอย่างโหมด post-mortem
-    └── cp.md             # ตัวอย่าง commit / push
-```
-
-### 1.5 เปิดการบังคับด้วยกลไก (hooks) — แนะนำ
-
-ทำให้กฎ VERIFIED block บังคับด้วย Stop hook จริง ไม่พึ่งวินัย LLM ล้วน. merge `hooks/settings.snippet.json` เข้า `~/.claude/settings.json` (global) หรือ `.claude/settings.json` (ต่อ project) — ถ้ามี key `hooks` อยู่แล้ว เพิ่ม entry `Stop` เข้าไป **อย่าทับ**.
-
-```bash
-chmod +x ~/.claude/skills/ppdevskill/hooks/verify-guard.sh
+│   ├── verify-guard.sh        # Stop hook — mechanically enforces the VERIFIED block
+│   └── settings.snippet.json  # config to merge into settings.json
+└── examples/                  # one worked example per mode — read on demand
+    ├── plan.md           # ultra-plan example (GATE 0 → slice table)
+    ├── dbg.md            # debug example (gate → VERIFIED)
+    ├── ft.md             # feature example
+    ├── rf.md             # refactor example
+    ├── rv.md             # review example
+    ├── pm.md             # post-mortem example
+    └── cp.md             # commit / push example
 ```
 
-หลัง merge: response ที่มี ppdevskill banner + อ้างว่าเสร็จ (`done`/`เสร็จ`/`works`) แต่ไม่มี `VERIFIED:`/`NOT VERIFIED:` block → hook **block** + บังคับแก้ในเทิร์นนั้น. **scope เฉพาะ ppdevskill** (ดูจาก banner) — workflow อื่นไม่โดน. **fail-open** — hook พังเมื่อไหร่ = ปล่อยผ่าน ไม่เคย brick session. ต้องมี `jq`.
-
-> **ledger**: `#plan`/`#dbg`/`#ft`/`#rf` เขียน gate state (slice table / hypotheses / scope) ลง `.ppdev/<mode>-ledger.md` ใน repo ที่ทำงานอยู่ → รอด context compaction. เพิ่ม `.ppdev/` ใน `.gitignore` ของ repo นั้น.
-> **ไม่บวม**: ledger เก็บ "1 unit ที่กำลังทำ" เท่านั้น — unit ใหม่ = overwrite (ไม่ append), slice เสร็จ = mark `[x]` ในที่, replan = แก้ table ในที่, DoD ครบ = เคลียร์ไฟล์. ขนาดคงที่ ~1 unit (slice table ~4–12 แถว). โตเกินนั้น = ถูก append ผิด ให้ truncate.
+---
 
-### 2. เรียกใช้
+## Usage
 
-พิมพ์คำสั่งโหมดในแชต หรือปล่อยให้ trigger ทำงานเอง:
+Type a mode command in chat, or let the triggers fire on their own. (Realistic input is in Thai — the skill is built for a Thai-replying workflow.)
 
 ```
 #dbg API /users คืน 500 ตอน login
 #ft เพิ่มหน้า export CSV ให้รายงานยอดขาย
 #rv ช่วย review PR นี้หน่อย
-#pp <อธิบายงาน>   ← ให้เลือกโหมดให้
+#pp <describe the task>   ← let Claude pick the mode
 ```
 
-Claude จะตอบเป็นภาษาไทย (เก็บศัพท์เทคนิค / ชื่อ function / path / error เป็นภาษาอังกฤษ) พร้อม banner บอกโหมดและสถานะ gate ทุกครั้ง เช่น:
+Claude replies in Thai (technical terms / function names / paths / errors stay English), with a one-line banner stating the mode and gate status on every response, e.g.:
 
 ```
 > #dbg | GATE 1 PASS | STEP 1.2
@@ -110,22 +185,37 @@ Claude จะตอบเป็นภาษาไทย (เก็บศัพ
 
 ---
 
-## ประโยชน์
-
-- **กันโค้ดมั่ว** — ไม่มี gate ไม่เขียนโค้ด ข้อมูลไม่ครบต้อง brainstorm ก่อน ไม่เดามั่ว
-- **แก้ถูกจุด** — หา root cause ก่อน ไม่แก้ที่อาการ
-- **ไม่ over-engineer** — ยึดหลัก YAGNI ไม่สร้าง abstraction ก่อนเวลา
-- **บอกความจริง** — ไม่ประจบ ไม่ hedge ไม่ rubber-stamp มีจุดยืนและคำแนะนำที่ชัดเจน
-- **ไม่อ้างว่าเสร็จลอย ๆ** — ทุกคำว่า "เสร็จ / done / works" ต้องมี `VERIFIED:` block (คำสั่งที่รันจริง + output จริง) กำกับ
-- **Security มาก่อน** — แตะ trust boundary เมื่อไหร่ ต้องผ่าน security gate (อ้างอิง OWASP Top 10) เสมอ ปิดไม่ได้
-- **บังคับด้วยกลไก ไม่ใช่แค่ขอ** — Stop hook บังคับ VERIFIED block, ledger ลงไฟล์กัน drift ในเซสชันยาว (ดู `hooks/`)
-- **มีตัวอย่างจริง + offer commit ให้เอง** — `examples/<mode>.md` แสดงแต่ละโหมดตั้งแต่ gate ถึง VERIFIED block · พองาน verified แล้ว skill จะ **offer `#cp` ให้เอง** (ไม่ auto-commit, ไม่ offer ตอนงานยังพัง) ไม่ต้องนึกเองว่าถึงเวลา commit
-- **แยก concern ชัด** — เปลี่ยนพฤติกรรมกับ refactor ห้ามอยู่ใน diff เดียวกัน หนึ่ง response หนึ่งโหมด
+## What it buys you
+
+- **No code from thin air** — no gate, no code; incomplete information means brainstorm first, never guess.
+- **Fix the right spot** — find the root cause, don't patch the symptom.
+- **No over-engineering** — YAGNI: no abstraction before its time.
+- **An honest stance** — no flattery, no hedging, no rubber-stamps; an opinionated recommendation with the tradeoffs.
+- **No hollow "it's done"** — every *done / works / เสร็จ* is backed by a `VERIFIED:` block (real commands + real output).
+- **Security first** — touching a trust boundary always goes through the security gate (OWASP Top 10), and it cannot be waved off.
+- **Enforced by mechanism, not just by asking** — the Stop hook enforces the VERIFIED block; the ledger persists to disk to fight drift in long sessions.
+- **Worked examples + an automatic commit offer** — `examples/<mode>.md` shows each mode from gate to VERIFIED block; once work is verified, the skill **offers `#cp`** on its own (never auto-commits, never offers on broken work).
+- **Clean separation of concerns** — behavior change and refactor never share a diff; one response, one mode.
+
+```mermaid
+flowchart TD
+    P0["#plan GATE 0"] --> ST["slice table → .ppdev/plan-ledger.md"]
+    ST --> S1["slice 1 → its mode (full gate)"]
+    S1 --> Vf{"VERIFIED?"}
+    Vf -->|"No"| S1
+    Vf -->|"Yes"| CP["offer #cp → commit"]
+    CP --> NEXT["next slice ..."]
+    NEXT --> DOD{"arc DoD met?"}
+    DOD -->|"No"| S1
+    DOD -->|"Yes"| RVW["#rv over the whole arc"]
+```
 
 ---
 
-## ปรัชญาหลัก
+## Core philosophy
 
 > "ขอเวลาห้านาทีเพื่อทำให้ถูก ดีกว่าทำผิดไปห้าชั่วโมง" — **การปฏิเสธคือฟีเจอร์**
+>
+> *"Five minutes to get it right beats five hours doing the wrong thing"* — **refusal is a feature.**
 
-แก้ที่ความต้องการจริง ไม่ใช่แค่คำสั่งที่พิมพ์มา ถ้าสองอย่างนี้ขัดกัน Claude จะหยุดถามก่อนเสมอ
+Solve the real need, not just the request as typed. When the two diverge, Claude surfaces it and confirms before doing the work.

package/SKILL.md

@@ -20,7 +20,7 @@ Follow every rule literally. Do not soften, skip, or reinterpret a rule because
 5. Replying in Thai, technical terms kept in English?
 6. Flattery, hedging ("might possibly"), or rubber-stamp ("LGTM")? → delete, state directly.
 7. Mixing modes, mixing behavior change with refactor, or "while I'm here" work?
-8. **FORMAT CHECK (literal text scan, not introspection):** does the response contain a claim-word (`done`, `เสร็จ`, `เสร็จแล้ว`, `เรียบร้อย`, `พร้อมใช้`, `ใช้ได้แล้ว`, `complete`, `finished`, `ready`, `works`, `should work`, `looks good`, `LGTM`, or equivalent) without a `VERIFIED:` / `NOT VERIFIED:` block immediately above it? → response invalid, rewrite: paste the block, or replace the claim-word with a precise statement of what was actually accomplished. No third option. (Enforced mechanically by the Stop hook — see MECHANICAL ENFORCEMENT. The hook is the net; it does not excuse skipping the block.)
+8. **FORMAT CHECK (literal text scan, not introspection):** does the response contain a claim-word (`done`, `เสร็จ`, `เสร็จแล้ว`, `เรียบร้อย`, `พร้อมใช้`, `ใช้ได้แล้ว`, `complete`, `completed`, `finished`, `ready`, `works`, `should work`, `looks good`, `LGTM`, or equivalent) without a `VERIFIED:` / `NOT VERIFIED:` block immediately above it? → response invalid, rewrite: paste the block, or replace the claim-word with a precise statement of what was actually accomplished. No third option. (Enforced mechanically by the Stop hook — see MECHANICAL ENFORCEMENT. The hook is the net; it does not excuse skipping the block. This claim-word list is load-bearing: it mirrors the `CLAIM_EN`/`CLAIM_TH` regex in `hooks/verify-guard.sh` — change one, change both.)
 9. Asking something I could determine myself? → analyze it; ask only genuine judgment/intent calls.
 10. Friction proportional to stakes? Trivial/reversible work just proceeds.
 11. Re-litigating a concern already flagged and waved off? → drop it.

package/bin/cli.js

@@ -13,7 +13,7 @@ const readline = require('readline');
 
 const PKG_ROOT = path.resolve(__dirname, '..');
 const pkg = require(path.join(PKG_ROOT, 'package.json'));
-const ITEMS = ['SKILL.md', 'references', 'hooks', 'README.md', 'LICENSE'];
+const ITEMS = ['SKILL.md', 'references', 'examples', 'hooks', 'README.md', 'LICENSE'];
 
 const log = (m) => process.stdout.write(m + '\n');
 const errln = (m) => process.stderr.write(m + '\n');

package/examples/dbg.md

@@ -25,9 +25,9 @@ repro เชื่อถือได้ + stack ชี้จุดชัด. อ
 
 **Hypothesis:** บรรทัด 42 `req.user.role` — `req.user` เป็น `null` เมื่อ token decode สำเร็จแต่ user ถูกลบไปแล้ว: `db.findUser(id)` คืน `null` แต่โค้ดไม่เช็กก่อน access `.role`. root cause = missing null guard ไม่ใช่ตัว middleware เอง
 
-> #dbg | GATE 1 PASS | STEP 1.4 fix + verify
+> #dbg | GATE 1 PASS | STEP 1.5 fix + verify
 
-fix: เพิ่ม null check หลัง `db.findUser(id)` → คืน 401 แทน crash
+fix ที่ cause ไม่ใช่ symptom (มันตรา 8): "user หายแต่ token ยังใช้ได้" คือ invariant ที่ควรมี — guard นี้คืนค่า 401 เป็น state ที่ถูกต้อง ไม่ใช่ปิดแผล. เพิ่ม null check หลัง `db.findUser(id)` → คืน 401 แทน crash
 
 ```
 VERIFIED:
@@ -41,4 +41,4 @@ $ curl -H "Authorization: Bearer <stale-token>" localhost:3000/users
 
 ---
 
-**สิ่งที่ตัวอย่างนี้สอน:** ไม่มี repro = หยุด ไม่เดา · hypothesis มาก่อน fix · อ่านเฉพาะไฟล์ที่ hypothesis ต้องการ · ทุกคำว่า "fixed" มี VERIFIED block (คำสั่งจริง + output จริง) · จบงานแล้ว offer `#cp` ไม่ auto-commit
+**สิ่งที่ตัวอย่างนี้สอน:** ไม่มี repro = หยุด ไม่เดา · hypothesis มาก่อน fix · อ่านเฉพาะไฟล์ที่ hypothesis ต้องการ · fix ที่ cause ไม่ใช่ symptom (มันตรา 8) · ทุกคำว่า "fixed" มี VERIFIED block (คำสั่งจริง + output จริง — ควรพิสูจน์ทั้งสองทาง: fix→green, revert→red, มันตรา 9) · จบงานแล้ว offer `#cp` ไม่ auto-commit

package/hooks/verify-guard.sh

@@ -51,8 +51,16 @@ printf '%s' "$TEXT" | grep -Eq '> #(dbg|ft|rf|rv|pm|cp|pp)\b' || allow
 printf '%s' "$TEXT" | grep -q 'VERIFIED:' && allow
 
 # Claim-word present without a verification block -> violation (SKILL.md self-check 8 list).
-CLAIM='done|complete|completed|finished|ready|works|should work|looks good|LGTM|เสร็จ|เสร็จแล้ว|เรียบร้อย|พร้อมใช้|ใช้ได้แล้ว'
-printf '%s' "$TEXT" | grep -Eiq "$CLAIM" || allow
+# ASCII claims are bounded by a non-letter or a string edge -- portable across BSD/GNU/ugrep
+# (\b is non-portable) -- so substrings like "abandoned"/"already"/"workspace"/"framework" do
+# NOT false-trigger. Thai has no word breaks, so Thai claims match as-is.
+# This list MUST stay in sync with SKILL.md self-check 8 (the model-side mirror).
+CLAIM_EN='done|complete|completed|finished|ready|works|should work|looks good|LGTM'
+CLAIM_TH='เสร็จ|เสร็จแล้ว|เรียบร้อย|พร้อมใช้|ใช้ได้แล้ว'
+claimed=0
+printf '%s' "$TEXT" | grep -Eiq "(^|[^a-zA-Z])(${CLAIM_EN})([^a-zA-Z]|\$)" && claimed=1
+printf '%s' "$TEXT" | grep -Eq "$CLAIM_TH" && claimed=1
+[ "$claimed" = 1 ] || allow
 
 # Block: feed the reason back so the model fixes it this turn.
 jq -nc '{

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "ppdevskill",
-  "version": "1.2.0",
+  "version": "1.3.0",
   "description": "Unified engineering-partner workflow for Claude Code — debug, build, refactor, review, post-mortem — with hard gates and mechanical (hook-enforced) verification discipline.",
   "bin": {
     "ppdevskill": "bin/cli.js"
@@ -15,7 +15,7 @@
     "LICENSE"
   ],
   "scripts": {
-    "test": "node bin/cli.js --version"
+    "test": "sh test/run.sh && sh test/claim-sync.sh && node bin/cli.js --version"
   },
   "keywords": [
     "claude",

package/references/dbg.md

@@ -1,12 +1,17 @@
 # `#dbg` — Debug
 
-Four steps, in order. No skipping, no reordering.
+Gated steps, in order (GATE 1 → 1.2 → 1.3 → 1.4 → 1.5). No skipping, no reordering. The mantra is title-only so it stays scannable and recitable; the body of each step carries the detail — read the step, not just the title.
 
 Recite this mantra verbatim once per session (user says "skip the mantra" → apply silently):
 > 1. **Reproducibility first** — can the issue be reproduced reliably?
 > 2. **Know the fail path** — debugger first → source trace + knob enumeration → in-code instrumentation.
 > 3. **Question your hypothesis** — what would disprove it?
 > 4. **Every run is a breadcrumb** — cross-reference all of them.
+> 5. **Check the plug before the logic** — observing the real system, not a stale build / wrong env?
+> 6. **Shrink the repro to the bone** — cut until one more cut makes it pass; the residue is the cause.
+> 7. **Binary-search the fault** — probe the midpoint, discard half; bisect, never linear-scan.
+> 8. **Fix the cause, not the symptom** — patch where the invariant breaks, not where it surfaces.
+> 9. **Toggle the fix, prove causality both ways** — fix → green AND revert → red, else coincidence.
 
 ## GATE 1 — Reliable Repro (before anything else)
 
@@ -18,12 +23,18 @@ Recite this mantra verbatim once per session (user says "skip the mantra" → ap
 
 Target: fast (1–5s), deterministic pass/fail. Pin time, seed RNG, freeze network. Proposing a fix without a reliable repro is a violation — return to this gate.
 
+**Shrink to the bone (mantra 6).** Reliable ≠ minimal — a repro can be 500 lines of noise and still pass this gate. Once it repros, cut inputs, steps, and config one at a time until one more cut makes it pass; what remains IS the cause, and it becomes the regression test in STEP 1.5. Reduce before you read source: a minimal artifact collapses the suspect space and sharpens every disproof in 1.3.
+
 ## PARTNER CALL — Pattern Recognition (after GATE 1)
 
 Symptom resembles a known failure class → call it: one sentence what it looks like, one where to look (e.g. *"Intermittent + load-dependent + passes in isolation = race condition writing shared state without a lock. Check [X] first."*). No match → *"No pattern match yet; need to trace the fail path first."* A pattern call is a hypothesis for 1.3, not a conclusion.
 
 ## STEP 1.2 — Know the Fail Path
 
+**Check the plug first (mantra 5).** Before tracing anything, confirm you are observing the real system: the build actually ran, the live binary / branch / env / dependency / input is the one you think it is, no stale artifact or wrong venv. When the trace contradicts your mental model, suspect the observation surface before rewriting the model — the data is rarely the liar. Debugging code that never executed is the most expensive waste there is.
+
+**Binary-search the fault (mantra 7).** Over any *ordered* range — commits, input size, the call path — probe the midpoint and let each result discard half (O(log n), not linear). `git bisect` a regression down to the breaking commit; wolf-fence a pipeline; halve the input. This picks *where* on the path to look; knob enumeration below picks *what* to vary once you are there.
+
 Escalate in order; document why each escalation was needed. Do not jump to 3 if 1 is available.
 1. **Debugger** — step to the failure site (one breakpoint beats ten logs).
 2. **Source trace + knob enumeration** — walk the code path end-to-end; list every knob (config, env, toggle, branch, input shape, timing, concurrency); flip one at a time.
@@ -39,6 +50,12 @@ Session ledger: each entry = what changed, what happened, what it ruled in/out.
 - New hypothesis → must hold for every prior observation; contradiction → refine or discard.
 - Stuck → design the **single experiment** whose outcome resolves the ambiguity; run that next.
 
+## STEP 1.5 — Fix at the Cause, Prove Both Ways
+
+Only after a hypothesis survives 1.3 disproof. Diagnosis (1.2) found *where the bug lives*; this step decides *where the edit lands* and *whether it actually worked*.
+- **Fix the cause, not the symptom (mantra 8).** Patch where the invariant first breaks, not where it surfaces. A null-check, clamp, retry, or try/catch wrapped around a bad value is usually a coverup — the mechanism is still alive upstream and resurfaces elsewhere. If you cannot name the invariant being restored, you have not found the cause yet. (A guard IS the right fix when "absent/invalid" is a legitimate state — e.g. stale token → 401; the test is whether you are restoring an invariant or hiding a violation.)
+- **Toggle the fix, prove causality both ways (mantra 9).** The fix makes the repro green AND reverting the fix makes it red again — one direction alone admits a flaky or coincidental green. Capture this as a regression test you watched FAIL for the right reason *before* it passed; that automated guard outlives the manual GATE 1 repro and pins the bug class shut.
+
 ## HARD RULES
 
-Mantra once per session, verbatim · steps 1→2→3→4 · no fix proposed until GATE 1 passes · no hypothesis testing until 1.2 narrows the path · no hypothesis committed until 1.3 disproof attempt · caught proposing a fix without repro → return to GATE 1 · **after applying any fix: rerun the GATE 1 repro and see it pass, plus the verify recipe (`references/verify.md`)** — green output is done; "the fix should work" is not.
+Mantra once per session, verbatim · steps 1→2→3→4→5 · no fix proposed until GATE 1 passes · no hypothesis testing until 1.2 narrows the path · no hypothesis committed until 1.3 disproof attempt · caught proposing a fix without repro → return to GATE 1 · fix lands at the cause, not the symptom (1.5) · **after applying any fix: rerun the GATE 1 repro and see it pass AND revert-to-confirm it fails again (mantra 9), plus the verify recipe (`references/verify.md`)** — green output is done; "the fix should work" is not.