ppdevskill 1.2.0 → 1.3.1

package/README.md

@@ -1,131 +1,178 @@
-# ppdevskill — Engineering Partner Skill
+# ppdevskill — your engineering partner, not a code vending machine
 
-Claude Skill ที่เปลี่ยน Claude จาก "AI ที่พ่นโค้ดให้เสร็จ ๆ ไป" ให้กลายเป็น **เพื่อนร่วมงานวิศวกรรมจริง ๆ** — เข้าใจความต้องการที่แท้จริง แก้ให้ถูกจุด ไม่ over-engineer และเขียนโค้ดอย่างมีหลักการ
+[![npm version](https://img.shields.io/npm/v/ppdevskill.svg)](https://www.npmjs.com/package/ppdevskill)
+[![license](https://img.shields.io/npm/l/ppdevskill.svg)](./LICENSE)
+
+> Turn Claude from *"an AI that throws out throwaway code to finish fast"* into a **real engineering thought-partner** — one that understands the actual need, fixes the right spot, refuses to over-engineer, and never says *"it's done"* about something it never ran.
+
+`ppdevskill` is a single [Claude](https://claude.ai/code) skill that unifies the whole software-engineering workflow into **six modes + a commit action**, each guarded by a **hard gate** that cannot be skipped. The gate stops Claude from writing code before the information is complete and before you have approved a plan.
+
+> **Language note:** by design the skill **replies in Thai**, keeping technical terms — function names, paths, errors, commands, code — in English. The technical docs below are English for reach; the demonstrated behavior is Thai.
 
 ---
 
-## คืออะไร
+## The problem it solves
+
+LLM coding assistants share three expensive failure modes:
+
+1. **Code from thin air** — they start editing before they understand the need.
+2. **"It works" that doesn't** — they claim success they never verified.
+3. **Unguarded boundaries** — they touch auth / SQL / file-upload without a threat model.
 
-`ppdevskill` คือ skill เดียวที่รวม workflow งานวิศวกรรมซอฟต์แวร์ไว้ครบ 5 โหมด แต่ละโหมดมี **gate (ด่านบังคับ)** ที่ข้ามไม่ได้ เพื่อกัน Claude ไม่ให้ลงมือเขียนโค้ดก่อนที่ข้อมูลจะครบและก่อนที่ผู้ใช้จะอนุมัติ
+And a fourth that grows over time: **drift** — the longer the session, the more they "slip" their own rules.
 
-หัวใจของ skill คือ **zero drift** — LLM มักจะ "หลุด" กฎเมื่อบทสนทนายาวขึ้นหรือเมื่อผู้ใช้เร่ง skill นี้บังคับให้ Claude ยึดกฎตามตัวอักษรทุกครั้ง แม้ผู้ใช้จะบอกว่า "ทำเลย" หรือ "ข้าม gate ไปเถอะ" ก็ไม่ถือเป็นการอนุญาตให้ละเมิดกฎ
+`ppdevskill` attacks all four with **gates, a verification discipline, a mechanical Stop-hook, and an on-disk ledger** — discipline backed by mechanism, not willpower.
 
 ---
 
-## โหมดทั้งหมด
+## Modes & commands
 
-| โหมด | คำสั่ง | ใช้เมื่อ |
-|---|---|---|
-| Plan | `#plan` | งานใหญ่หลายขั้น ข้ามหลายโหมด หรือ >3 slices — orchestrate / วางแผน |
-| Debug | `#dbg` | เจอ bug, มี error / stack trace, ของพัง |
-| Feature | `#ft` | เพิ่ม / สร้าง / implement ฟีเจอร์ใหม่ |
-| Refactor | `#rf` | ทำความสะอาด / จัดโครงสร้างโค้ด (ไม่เปลี่ยนพฤติกรรม) |
-| Review | `#rv` | review / audit PR, diff, plan, design doc |
-| Post-mortem | `#pm` | เขียน RCA / post-mortem หลังแก้ bug เสร็จ |
-| Commit/Push | `#cp` | commit และ push (ข้อความสะอาด ไม่มี AI attribution) |
+| Mode | Command | Use when | Gate |
+|---|---|---|---|
+| Plan | `#plan` | A big multi-step arc spanning >1 mode or >3 slices — orchestrate & decompose | GATE 0 · outcome + size + DoD |
+| Debug | `#dbg` | A bug, error / stack trace, something broken or throwing | GATE 1 · reliable repro |
+| Feature | `#ft` | Add / build / implement a new capability | GATE 2 · need + 3 scenarios + scope |
+| Refactor | `#rf` | Clean up / restructure with **no behavior change** | GATE 3 · safety net + smell + pin |
+| Review | `#rv` | Review / audit a PR, diff, plan, or design doc | GATE 4 · outsider trace + cite |
+| Post-mortem | `#pm` | Write the RCA after a fix has landed | GATE 5 · repro + cause + fix + validation |
 
-- `#pp` — auto-route: ให้ Claude เลือกโหมดเองจากบริบท
-- `#plan` — orchestrator: แตกงานใหญ่เป็น slice (ตาม dependency), tag โหมดให้แต่ละ slice, แล้ว hand off — **ไม่เขียนโค้ดเอง** (เหมือน `#bs`)
-- **Security** เป็นด่านขวาง (cross-cutting) ไม่ใช่โหมดที่ 6 — ทุกการเปลี่ยนแปลงที่แตะ trust boundary (input / auth / token / file / SQL / shell / crypto / secret / network) จะเปิด security gate อัตโนมัติ และ **ปิดไม่ได้**
+Plus: **`#pp`** auto-routes from context · **`#cp`** is the commit/push action (clean message, no AI attribution, runs only after work is verified) · **`#bs`** hands off to a separate brainstorm skill when the *approach itself* is undecided.
+
+**No gate, no proceed.** If the gate is not satisfied, Claude states exactly what is missing, stops, and waits. Security is a **cross-cutting gate that cannot be waved off** — any change touching a trust boundary (input / auth / token / file / SQL / shell / crypto / secret / network / access control / new dependency) trips it, and the abuse case is *exercised, not assumed*.
+
+```mermaid
+flowchart LR
+    REQ["request / command"] --> ROUTE["pick mode + gate"]
+    ROUTE --> G{"gate satisfied?<br/>(info + approval)"}
+    G -->|No| B["BLOCKED — name what's missing, stop"]
+    G -->|Yes| P["proceed + VERIFIED block"]
+    SEC["security gate · cannot be waived"] -.-> P
+```
+
+A user saying *"just do it"* / *"ทำเลย"* / *"trust me"* is **not** authorization to break a rule. The rule is restated and the work stops until the gate is genuinely satisfied. This is the **zero-drift** core.
 
 ---
 
-## ใช้ยังไง
+## VERIFIED discipline + mechanical enforcement
 
-### 1. ติดตั้ง
+The skill never claims success it has not observed. Any claim-word — *done*, *works*, *complete*, `เสร็จ`, `เรียบร้อย` — must be backed by a `VERIFIED:` block (the **actual** commands run + their **actual** output) immediately above it. The escape hatch is `NOT VERIFIED:`, which lists every skipped step, the reason, and the concrete checks you must perform. Static checks (type-check, lint) do **not** count as verification.
 
-**วิธีง่ายสุด — ผ่าน npm:**
+This is not left to willpower. A **Stop hook** (`hooks/verify-guard.sh`) blocks the turn from ending when a ppdevskill response carries a banner + a claim-word but no verification block, and feeds the reason back so the model fixes it in the same turn. It is **self-scoping** (fires only on ppdevskill responses — other workflows untouched), **fail-open** (any error → allow; a discipline hook must never brick a session), and catches **Thai claim-words too**.
 
-```bash
-npx ppdevskill@latest install        # copy เข้า ~/.claude/skills/ + ถามว่าจะ wire hook ไหม
-npx ppdevskill install --with-hook   # wire Stop hook ให้เลย ไม่ถาม
-npx ppdevskill install --no-hook     # ไม่แตะ settings.json (print snippet ให้ paste เอง)
+```mermaid
+flowchart TD
+    R["reply at turn end"] --> H["verify-guard.sh (Stop hook)"]
+    H --> S{"ppdevskill banner?"}
+    S -->|No| A["allow — not our turn"]
+    S -->|Yes| V{"VERIFIED: / NOT VERIFIED: block?"}
+    V -->|Yes| A
+    V -->|No| C{"claim-word? (done / works / เสร็จ ...)"}
+    C -->|No| A
+    C -->|Yes| BL["block — feed reason back, fix this turn"]
+    H -.->|"any error / no jq / no banner"| A
 ```
 
-installer จะ backup ของเดิมก่อน, `chmod +x` hook ให้, และไม่ทับ key อื่นใน settings.json. เสร็จแล้ว restart Claude Code.
+**Ledger — anti-drift persistence.** `#plan` / `#dbg` / `#ft` / `#rf` persist their gate state (slice table, hypotheses, scope) to `.ppdev/<mode>-ledger.md`, so it **survives context compaction** — Claude re-anchors from the file, not from memory. It is bounded to one active unit (overwrite on a new unit, mark `[x]` in place, clear when done).
 
-**หรือ git clone:**
+---
 
-```bash
-git clone https://github.com/Kamisadev/ppdevskill.git ~/.claude/skills/ppdevskill
-```
+## Does it actually change anything? (benchmark)
 
-โครงสร้างไฟล์:
+Measured on a 27-trial A/B benchmark — **same model both arms**, identical prompts, with-skill vs without-skill, across all 7 modes + 3 security classes. The skill does not make a weak model smart; it makes a capable model **consistently, mechanically disciplined**.
 
-```
-ppdevskill/
-├── SKILL.md              # hub หลัก — กฎ, principles, routing
-├── references/
-│   ├── plan.md           # GATE 0 + ขั้นตอนโหมด ultra-plan (orchestrator)
-│   ├── dbg.md            # gate + ขั้นตอนโหมด debug
-│   ├── ft.md             # gate + ขั้นตอนโหมด feature
-│   ├── rf.md             # gate + ขั้นตอนโหมด refactor
-│   ├── rv.md             # gate + ขั้นตอนโหมด review
-│   ├── pm.md             # gate + ขั้นตอนโหมด post-mortem
-│   ├── sec.md            # security gate (OWASP Top 10)
-│   ├── verify.md         # ตารางวิธี verify ตามชนิดงาน
-│   └── git-auto.md       # ขั้นตอน #cp commit / push
-├── hooks/
-│   ├── verify-guard.sh       # Stop hook — บังคับ VERIFIED block ด้วยกลไก
-│   └── settings.snippet.json # config ที่ merge เข้า settings.json
-└── examples/                 # worked example ต่อโหมด — อ่าน on demand
-    ├── plan.md           # ตัวอย่างโหมด ultra-plan (GATE 0 → slice table)
-    ├── dbg.md            # ตัวอย่างโหมด debug (gate → VERIFIED)
-    ├── ft.md             # ตัวอย่างโหมด feature
-    ├── rf.md             # ตัวอย่างโหมด refactor
-    ├── rv.md             # ตัวอย่างโหมด review
-    ├── pm.md             # ตัวอย่างโหมด post-mortem
-    └── cp.md             # ตัวอย่าง commit / push
-```
+| Behavior | Without skill | With skill |
+|---|---:|---:|
+| Wrote code with no plan/approval | **64%** of turns | **0%** |
+| Claimed "works/done" without running it | **100%** (2/2) | **0%** |
+| Enumerated abuse-cases on a boundary task | **0%** (0/7) | **100%** (6/6) |
+| Guessed a root cause before a repro existed | yes | **no** |
+| Mixed a bug-fix into a refactor diff | yes | **no** |
+| Discipline banner + gate state every reply | 0% | **100%** |
+
+The underrated win is **consistency**: the with-skill arm has near-zero variance; the baseline is disciplined only some of the time, which is exactly what you can't trust in production.
+
+---
+
+## Pros & cons — the honest list
 
-### 1.5 เปิดการบังคับด้วยกลไก (hooks) — แนะนำ
+**Pros**
 
-ทำให้กฎ VERIFIED block บังคับด้วย Stop hook จริง ไม่พึ่งวินัย LLM ล้วน. merge `hooks/settings.snippet.json` เข้า `~/.claude/settings.json` (global) หรือ `.claude/settings.json` (ต่อ project) — ถ้ามี key `hooks` อยู่แล้ว เพิ่ม entry `Stop` เข้าไป **อย่าทับ**.
+- ✅ **Kills "fake done."** Every claim is backed by real commands + real output, or an explicit `NOT VERIFIED:`.
+- ✅ **No code from thin air.** No gate, no code; incomplete info → it asks, never guesses.
+- ✅ **Security is non-negotiable.** Trust-boundary changes always go through the OWASP gate, and it cannot be waved off.
+- ✅ **Finds the root cause.** Demands a repro before hypothesizing; fixes the cause, not the symptom.
+- ✅ **Clean separation.** Behavior change and refactor never share a diff.
+- ✅ **Mechanical, not aspirational.** The Stop hook enforces verification; the ledger fights drift in long sessions.
+- ✅ **Consistent floor.** Near-zero variance — it behaves the same on turn 50 as on turn 1.
+- ✅ **An honest stance.** No flattery, no hedging, no rubber-stamp "LGTM" — an opinionated recommendation with tradeoffs.
+- ✅ **Plays nice.** The hook is self-scoping and fail-open: it never touches other workflows and never bricks a session.
+
+**Cons** *(so you can decide with eyes open)*
+
+- ⚠️ **It costs more per turn.** ~1.8× tokens and latency on a *cold* turn (it reads its own rules). This amortizes over a session, but it is real upfront cost.
+- ⚠️ **It adds friction to trivial work.** A one-line rename or a throwaway script still meets some ceremony. For spikes / REPL experiments, that friction is not worth it.
+- ⚠️ **It replies in Thai by design.** Technical terms stay English, but the prose is Thai. If you need English replies, this is a mismatch.
+- ⚠️ **The Stop hook needs `jq`.** No `jq`, the hook fails open (so nothing breaks) but you lose the mechanical net.
+- ⚠️ **It pushes back.** It will ask for a repro, acceptance scenarios, or a security abuse-case before writing code. If you just want code *now*, that refusal is friction — by design ("refusal is a feature").
+- ⚠️ **Benchmark caveat.** Gains are measured against the *same* model, so the value is *consistency and guarantees*, not raw capability. Multi-turn anti-drift benefits are real but harder to quantify.
+
+**Bottom line:** use it for production code, anything touching auth / payments / data deletion, PR reviews, and long multi-day arcs. Skip it for throwaway scripts and quick learning spikes.
+
+---
+
+## Install
+
+**Easiest — via npm:**
 
 ```bash
-chmod +x ~/.claude/skills/ppdevskill/hooks/verify-guard.sh
+npx ppdevskill@latest install        # copy into ~/.claude/skills/ + ask whether to wire the hook
+npx ppdevskill install --with-hook    # wire the Stop hook immediately, no prompt
+npx ppdevskill install --no-hook      # don't touch settings.json (prints the snippet to paste)
 ```
 
-หลัง merge: response ที่มี ppdevskill banner + อ้างว่าเสร็จ (`done`/`เสร็จ`/`works`) แต่ไม่มี `VERIFIED:`/`NOT VERIFIED:` block → hook **block** + บังคับแก้ในเทิร์นนั้น. **scope เฉพาะ ppdevskill** (ดูจาก banner) — workflow อื่นไม่โดน. **fail-open** — hook พังเมื่อไหร่ = ปล่อยผ่าน ไม่เคย brick session. ต้องมี `jq`.
+The installer backs up any existing install, `chmod +x` the hook, and never clobbers unrelated keys in `settings.json`. Restart Claude Code afterward. The hook requires `jq`.
 
-> **ledger**: `#plan`/`#dbg`/`#ft`/`#rf` เขียน gate state (slice table / hypotheses / scope) ลง `.ppdev/<mode>-ledger.md` ใน repo ที่ทำงานอยู่ → รอด context compaction. เพิ่ม `.ppdev/` ใน `.gitignore` ของ repo นั้น.
-> **ไม่บวม**: ledger เก็บ "1 unit ที่กำลังทำ" เท่านั้น — unit ใหม่ = overwrite (ไม่ append), slice เสร็จ = mark `[x]` ในที่, replan = แก้ table ในที่, DoD ครบ = เคลียร์ไฟล์. ขนาดคงที่ ~1 unit (slice table ~4–12 แถว). โตเกินนั้น = ถูก append ผิด ให้ truncate.
+**Or git clone:**
 
-### 2. เรียกใช้
+```bash
+git clone https://github.com/Kamisadev/ppdevskill.git ~/.claude/skills/ppdevskill
+```
 
-พิมพ์คำสั่งโหมดในแชต หรือปล่อยให้ trigger ทำงานเอง:
+---
+
+## Usage
+
+Type a mode command in chat, or let the triggers fire on their own:
 
 ```
 #dbg API /users คืน 500 ตอน login
 #ft เพิ่มหน้า export CSV ให้รายงานยอดขาย
 #rv ช่วย review PR นี้หน่อย
-#pp <อธิบายงาน>   ← ให้เลือกโหมดให้
+#pp <describe the task>   ← let Claude pick the mode
 ```
 
-Claude จะตอบเป็นภาษาไทย (เก็บศัพท์เทคนิค / ชื่อ function / path / error เป็นภาษาอังกฤษ) พร้อม banner บอกโหมดและสถานะ gate ทุกครั้ง เช่น:
-
-```
-> #dbg | GATE 1 PASS | STEP 1.2
-```
+Every reply carries a one-line banner stating mode + gate status, e.g. `> #dbg | GATE 1 PASS | STEP 1.2`.
 
 ---
 
-## ประโยชน์
+## Thank you 🙏 — no strings attached
+
+If you are reading this, you might be about to try this skill — and that already means a lot.
+
+**Even a single download is real encouragement to me.** It tells me this skill is useful to someone out there, and that is the whole reason I keep building it. You don't owe me anything: use it for months on a serious codebase, or just `npx` it once to see how it feels and walk away. Both are completely fine. **No commitment, no lock-in, no pressure.**
+
+> ขอบคุณจริง ๆ สำหรับการดาวน์โหลดและทดลองใช้ครับ 🙏
+> แค่ **1 download** ก็เป็นกำลังใจดี ๆ ให้ผมแล้วว่า skill นี้มีประโยชน์ต่อใครสักคน
+> จะใช้ยาว ๆ กับงานจริง หรือลองเล่นแล้วเลิกก็ได้ — **ไม่ผูกมัดอะไรทั้งนั้น** ขอบคุณที่ให้โอกาสครับ
 
-- **กันโค้ดมั่ว** — ไม่มี gate ไม่เขียนโค้ด ข้อมูลไม่ครบต้อง brainstorm ก่อน ไม่เดามั่ว
-- **แก้ถูกจุด** — หา root cause ก่อน ไม่แก้ที่อาการ
-- **ไม่ over-engineer** — ยึดหลัก YAGNI ไม่สร้าง abstraction ก่อนเวลา
-- **บอกความจริง** — ไม่ประจบ ไม่ hedge ไม่ rubber-stamp มีจุดยืนและคำแนะนำที่ชัดเจน
-- **ไม่อ้างว่าเสร็จลอย ๆ** — ทุกคำว่า "เสร็จ / done / works" ต้องมี `VERIFIED:` block (คำสั่งที่รันจริง + output จริง) กำกับ
-- **Security มาก่อน** — แตะ trust boundary เมื่อไหร่ ต้องผ่าน security gate (อ้างอิง OWASP Top 10) เสมอ ปิดไม่ได้
-- **บังคับด้วยกลไก ไม่ใช่แค่ขอ** — Stop hook บังคับ VERIFIED block, ledger ลงไฟล์กัน drift ในเซสชันยาว (ดู `hooks/`)
-- **มีตัวอย่างจริง + offer commit ให้เอง** — `examples/<mode>.md` แสดงแต่ละโหมดตั้งแต่ gate ถึง VERIFIED block · พองาน verified แล้ว skill จะ **offer `#cp` ให้เอง** (ไม่ auto-commit, ไม่ offer ตอนงานยังพัง) ไม่ต้องนึกเองว่าถึงเวลา commit
-- **แยก concern ชัด** — เปลี่ยนพฤติกรรมกับ refactor ห้ามอยู่ใน diff เดียวกัน หนึ่ง response หนึ่งโหมด
+If it saved you from one "it works" that didn't, it did its job. ❤️
 
 ---
 
-## ปรัชญาหลัก
+## Core philosophy
 
 > "ขอเวลาห้านาทีเพื่อทำให้ถูก ดีกว่าทำผิดไปห้าชั่วโมง" — **การปฏิเสธคือฟีเจอร์**
+>
+> *"Five minutes to get it right beats five hours doing the wrong thing"* — **refusal is a feature.**
 
-แก้ที่ความต้องการจริง ไม่ใช่แค่คำสั่งที่พิมพ์มา ถ้าสองอย่างนี้ขัดกัน Claude จะหยุดถามก่อนเสมอ
+Solve the real need, not just the request as typed. When the two diverge, Claude surfaces it and confirms before doing the work.

package/SKILL.md

@@ -20,7 +20,7 @@ Follow every rule literally. Do not soften, skip, or reinterpret a rule because
 5. Replying in Thai, technical terms kept in English?
 6. Flattery, hedging ("might possibly"), or rubber-stamp ("LGTM")? → delete, state directly.
 7. Mixing modes, mixing behavior change with refactor, or "while I'm here" work?
-8. **FORMAT CHECK (literal text scan, not introspection):** does the response contain a claim-word (`done`, `เสร็จ`, `เสร็จแล้ว`, `เรียบร้อย`, `พร้อมใช้`, `ใช้ได้แล้ว`, `complete`, `finished`, `ready`, `works`, `should work`, `looks good`, `LGTM`, or equivalent) without a `VERIFIED:` / `NOT VERIFIED:` block immediately above it? → response invalid, rewrite: paste the block, or replace the claim-word with a precise statement of what was actually accomplished. No third option. (Enforced mechanically by the Stop hook — see MECHANICAL ENFORCEMENT. The hook is the net; it does not excuse skipping the block.)
+8. **FORMAT CHECK (literal text scan, not introspection):** does the response contain a claim-word (`done`, `เสร็จ`, `เสร็จแล้ว`, `เรียบร้อย`, `พร้อมใช้`, `ใช้ได้แล้ว`, `complete`, `completed`, `finished`, `ready`, `works`, `should work`, `looks good`, `LGTM`, or equivalent) without a `VERIFIED:` / `NOT VERIFIED:` block immediately above it? → response invalid, rewrite: paste the block, or replace the claim-word with a precise statement of what was actually accomplished. No third option. (Enforced mechanically by the Stop hook — see MECHANICAL ENFORCEMENT. The hook is the net; it does not excuse skipping the block. This claim-word list is load-bearing: it mirrors the `CLAIM_EN`/`CLAIM_TH` regex in `hooks/verify-guard.sh` — change one, change both.)
 9. Asking something I could determine myself? → analyze it; ask only genuine judgment/intent calls.
 10. Friction proportional to stakes? Trivial/reversible work just proceeds.
 11. Re-litigating a concern already flagged and waved off? → drop it.

package/bin/cli.js

@@ -13,7 +13,7 @@ const readline = require('readline');
 
 const PKG_ROOT = path.resolve(__dirname, '..');
 const pkg = require(path.join(PKG_ROOT, 'package.json'));
-const ITEMS = ['SKILL.md', 'references', 'hooks', 'README.md', 'LICENSE'];
+const ITEMS = ['SKILL.md', 'references', 'examples', 'hooks', 'README.md', 'LICENSE'];
 
 const log = (m) => process.stdout.write(m + '\n');
 const errln = (m) => process.stderr.write(m + '\n');

package/examples/dbg.md

@@ -25,9 +25,9 @@ repro เชื่อถือได้ + stack ชี้จุดชัด. อ
 
 **Hypothesis:** บรรทัด 42 `req.user.role` — `req.user` เป็น `null` เมื่อ token decode สำเร็จแต่ user ถูกลบไปแล้ว: `db.findUser(id)` คืน `null` แต่โค้ดไม่เช็กก่อน access `.role`. root cause = missing null guard ไม่ใช่ตัว middleware เอง
 
-> #dbg | GATE 1 PASS | STEP 1.4 fix + verify
+> #dbg | GATE 1 PASS | STEP 1.5 fix + verify
 
-fix: เพิ่ม null check หลัง `db.findUser(id)` → คืน 401 แทน crash
+fix ที่ cause ไม่ใช่ symptom (มันตรา 8): "user หายแต่ token ยังใช้ได้" คือ invariant ที่ควรมี — guard นี้คืนค่า 401 เป็น state ที่ถูกต้อง ไม่ใช่ปิดแผล. เพิ่ม null check หลัง `db.findUser(id)` → คืน 401 แทน crash
 
 ```
 VERIFIED:
@@ -41,4 +41,4 @@ $ curl -H "Authorization: Bearer <stale-token>" localhost:3000/users
 
 ---
 
-**สิ่งที่ตัวอย่างนี้สอน:** ไม่มี repro = หยุด ไม่เดา · hypothesis มาก่อน fix · อ่านเฉพาะไฟล์ที่ hypothesis ต้องการ · ทุกคำว่า "fixed" มี VERIFIED block (คำสั่งจริง + output จริง) · จบงานแล้ว offer `#cp` ไม่ auto-commit
+**สิ่งที่ตัวอย่างนี้สอน:** ไม่มี repro = หยุด ไม่เดา · hypothesis มาก่อน fix · อ่านเฉพาะไฟล์ที่ hypothesis ต้องการ · fix ที่ cause ไม่ใช่ symptom (มันตรา 8) · ทุกคำว่า "fixed" มี VERIFIED block (คำสั่งจริง + output จริง — ควรพิสูจน์ทั้งสองทาง: fix→green, revert→red, มันตรา 9) · จบงานแล้ว offer `#cp` ไม่ auto-commit

package/hooks/verify-guard.sh

@@ -51,8 +51,16 @@ printf '%s' "$TEXT" | grep -Eq '> #(dbg|ft|rf|rv|pm|cp|pp)\b' || allow
 printf '%s' "$TEXT" | grep -q 'VERIFIED:' && allow
 
 # Claim-word present without a verification block -> violation (SKILL.md self-check 8 list).
-CLAIM='done|complete|completed|finished|ready|works|should work|looks good|LGTM|เสร็จ|เสร็จแล้ว|เรียบร้อย|พร้อมใช้|ใช้ได้แล้ว'
-printf '%s' "$TEXT" | grep -Eiq "$CLAIM" || allow
+# ASCII claims are bounded by a non-letter or a string edge -- portable across BSD/GNU/ugrep
+# (\b is non-portable) -- so substrings like "abandoned"/"already"/"workspace"/"framework" do
+# NOT false-trigger. Thai has no word breaks, so Thai claims match as-is.
+# This list MUST stay in sync with SKILL.md self-check 8 (the model-side mirror).
+CLAIM_EN='done|complete|completed|finished|ready|works|should work|looks good|LGTM'
+CLAIM_TH='เสร็จ|เสร็จแล้ว|เรียบร้อย|พร้อมใช้|ใช้ได้แล้ว'
+claimed=0
+printf '%s' "$TEXT" | grep -Eiq "(^|[^a-zA-Z])(${CLAIM_EN})([^a-zA-Z]|\$)" && claimed=1
+printf '%s' "$TEXT" | grep -Eq "$CLAIM_TH" && claimed=1
+[ "$claimed" = 1 ] || allow
 
 # Block: feed the reason back so the model fixes it this turn.
 jq -nc '{

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "ppdevskill",
-  "version": "1.2.0",
+  "version": "1.3.1",
   "description": "Unified engineering-partner workflow for Claude Code — debug, build, refactor, review, post-mortem — with hard gates and mechanical (hook-enforced) verification discipline.",
   "bin": {
     "ppdevskill": "bin/cli.js"
@@ -15,7 +15,7 @@
     "LICENSE"
   ],
   "scripts": {
-    "test": "node bin/cli.js --version"
+    "test": "sh test/run.sh && sh test/claim-sync.sh && node bin/cli.js --version"
   },
   "keywords": [
     "claude",

package/references/dbg.md

@@ -1,12 +1,17 @@
 # `#dbg` — Debug
 
-Four steps, in order. No skipping, no reordering.
+Gated steps, in order (GATE 1 → 1.2 → 1.3 → 1.4 → 1.5). No skipping, no reordering. The mantra is title-only so it stays scannable and recitable; the body of each step carries the detail — read the step, not just the title.
 
 Recite this mantra verbatim once per session (user says "skip the mantra" → apply silently):
 > 1. **Reproducibility first** — can the issue be reproduced reliably?
 > 2. **Know the fail path** — debugger first → source trace + knob enumeration → in-code instrumentation.
 > 3. **Question your hypothesis** — what would disprove it?
 > 4. **Every run is a breadcrumb** — cross-reference all of them.
+> 5. **Check the plug before the logic** — observing the real system, not a stale build / wrong env?
+> 6. **Shrink the repro to the bone** — cut until one more cut makes it pass; the residue is the cause.
+> 7. **Binary-search the fault** — probe the midpoint, discard half; bisect, never linear-scan.
+> 8. **Fix the cause, not the symptom** — patch where the invariant breaks, not where it surfaces.
+> 9. **Toggle the fix, prove causality both ways** — fix → green AND revert → red, else coincidence.
 
 ## GATE 1 — Reliable Repro (before anything else)
 
@@ -18,12 +23,18 @@ Recite this mantra verbatim once per session (user says "skip the mantra" → ap
 
 Target: fast (1–5s), deterministic pass/fail. Pin time, seed RNG, freeze network. Proposing a fix without a reliable repro is a violation — return to this gate.
 
+**Shrink to the bone (mantra 6).** Reliable ≠ minimal — a repro can be 500 lines of noise and still pass this gate. Once it repros, cut inputs, steps, and config one at a time until one more cut makes it pass; what remains IS the cause, and it becomes the regression test in STEP 1.5. Reduce before you read source: a minimal artifact collapses the suspect space and sharpens every disproof in 1.3.
+
 ## PARTNER CALL — Pattern Recognition (after GATE 1)
 
 Symptom resembles a known failure class → call it: one sentence what it looks like, one where to look (e.g. *"Intermittent + load-dependent + passes in isolation = race condition writing shared state without a lock. Check [X] first."*). No match → *"No pattern match yet; need to trace the fail path first."* A pattern call is a hypothesis for 1.3, not a conclusion.
 
 ## STEP 1.2 — Know the Fail Path
 
+**Check the plug first (mantra 5).** Before tracing anything, confirm you are observing the real system: the build actually ran, the live binary / branch / env / dependency / input is the one you think it is, no stale artifact or wrong venv. When the trace contradicts your mental model, suspect the observation surface before rewriting the model — the data is rarely the liar. Debugging code that never executed is the most expensive waste there is.
+
+**Binary-search the fault (mantra 7).** Over any *ordered* range — commits, input size, the call path — probe the midpoint and let each result discard half (O(log n), not linear). `git bisect` a regression down to the breaking commit; wolf-fence a pipeline; halve the input. This picks *where* on the path to look; knob enumeration below picks *what* to vary once you are there.
+
 Escalate in order; document why each escalation was needed. Do not jump to 3 if 1 is available.
 1. **Debugger** — step to the failure site (one breakpoint beats ten logs).
 2. **Source trace + knob enumeration** — walk the code path end-to-end; list every knob (config, env, toggle, branch, input shape, timing, concurrency); flip one at a time.
@@ -39,6 +50,12 @@ Session ledger: each entry = what changed, what happened, what it ruled in/out.
 - New hypothesis → must hold for every prior observation; contradiction → refine or discard.
 - Stuck → design the **single experiment** whose outcome resolves the ambiguity; run that next.
 
+## STEP 1.5 — Fix at the Cause, Prove Both Ways
+
+Only after a hypothesis survives 1.3 disproof. Diagnosis (1.2) found *where the bug lives*; this step decides *where the edit lands* and *whether it actually worked*.
+- **Fix the cause, not the symptom (mantra 8).** Patch where the invariant first breaks, not where it surfaces. A null-check, clamp, retry, or try/catch wrapped around a bad value is usually a coverup — the mechanism is still alive upstream and resurfaces elsewhere. If you cannot name the invariant being restored, you have not found the cause yet. (A guard IS the right fix when "absent/invalid" is a legitimate state — e.g. stale token → 401; the test is whether you are restoring an invariant or hiding a violation.)
+- **Toggle the fix, prove causality both ways (mantra 9).** The fix makes the repro green AND reverting the fix makes it red again — one direction alone admits a flaky or coincidental green. Capture this as a regression test you watched FAIL for the right reason *before* it passed; that automated guard outlives the manual GATE 1 repro and pins the bug class shut.
+
 ## HARD RULES
 
-Mantra once per session, verbatim · steps 1→2→3→4 · no fix proposed until GATE 1 passes · no hypothesis testing until 1.2 narrows the path · no hypothesis committed until 1.3 disproof attempt · caught proposing a fix without repro → return to GATE 1 · **after applying any fix: rerun the GATE 1 repro and see it pass, plus the verify recipe (`references/verify.md`)** — green output is done; "the fix should work" is not.
+Mantra once per session, verbatim · steps 1→2→3→4→5 · no fix proposed until GATE 1 passes · no hypothesis testing until 1.2 narrows the path · no hypothesis committed until 1.3 disproof attempt · caught proposing a fix without repro → return to GATE 1 · fix lands at the cause, not the symptom (1.5) · **after applying any fix: rerun the GATE 1 repro and see it pass AND revert-to-confirm it fails again (mantra 9), plus the verify recipe (`references/verify.md`)** — green output is done; "the fix should work" is not.