shield-harness 0.3.0 → 0.5.0

package/.claude/hooks/sh-config-guard.js

@@ -14,10 +14,15 @@ const {
   sha256,
   appendEvidence,
 } = require("./lib/sh-utils");
+const {
+  readSettingsFile: readAutoModeSection,
+} = require("./lib/automode-detect");
 
 const HOOK_NAME = "sh-config-guard";
 const SETTINGS_FILE = path.join(".claude", "settings.json");
 const CONFIG_HASH_FILE = path.join(".claude", "logs", "config-hash.json");
+const POLICIES_DIR = path.join(".claude", "policies");
+const SETTINGS_LOCAL = path.join(".claude", "settings.local.json");
 
 // ---------------------------------------------------------------------------
 // Config Analysis
@@ -63,10 +68,91 @@ function saveConfigSnapshot(snapshot) {
   fs.writeFileSync(CONFIG_HASH_FILE, JSON.stringify(snapshot, null, 2));
 }
 
+/**
+ * Count items in a YAML list section.
+ * Matches a section header like "deny_read:" followed by indented list items.
+ * @param {string} content - YAML file content
+ * @param {string} sectionName - Name of the YAML section to count
+ * @returns {number} Number of list items in the section
+ */
+function countYamlListItems(content, sectionName) {
+  const regex = new RegExp(sectionName + ":\\n((?:\\s+-\\s+.+\\n)*)", "m");
+  const match = content.match(regex);
+  if (!match) return 0;
+  return match[1].split("\n").filter((l) => l.trim().startsWith("- ")).length;
+}
+
+/**
+ * Count host: entries in network_policies section.
+ * @param {string} content - YAML file content
+ * @returns {number} Number of network endpoint entries
+ */
+function countNetworkEndpoints(content) {
+  const matches = content.match(/^\s+[-\s]*host:\s/gm);
+  return matches ? matches.length : 0;
+}
+
+/**
+ * Scan .claude/policies/ for YAML files and compute SHA-256 hash of each.
+ * @returns {Object.<string, string>} Map of file path to SHA-256 hash
+ */
+function extractPolicyHashes() {
+  const hashes = {};
+  if (!fs.existsSync(POLICIES_DIR)) return hashes;
+  try {
+    const files = fs
+      .readdirSync(POLICIES_DIR)
+      .filter((f) => f.endsWith(".yaml") || f.endsWith(".yml"));
+    for (const file of files) {
+      const filePath = path.join(POLICIES_DIR, file);
+      try {
+        const content = fs.readFileSync(filePath, "utf8");
+        hashes[filePath] = sha256(content);
+      } catch {
+        /* skip unreadable */
+      }
+    }
+  } catch {
+    /* dir read error */
+  }
+  return hashes;
+}
+
+/**
+ * Extract security-critical counts from each YAML policy file.
+ * @returns {Object.<string, { deny_read_count: number, deny_write_count: number, read_write_count: number, network_endpoint_count: number }>}
+ */
+function extractPolicyMetrics() {
+  const metrics = {};
+  if (!fs.existsSync(POLICIES_DIR)) return metrics;
+  try {
+    const files = fs
+      .readdirSync(POLICIES_DIR)
+      .filter((f) => f.endsWith(".yaml") || f.endsWith(".yml"));
+    for (const file of files) {
+      const filePath = path.join(POLICIES_DIR, file);
+      try {
+        const content = fs.readFileSync(filePath, "utf8");
+        metrics[filePath] = {
+          deny_read_count: countYamlListItems(content, "deny_read"),
+          deny_write_count: countYamlListItems(content, "deny_write"),
+          read_write_count: countYamlListItems(content, "read_write"),
+          network_endpoint_count: countNetworkEndpoints(content),
+        };
+      } catch {
+        /* skip */
+      }
+    }
+  } catch {
+    /* dir read error */
+  }
+  return metrics;
+}
+
 /**
  * Extract security-critical fields from settings.
  * @param {Object} settings
- * @returns {{ deny_rules: string[], hook_count: number, hook_events: string[], hook_commands: string[], sandbox: boolean, unsandboxed: boolean, disableAllHooks: boolean }}
+ * @returns {{ deny_rules: string[], hook_count: number, hook_events: string[], hook_commands: string[], sandbox: boolean, unsandboxed: boolean, disableAllHooks: boolean, policy_hashes: Object, policy_metrics: Object }}
  */
 function extractSecurityFields(settings) {
   const denyRules = (settings.permissions && settings.permissions.deny) || [];
@@ -89,7 +175,7 @@ function extractSecurityFields(settings) {
     }
   }
 
-  return {
+  const result = {
     deny_rules: denyRules,
     hook_count: hookCount,
     hook_events: hookEvents,
@@ -100,7 +186,35 @@ function extractSecurityFields(settings) {
         : true,
     unsandboxed: Boolean(settings.allowUnsandboxedCommands),
     disableAllHooks: Boolean(settings.disableAllHooks),
+    policy_hashes: extractPolicyHashes(),
+    policy_metrics: extractPolicyMetrics(),
+    soft_deny_count: 0,
+    soft_allow_count: 0,
   };
+
+  // Auto Mode: read autoMode from both settings files (Phase 7, ADR-038)
+  try {
+    const mainAutoMode = readAutoModeSection(SETTINGS_FILE);
+    const localAutoMode = readAutoModeSection(SETTINGS_LOCAL);
+    const softDeny = [
+      ...new Set([
+        ...(mainAutoMode ? mainAutoMode.soft_deny : []),
+        ...(localAutoMode ? localAutoMode.soft_deny : []),
+      ]),
+    ];
+    const softAllow = [
+      ...new Set([
+        ...(mainAutoMode ? mainAutoMode.soft_allow : []),
+        ...(localAutoMode ? localAutoMode.soft_allow : []),
+      ]),
+    ];
+    result.soft_deny_count = softDeny.length;
+    result.soft_allow_count = softAllow.length;
+  } catch {
+    // Auto Mode detection failure is non-blocking for config-guard
+  }
+
+  return result;
 }
 
 /**
@@ -156,6 +270,70 @@ function detectDangerousMutations(stored, current) {
     reasons.push("disableAllHooks set to true");
   }
 
+  // Check 6: OpenShell policy file tampering (ADR-037 GA Phase)
+  const storedHashes = stored.policy_hashes || {};
+  const currentHashes = current.policy_hashes || {};
+  const storedMetrics = stored.policy_metrics || {};
+  const currentMetrics = current.policy_metrics || {};
+
+  for (const [filePath, storedHash] of Object.entries(storedHashes)) {
+    if (!(filePath in currentHashes)) {
+      // Policy file was deleted
+      reasons.push(`OpenShell policy file removed: "${filePath}"`);
+      continue;
+    }
+    if (currentHashes[filePath] !== storedHash) {
+      // Policy file changed — check for weakening
+      const sm = storedMetrics[filePath] || {};
+      const cm = currentMetrics[filePath] || {};
+
+      if (
+        sm.deny_read_count > 0 &&
+        (cm.deny_read_count || 0) < sm.deny_read_count
+      ) {
+        reasons.push(
+          `OpenShell policy weakened: deny_read reduced (${sm.deny_read_count} → ${cm.deny_read_count || 0}) in "${filePath}"`,
+        );
+      }
+      if (
+        sm.deny_write_count > 0 &&
+        (cm.deny_write_count || 0) < sm.deny_write_count
+      ) {
+        reasons.push(
+          `OpenShell policy weakened: deny_write reduced (${sm.deny_write_count} → ${cm.deny_write_count || 0}) in "${filePath}"`,
+        );
+      }
+      if ((cm.network_endpoint_count || 0) > (sm.network_endpoint_count || 0)) {
+        reasons.push(
+          `OpenShell policy weakened: network endpoints expanded (${sm.network_endpoint_count || 0} → ${cm.network_endpoint_count}) in "${filePath}"`,
+        );
+      }
+      if ((cm.read_write_count || 0) > (sm.read_write_count || 0)) {
+        reasons.push(
+          `OpenShell policy weakened: read_write paths expanded (${sm.read_write_count || 0} → ${cm.read_write_count}) in "${filePath}"`,
+        );
+      }
+    }
+  }
+
+  // Check 7: Auto Mode soft_deny addition (CRITICAL — all default protections lost)
+  const storedSoftDeny = stored.soft_deny_count || 0;
+  const currentSoftDeny = current.soft_deny_count || 0;
+  if (currentSoftDeny > storedSoftDeny) {
+    reasons.push(
+      `Auto Mode soft_deny added (${storedSoftDeny} → ${currentSoftDeny}) — ALL default protections would be lost`,
+    );
+  }
+
+  // Check 8: Auto Mode soft_allow expansion
+  const storedSoftAllow = stored.soft_allow_count || 0;
+  const currentSoftAllow = current.soft_allow_count || 0;
+  if (currentSoftAllow > storedSoftAllow) {
+    reasons.push(
+      `Auto Mode soft_allow expanded (${storedSoftAllow} → ${currentSoftAllow}) — additional tools auto-approved`,
+    );
+  }
+
   return {
     blocked: reasons.length > 0,
     reasons,
@@ -272,4 +450,8 @@ module.exports = {
   saveConfigSnapshot,
   extractSecurityFields,
   detectDangerousMutations,
+  extractPolicyHashes,
+  extractPolicyMetrics,
+  countYamlListItems,
+  countNetworkEndpoints,
 };

package/.claude/hooks/sh-session-start.js

@@ -17,6 +17,8 @@ const {
 } = require("./lib/sh-utils");
 const { detectOpenShell } = require("./lib/openshell-detect");
 const { checkPolicyCompatibility } = require("./lib/policy-compat");
+const { checkPolicyDrift } = require("./lib/policy-drift");
+const { detectAutoMode } = require("./lib/automode-detect");
 
 const HOOK_NAME = "sh-session-start";
 const CLAUDE_MD = "CLAUDE.md";
@@ -230,6 +232,71 @@ try {
     }
   }
 
+  // 2e: Policy drift check (ADR-037 GA Phase)
+  const POLICIES_DIR = path.join(".claude", "policies");
+  if (fs.existsSync(POLICIES_DIR)) {
+    try {
+      const driftResult = checkPolicyDrift({
+        specPath: PERM_SPEC_FILE,
+        policyDir: POLICIES_DIR,
+      });
+      session.policy_drift = driftResult;
+      writeSession(session);
+
+      if (driftResult.has_drift) {
+        contextParts.push(
+          `[layer-3b] WARNING: Policy drift detected — ${driftResult.warnings.length} issue(s) found`,
+        );
+        for (const warning of driftResult.warnings.slice(0, 3)) {
+          contextParts.push(`[layer-3b]   ${warning}`);
+        }
+        if (driftResult.warnings.length > 3) {
+          contextParts.push(
+            `[layer-3b]   ... and ${driftResult.warnings.length - 3} more`,
+          );
+        }
+        contextParts.push(
+          "[layer-3b] Run: npx shield-harness generate-policy to regenerate",
+        );
+      }
+    } catch {
+      // drift check failure is non-blocking
+    }
+  }
+
+  // 2f: Auto Mode detection (Phase 7, ADR-038)
+  let autoModeResult = null;
+  try {
+    autoModeResult = detectAutoMode();
+    session.auto_mode = autoModeResult;
+    writeSession(session);
+
+    if (autoModeResult.danger_level === "critical") {
+      contextParts.push(
+        `[auto-mode] CRITICAL: Auto Mode soft_deny detected (${autoModeResult.soft_deny_count} rules) — ALL default protections lost`,
+      );
+      for (const item of autoModeResult.danger_items.slice(0, 3)) {
+        contextParts.push(`[auto-mode]   Lost: ${item}`);
+      }
+      if (autoModeResult.danger_items.length > 3) {
+        contextParts.push(
+          `[auto-mode]   ... and ${autoModeResult.danger_items.length - 3} more protections lost`,
+        );
+      }
+    } else if (autoModeResult.danger_level === "warn") {
+      contextParts.push(
+        `[auto-mode] WARNING: Auto Mode soft_allow detected — ${autoModeResult.soft_allow_count} rules auto-approved`,
+      );
+    } else if (autoModeResult.detected) {
+      contextParts.push("[auto-mode] Auto Mode configured (safe)");
+    } else {
+      contextParts.push("[auto-mode] Auto Mode: not configured");
+    }
+  } catch {
+    // Auto Mode detection failure is non-blocking
+    contextParts.push("[auto-mode] Auto Mode detection error (non-blocking)");
+  }
+
   // --- Module 3: Version Check (§5.1.4) ---
   // Store baseline hashes for instructions monitoring
   const hashes = {};
@@ -273,6 +340,22 @@ try {
       sandbox_version: openshellResult.version || null,
       sandbox_policy_enforced:
         openshellResult.available && openshellResult.container_running,
+      policy_drift: session.policy_drift
+        ? {
+            has_drift: session.policy_drift.has_drift,
+            warning_count: session.policy_drift.warnings
+              ? session.policy_drift.warnings.length
+              : 0,
+          }
+        : null,
+      auto_mode: autoModeResult
+        ? {
+            detected: autoModeResult.detected,
+            danger_level: autoModeResult.danger_level,
+            soft_deny_count: autoModeResult.soft_deny_count,
+            soft_allow_count: autoModeResult.soft_allow_count,
+          }
+        : null,
       policy_compat: policyCompat
         ? {
             compatible: policyCompat.compatible,

package/.claude/permissions-spec.json

@@ -85,11 +85,26 @@
         "rationale": "Local settings protection",
         "threat_id": "T-03"
       },
+      {
+        "rule": "Edit(.claude/settings.local.json)",
+        "rationale": "Local settings protection — Auto Mode injection prevention (Phase 7, ADR-038)",
+        "threat_id": "T-03"
+      },
       {
         "rule": "Write(.claude/permissions-spec.json)",
         "rationale": "Permissions SoT self-protection",
         "threat_id": "T-03"
       },
+      {
+        "rule": "Edit(.claude/policies/**)",
+        "rationale": "OpenShell policy file protection (ADR-037 GA)",
+        "threat_id": "T-03"
+      },
+      {
+        "rule": "Write(.claude/policies/**)",
+        "rationale": "OpenShell policy file protection (ADR-037 GA)",
+        "threat_id": "T-03"
+      },
       {
         "rule": "Bash(rm -rf /)",
         "rationale": "System destruction prevention",
@@ -433,7 +448,7 @@
     ]
   },
   "expected_counts": {
-    "deny": 41,
+    "deny": 44,
     "ask": 4,
     "allow": 49
   }

package/.claude/policies/openshell-generated.yaml

@@ -0,0 +1,105 @@
+# Auto-generated by Shield Harness tier-policy-gen
+# Source: permissions-spec.json v1.0.0
+# Profile: standard
+# Generated: 2026-03-24T06:03:59.030Z
+#
+# Usage:
+#   openshell sandbox create --policy <this-file> -- claude
+#
+# Static policies require sandbox recreation to change.
+# Network policies can be hot-reloaded: openshell policy set <name> --policy <file> --wait
+
+version: 1
+
+# --- Static (locked at sandbox creation) ---
+
+filesystem_policy:
+  include_workdir: true
+  deny_read:
+    - ~/.ssh
+    - ~/.aws
+    - ~/.gnupg
+    - **/.env
+    - **/.env.*
+    - **/credentials*
+    - ./**/*.pem
+    - ./**/*.key
+    - ./**/*secret*
+    - ~/.config/gcloud
+  deny_write:
+    - .claude/hooks
+    - .claude/rules
+    - .claude/skills
+    - .claude/settings.json
+    - .claude/permissions-spec.json
+    - .claude/settings.local.json
+    - .claude/policies
+    - tasks/backlog.yaml
+    - .shield-harness
+    - .claude/patterns
+  read_only:
+    - /usr
+    - /lib
+    - /etc
+  read_write:
+    - /sandbox
+    - /tmp
+
+landlock:
+  compatibility: best_effort
+
+process:
+  run_as_user: sandbox
+  run_as_group: sandbox
+
+# --- Dynamic (hot-reloadable) ---
+
+network_policies:
+  anthropic_api:
+    name: anthropic-api
+    endpoints:
+      - host: api.anthropic.com
+        port: 443
+        access: full
+    binaries:
+      - path: /usr/local/bin/claude
+
+  github:
+    name: github
+    endpoints:
+      - host: github.com
+        port: 443
+        access: read-only
+      - host: "*.githubusercontent.com"
+        port: 443
+        access: read-only
+    binaries:
+      - path: /usr/bin/git
+
+  npm_registry:
+    name: npm-registry
+    endpoints:
+      - host: registry.npmjs.org
+        port: 443
+        access: read-only
+    binaries:
+      - path: /usr/bin/npm
+      - path: /usr/bin/node
+
+# Blocked network operations (from permissions-spec.json deny rules):
+#   - curl *
+#   - wget *
+#   - Invoke-WebRequest *
+#   - nc *
+#   - ncat *
+#   - nmap *
+#   - git push --force *
+#   - npm publish *
+
+# Blocked process operations (from permissions-spec.json deny rules):
+#   - rm -rf /
+#   - rm -rf ~
+#   - del /s /q C:\\
+#   - format *
+#   - cat */.ssh/*
+#   - type *\\.ssh\\*

package/README.ja.md

@@ -4,9 +4,9 @@
 
 **Claude Code の全操作を自動防御するセキュリティハーネス**
 
-> 承認ダイアログなしで安全な自律開発を実現
+> フック駆動の自動判定で安全な自律開発を実現
 
-> **Alpha (v0.1.0)**: セキュリティモデルは開発中です。パーミッションルールと設計ドキュメントの整合作業を進めています。本番利用は推奨しません。
+> **v0.5.0**: 22 フック、4 層防御（L1 権限 + L2 フック + L3 サンドボックス + L3b OpenShell）、426 テスト（OWASP AITG 攻撃シミュレーション 108 テスト + Auto Mode 防御テスト 35 テスト含む）。
 
 [![English](https://img.shields.io/badge/lang-English-blue?style=flat-square)](README.md)
 [![日本語](https://img.shields.io/badge/lang-日本語-red?style=flat-square)](#)
@@ -16,7 +16,7 @@
 ## Shield Harness とは
 
 Claude Code の全操作を自動防御するセキュリティハーネス。
-承認ダイアログなしで安全な自律開発を実現します。`.claude/` ディレクトリに展開される hooks + rules + permissions による多層防御でエージェントを統制します。
+フック駆動の自動判定で安全な自律開発を実現します。`.claude/` ディレクトリに展開される hooks + rules + permissions による多層防御でエージェントを統制します。
 
 ## クイックスタート
 
@@ -27,13 +27,13 @@ npx shield-harness init [--profile minimal|standard|strict]
 ## なぜ Shield Harness なのか
 
 - **フック駆動の防御**: 22 のセキュリティフックが Claude Code の全操作を監視
-- **承認レスモード**: hooks に全セキュリティ判定を委譲し、人間の承認ダイアログを排除
+- **自動セキュリティ判定**: hooks が全セキュリティ判断をリアルタイムで処理 — 手動承認のボトルネックなし
 - **fail-close 原則**: 安全条件を確認できない場合は自動的に停止
 - **証跡記録**: SHA-256 ハッシュチェーンで全 allow/deny 決定を改ざん不能な形で記録
 
 ## アーキテクチャ概要
 
-3 層防御モデル:
+4 層防御モデル:
 
 | 層       | 防御                   | 実装                                                          |
 | -------- | ---------------------- | ------------------------------------------------------------- |
@@ -52,30 +52,30 @@ npx shield-harness init [--profile minimal|standard|strict]
 
 ## フックカタログ
 
-| #   | フック           | イベント              | 責務                                          |
-| --- | ---------------- | --------------------- | --------------------------------------------- |
-| 1   | permission       | PreToolUse            | ツール使用の 4 カテゴリ分類                   |
-| 2   | gate             | PreToolUse            | Bash コマンドの 7 攻撃ベクトル検査            |
-| 3   | injection-guard  | PreToolUse            | 9 カテゴリ 50+ パターンのインジェクション検出 |
-| 4   | data-boundary    | PreToolUse            | 本番データ境界 + 管轄追跡                     |
-| 5   | quiet-inject     | PreToolUse            | quiet フラグ自動注入                          |
-| 6   | evidence         | PostToolUse           | SHA-256 ハッシュチェーン証跡                  |
-| 7   | output-control   | PostToolUse           | 出力トランケーション + トークン予算           |
-| 8   | dep-audit        | PostToolUse           | パッケージインストール検出                    |
-| 9   | lint-on-save     | PostToolUse           | 自動 lint 実行                                |
-| 10  | session-start    | SessionStart          | セッション初期化 + 整合性ベースライン         |
-| 11  | session-end      | SessionEnd            | クリーンアップ + 統計                         |
-| 12  | circuit-breaker  | Stop                  | リトライ上限 (3 回)                           |
-| 13  | config-guard     | ConfigChange          | 設定変更の監視                                |
-| 14  | user-prompt      | UserPromptSubmit      | ユーザー入力のインジェクション検査            |
-| 15  | permission-learn | PermissionRequest     | 権限学習ガード                                |
-| 16  | elicitation      | Elicitation           | フィッシング + スコープガード                 |
-| 17  | subagent         | SubagentStart         | サブエージェント予算制約 (25%)                |
-| 18  | instructions     | InstructionsLoaded    | ルールファイル整合性監視                      |
-| 19  | precompact       | PreCompact            | コンパクション前バックアップ                  |
-| 20  | postcompact      | PostCompact           | コンパクション後復元 + 検証                   |
-| 21  | worktree         | WorktreeCreate/Remove | セキュリティ伝播 + 証跡マージ                 |
-| 22  | task-gate        | TaskCompleted         | テストゲート                                  |
+| #   | フック           | イベント              | 責務                                                             |
+| --- | ---------------- | --------------------- | ---------------------------------------------------------------- |
+| 1   | permission       | PreToolUse            | ツール使用の 4 カテゴリ分類                                      |
+| 2   | gate             | PreToolUse            | Bash コマンドの 7 攻撃ベクトル検査                               |
+| 3   | injection-guard  | PreToolUse            | 9 カテゴリ 50+ パターンのインジェクション検出                    |
+| 4   | data-boundary    | PreToolUse            | 本番データ境界 + 管轄追跡                                        |
+| 5   | quiet-inject     | PreToolUse            | quiet フラグ自動注入                                             |
+| 6   | evidence         | PostToolUse           | SHA-256 ハッシュチェーン証跡                                     |
+| 7   | output-control   | PostToolUse           | 出力トランケーション + トークン予算                              |
+| 8   | dep-audit        | PostToolUse           | パッケージインストール検出                                       |
+| 9   | lint-on-save     | PostToolUse           | 自動 lint 実行                                                   |
+| 10  | session-start    | SessionStart          | セッション初期化 + 整合性ベースライン                            |
+| 11  | session-end      | SessionEnd            | クリーンアップ + 統計                                            |
+| 12  | circuit-breaker  | Stop                  | リトライ上限 (3 回)                                              |
+| 13  | config-guard     | ConfigChange          | 設定変更の監視 + OpenShell ポリシーファイル保護 + Auto Mode 保護 |
+| 14  | user-prompt      | UserPromptSubmit      | ユーザー入力のインジェクション検査                               |
+| 15  | permission-learn | PermissionRequest     | 権限学習ガード                                                   |
+| 16  | elicitation      | Elicitation           | フィッシング + スコープガード                                    |
+| 17  | subagent         | SubagentStart         | サブエージェント予算制約 (25%)                                   |
+| 18  | instructions     | InstructionsLoaded    | ルールファイル整合性監視                                         |
+| 19  | precompact       | PreCompact            | コンパクション前バックアップ                                     |
+| 20  | postcompact      | PostCompact           | コンパクション後復元 + 検証                                      |
+| 21  | worktree         | WorktreeCreate/Remove | セキュリティ伝播 + 証跡マージ                                    |
+| 22  | task-gate        | TaskCompleted         | テストゲート                                                     |
 
 ## パイプライン
 
@@ -148,10 +148,75 @@ Windows ユーザーにとっての主なメリット:
 
 - ポリシーがエージェントプロセスの**外部**に存在 — エージェント自身がガードレールを無効化できない
 - Docker Desktop + WSL2 バックエンド（一般的な Windows 開発環境）で動作
-- 残余リスクを 5% から 1% 未満に低減
+- Layer 1-2 のパターンマッチング限界による残余リスクを大幅に低減
 - 自由に取り外し可能 — コンテナを停止すれば Shield Harness は Layer 1-2 にフォールバック
 
-> **注意**: OpenShell は Alpha（v0.0.13）— API は将来変更の可能性があります。
+> **注意**: OpenShell は Alpha（v0.0.13）— API は将来変更の可能性があります。Shield Harness 側の GA Phase 統合は完了済み（ADR-037）: config guard によるポリシーファイル保護、ポリシードリフトチェック、全ドキュメント整備が完了しています。
+
+#### セットアップ
+
+**前提条件**: [Docker Desktop](https://www.docker.com/products/docker-desktop/)（Windows では WSL2 バックエンド）
+
+```bash
+# 1. Docker Desktop をインストールし、起動を確認
+#    https://www.docker.com/products/docker-desktop/
+docker --version
+
+# 2. OpenShell CLI のインストール
+pip install openshell
+
+# 3. permissions-spec.json からポリシーを生成
+#    .claude/policies/openshell-generated.yaml が作成されます
+npx shield-harness policy generate
+
+# 4. OpenShell コンテナを起動し、その中で Claude Code を実行
+#    初回実行時に Docker がサンドボックスイメージを自動取得します
+#    コンテナ内ではカーネルレベル制限（Landlock/Seccomp/Network NS）が自動適用されます
+openshell run --policy .claude/policies/openshell-generated.yaml
+```
+
+OpenShell コンテナ内で動作する Claude Code には、Layer 3b のカーネル強制が自動的に適用されます。Shield Harness はセッション開始時にこれを検出します（`sh-session-start.js`）— 追加設定は不要です。
+
+OpenShell なしの場合、Shield Harness は Layer 1-2 防御にフォールバックします（フック保護に劣化なし）。
+
+ポリシーファイルは以下で保護されます:
+
+- `permissions.deny`: `Edit/Write(.claude/policies/**)` でエージェントによる変更をブロック
+- `sandbox.denyWrite`: `.claude/policies` がファイルシステム deny リストに含まれる
+- `sh-config-guard.js`: ハッシュ追跡でポリシーファイルの改竄・弱体化を検出
+- `sh-session-start.js`: セッション開始時のドリフトチェックで spec-policy 整合性を検証
+
+## テスト
+
+```bash
+# 全テスト実行（426 テスト、攻撃シミュレーション含む）
+npm test
+
+# 攻撃シミュレーションテストのみ実行
+node --test tests/attack-sim-*.test.js
+```
+
+| テストスイート                | OWASP カテゴリ                         | テスト数 |
+| ----------------------------- | -------------------------------------- | -------- |
+| attack-sim-prompt-injection   | AITG-APP-01: Direct Prompt Injection   | 25       |
+| attack-sim-indirect-injection | AITG-APP-02: Indirect Prompt Injection | 18       |
+| attack-sim-data-leak          | AITG-APP-03: Sensitive Data Leak       | 20       |
+| attack-sim-agentic-limits     | AITG-APP-06: Agentic Behavior Limits   | 18       |
+| attack-sim-sandbox-escape     | NVIDIA 3-axis: Sandbox Escape          | 15       |
+| attack-sim-defense-chain      | SAIF: Defense-in-depth Chain           | 12       |
+| attack-sim-automode-bypass    | Auto Mode: soft_deny/soft_allow bypass | 15       |
+
+## Auto Mode 対応 (v0.5.0)
+
+Shield Harness はセッション開始時に Claude Code の Auto Mode（Research Preview）設定を検知し、危険な設定を防御します:
+
+| 設定                   | リスク                                                  | Shield Harness の対応                                               |
+| ---------------------- | ------------------------------------------------------- | ------------------------------------------------------------------- |
+| `autoMode.soft_deny`   | **CRITICAL** — 分類器のデフォルト保護が全て無効化される | config-guard が追加をブロック、session-start が CRITICAL 警告を出力 |
+| `autoMode.soft_allow`  | WARN — 特定ツールが自動許可される                       | config-guard が拡大をブロック、session-start が WARNING を出力      |
+| `autoMode.environment` | 安全 — 情報のみ                                         | 検知してセッションに記録                                            |
+
+既存の全フック（PreToolUse, PostToolUse）は Auto Mode でも通常通り発火します。`permissions.deny` ルールは絶対的に維持されます。
 
 ## チャンネル連携
 
@@ -180,11 +245,11 @@ Shield Harness は [Semantic Versioning](https://semver.org/) に準拠します
 | `minor` | 新機能（後方互換）、Phase 内 must タスク全完了時 | OCSF 対応、新フック追加、CLI オプション追加 |
 | `major` | 破壊的変更                                       | スキーマ非互換変更、settings 構造変更       |
 
-**リリーストリガー**: `git tag v1.x.x && git push origin v1.x.x` で `release.yml` が自動実行（npm publish + GitHub Release）。セキュリティ修正は即座に patch リリース。
+**リリーストリガー**: `git tag vX.Y.Z && git push origin vX.Y.Z` で `release.yml` が自動実行（npm publish + GitHub Release）。セキュリティ修正は即座に patch リリース。
 
 ## 参考プロジェクト
 
-Shield Harness は 40 以上の Claude Code セキュリティプロジェクトを調査して設計されました。主な参考:
+主な参考プロジェクト:
 
 | プロジェクト                                                                 | 影響を受けた点                                                                                                       |
 | ---------------------------------------------------------------------------- | -------------------------------------------------------------------------------------------------------------------- |