taskmonkey-cli 0.9.1 → 0.10.0

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "taskmonkey-cli",
-  "version": "0.9.1",
+  "version": "0.10.0",
   "description": "TaskMonkey CLI — Remote dev tools for tenant config editing and tool testing",
   "bin": {
     "tm": "./bin/tm.js",

package/src/commands/pull.js

@@ -51,12 +51,22 @@ export async function pull() {
       }
     }
 
-    // Create CLAUDE.md if it doesn't exist
+    // Create CLAUDE.md if it doesn't exist, otherwise append missing notice blocks.
+    // Each block is identified by a marker line so we never duplicate content.
     const claudeMdPath = join(config._configDir, 'CLAUDE.md');
     if (!existsSync(claudeMdPath)) {
       writeFileSync(claudeMdPath, generateClaudeMd(config.tenant));
       console.log(chalk.cyan(`  CLAUDE.md (created)`));
       written++;
+    } else {
+      const existing = readFileSync(claudeMdPath, 'utf8');
+      const cmsMarker = '<!-- tm:cms-docs-notice -->';
+      if (!existing.includes(cmsMarker)) {
+        const block = `\n\n${cmsMarker}\n## CMS-Wissen (Datenbank)\n\nIm Ordner \`docs/cms/\` liegen Wissens-Dokumentationen für die wichtigsten CMS:\n\n- \`contao.md\` — Contao 4.x/5.x (vollständig)\n- \`wordpress.md\` — WordPress (Core, vollständig)\n- \`typo3.md\`, \`drupal.md\`, \`joomla.md\` — Stubs\n\nWenn dein Tenant eines dieser CMS einsetzt, lies die passende Datei und kopiere die nötigen Tabellen-/Pattern-Sektionen direkt in das System-Prompt oder den passenden Monkey-Task-Prompt. Die Dateien werden **nicht** automatisch geladen.\n`;
+        writeFileSync(claudeMdPath, existing + block);
+        console.log(chalk.cyan(`  CLAUDE.md (updated: cms-docs notice)`));
+        written++;
+      }
     }
 
     // Create AGENTS.md (for Codex, Copilot, etc.) if it doesn't exist
@@ -418,24 +428,32 @@ Key konvertieren: \`ssh-keygen -p -m PEM -P "passphrase" -N "" -f key\`
 
 Siehe \`docs/DatabaseGateway.md\` für Troubleshooting und vollständige Feld-Referenz.
 
-## Shared Prompts (CMS-Wissen)
+## CMS-Wissen (Datenbank)
 
-Im \`shared/\` Ordner liegen vorgefertigte Prompt-Fragmente mit CMS-Wissen (Tabellenstrukturen, Serialisierungsformate etc.).
+Im Ordner \`docs/cms/\` liegen Wissens-Dokumentationen für die wichtigsten CMS:
 
-Einbinden im Task-Prompt per PHP:
-\`\`\`php
-'monkey_tasks.website.prompt' => file_get_contents(__DIR__ . '/../../_shared/tools/database/prompts_contao.php')
-    . <<<'PROMPT'
-    Zusätzliche Anweisungen für diesen spezifischen Task...
-    PROMPT,
-\`\`\`
+- \`contao.md\` — Contao 4.x/5.x (vollständig)
+- \`wordpress.md\` — WordPress (Core, vollständig)
+- \`typo3.md\` — Stub
+- \`drupal.md\` — Stub
+- \`joomla.md\` — Stub
+
+**Wenn dein Tenant eines dieser CMS einsetzt:**
 
-Oder den Inhalt aus \`shared/prompts_contao.php\` manuell in den Prompt kopieren.
+1. Lies die passende \`docs/cms/<cms>.md\` Datei
+2. Identifiziere die Tabellen, Felder und Patterns, die der konkrete Use-Case braucht
+3. **Kopiere die nötigen Abschnitte direkt in das Tenant-Prompt** —
+   meist nach \`prompts/system.php\` oder \`monkey_tasks/<task>.prompt\`
+4. Kürze: nicht alle Tabellen müssen rein, nur was wirklich gebraucht wird
 
-Verfügbare Shared Prompts (nach \`tm pull\` in \`shared/\`):
-- \`prompts_contao.php\` — Contao 4.x Tabellenstrukturen (tl_page, tl_article, tl_content, tl_news, tl_calendar_events, tl_files) + PHP-Serialisierung
+Die Dateien werden **nicht** automatisch in den Prompt geladen. Sie sind reine
+Doku — du entscheidest, was für deinen Tenant relevant ist.
 
-Siehe \`docs/DatabaseGateway.md\` für die vollständige Dokumentation inkl. SQL-Beispiele und CMS-Tabellen.
+> **Niemals raten**: Wenn du einen Stub ergänzt, hole dir das Schema aus einer
+> echten Installation (\`SHOW CREATE TABLE\`) und teste alle SQL-Patterns gegen
+> eine reale Datenbank.
+
+Siehe \`docs/DatabaseGateway.md\` für die Database-Gateway-Dokumentation.
 
 ## Conversation Tests
 
@@ -469,6 +487,26 @@ Optimieren: \`tm optimize-prompt\`
 - Handler-Signatur: \`function(array \\$results, array \\$args, array \\$ctx): array\`
 - Immer \`['success' => true/false]\` im Return-Array
 - \`\\$ctx['tool']('name', \\$args)\` für verschachtelte Tool-Aufrufe
+
+## SICHERHEITSREGELN FÜR HANDLER-CODE
+
+Handler-Code wird auf dem Server validiert. Folgende Funktionen sind **VERBOTEN**:
+
+**Shell/Code-Ausführung:** \`shell_exec\`, \`exec\`, \`system\`, \`passthru\`, \`eval\`, \`assert\`
+**Dateisystem direkt:** \`file_get_contents\`, \`file_put_contents\`, \`fopen\`, \`unlink\`, \`glob\`, \`scandir\`
+**Netzwerk direkt:** \`curl_init\`, \`fsockopen\`, \`new Cake\\Http\\Client\`
+**Includes:** \`include\`, \`require\`, \`include_once\`, \`require_once\`
+**Datenbank direkt:** \`new PDO\`, \`new mysqli\`, \`Configure::read('Tenants.')\`
+**Backticks:** \\\`command\\\`
+
+**Stattdessen nutzen:**
+- \`\\$ctx['tool']('toolName', \\$args)\` — für API-Calls, DB-Zugriff, alles externe
+- \`\\$ctx['tmp_path']\` — für temporäre Dateien (tenant-isoliert)
+- \`\\$ctx['log_path']\` — für Log-Dateien (tenant-isoliert)
+- \`\\$ctx['tool']('logMessage', ['message' => '...'])\` — zum Loggen/Debuggen
+
+**Warum?** Jeder Handler läuft im Server-Kontext. Direkter Dateizugriff könnte andere Tenants lesen.
+Alle externen Operationen MÜSSEN über \`\\$ctx['tool']()\` laufen — das ist tenant-isoliert und geloggt.
 `;
 }
 

package/.tmrc

@@ -1,7 +0,0 @@
-{
-  "server": "https://gpt.meco-media.com",
-  "tenant": "bloomify",
-  "token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJtZWNvZ3B0Iiwic3ViIjoiYzAyZWYyMjItMDU1MC00OTgwLTg0ODYtNzIzOTJmZDI2ZjY5IiwiZW1haWwiOiJtYXJjdXMuZ29lZGVAbWVjby1tZWRpYS5jb20iLCJyb2xlIjoiYWRtaW4iLCJpYXQiOjE3NzUxNTY4NDksImV4cCI6MTc3NTI0MzI0OX0.bpfHNBOuq1un8Psc89Xevn-Ibo4YVAYNNwDRYe6fb4A",
-  "refresh_token": "5c9eb7bacec249d2aacb57402f3f5fedee2faf2796d721be6c02970653e9186b",
-  "tenant_path": "."
-}