feat: 薄殼原則落地 + seed 下沉 API + MCP 進主庫 + 部署一致性

壓測四橫向問題修正（docs 壓測報告）：

① 薄殼原則成鐵律：能力長在 API，CLI/MCP/lib 只暴露
   - seed 下沉成 API 行為：cypher-executor POST /init/seed（一次灌 API+auth recipe），
     種子資料移到 server src/lib/api-recipe-seeds.ts，CLI 改薄殼一次呼叫
   - 解除 deployFullyOk 連坐 + init 補 seed auth recipe + update 補 seed/全 KV
   - registry SUBMISSIONS_KV 補進 REQUIRED_KV_NAMESPACES（修 20/21）

② MCP 統一帳號來源（單一 remote MCP + .env 切 MCP URL）
   - MCP 從 sibling repo 搬進 arcrun/mcp/（remote Worker，route 改 mcp.arcrun.dev）
   - config 加 mcp_url 三層解析 + getMcpUrl + DEFAULT_MCP_URL
   - 新增 acr mcp-setup：依 config 寫專案 .mcp.json（接案切資料夾自動切 MCP）
   - acr --version 改動態讀 package.json（根治漂移）

③ Deploy 一致性
   - tests/release.feature + scripts/check-release.sh
   - local-deploy.sh：CLI npm publish + auto patch bump + CHANGELOG
   - local-deploy.sh bash 3.2 相容修正（mapfile / 空陣列 set -u）
   - builtins/pnpm-lock.yaml

④ README self-hosted 同步現況（移除 R2 殘留、加 flag/env、多帳號）

CLI bump → 1.3.0

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>

cli/src/lib/api-recipe-seeds.ts

@@ -1,119 +0,0 @@
-/**
- * api-recipe-seeds.ts
- *
- * 現役 API recipe 的種子定義。self-host 新帳號 init 時把這些灌進空的 RECIPES KV
- * （透過 cypher-executor 的 POST /recipes，或 CF KV REST API 直接寫）。
- *
- * API recipe = http_request + 固定設定（endpoint/method 模板）。
- * 不需 deploy Worker，cypher-executor 執行時直接 fetch（見 cypher-executor/src/routes/recipes.ts）。
- *
- * 放在 CLI 端而非 cypher-executor/src：
- *   - seed 資料是「installer 要灌進用戶 KV 的種子」，本就屬 CLI 職責（SDD self-hosted-init.md §4）。
- *   - rule 02 §2.2 hook 擋 cypher-executor TS hard-code API endpoint；seed 的 endpoint 是資料欄位，
- *     放 CLI 端避開誤判，也更符合職責切分。
- *
- * 來源：2026-06-01 從 prod cypher.arcrun.dev/recipes 逐一查得的現役定義。
- * 對應 SDD：.agents/specs/arcrun/sdk-and-website/self-hosted-init.md §5
- *
- * KBDB recipe（kbdb_*）採 Supabase 模式（richblack 2026-06-02）：
- *   進 seed = 展示能力（引子）。使用者要用 → 去 arcrun 取統一 API Key 當 credential。
- *   FOLLOW-UP（KBDB 端）：endpoint 現為 kbdb.finally.click，KBDB 應改用統一對外網址；
- *   KBDB 改網址後同步更新此處。seed 先照現況進。
- */
-
-export interface ApiRecipeSeed {
-  canonical_id: string;
-  display_name: string;
-  description?: string;
-  endpoint: string;
-  method: string;
-  auth_service?: string;
-}
-
-export const API_RECIPE_SEEDS: ApiRecipeSeed[] = [
-  // ── KBDB（Supabase 模式，auth_service=kbdb static_key）──
-  {
-    canonical_id: 'kbdb_get',
-    display_name: 'KBDB Get',
-    description: 'GET 讀取 block / 查詢。_path 帶查詢路徑。auth: kbdb static_key。',
-    endpoint: 'https://kbdb.finally.click{{_path}}',
-    method: 'GET',
-    auth_service: 'kbdb',
-  },
-  {
-    canonical_id: 'kbdb_create_block',
-    display_name: 'KBDB Create Block',
-    description: 'POST /blocks 建立 block。body 帶 block 欄位（content/type/page_name/source/user_id 等）。auth: kbdb static_key。',
-    endpoint: 'https://kbdb.finally.click/blocks',
-    method: 'POST',
-    auth_service: 'kbdb',
-  },
-  {
-    canonical_id: 'kbdb_patch_block',
-    display_name: 'KBDB Patch Block',
-    description: 'PATCH /blocks/:id 局部更新。_path 帶 /blocks/{id}，body 帶要改的欄位。auth: kbdb static_key。',
-    endpoint: 'https://kbdb.finally.click{{_path}}',
-    method: 'PATCH',
-    auth_service: 'kbdb',
-  },
-  {
-    canonical_id: 'kbdb_delete',
-    display_name: 'KBDB Delete',
-    description: 'DELETE /blocks/:id 刪除 block。_path 帶 /blocks/{id}。auth: kbdb static_key。',
-    endpoint: 'https://kbdb.finally.click{{_path}}',
-    method: 'DELETE',
-    auth_service: 'kbdb',
-  },
-  {
-    canonical_id: 'kbdb_ingest',
-    display_name: 'KBDB Ingest',
-    description: 'POST /blocks/ingest 批次寫入。body 帶 input。auth: kbdb static_key。',
-    endpoint: 'https://kbdb.finally.click/blocks/ingest',
-    method: 'POST',
-    auth_service: 'kbdb',
-  },
-
-  // ── Google（service_account）──
-  {
-    canonical_id: 'gmail_send',
-    display_name: 'Gmail Send',
-    description: '寄 Gmail。POST messages/send，body 帶 raw（base64url MIME）。auth: google service_account。',
-    endpoint: 'https://gmail.googleapis.com/gmail/v1/users/me/messages/send',
-    method: 'POST',
-    auth_service: 'google_gmail_sa',
-  },
-  {
-    canonical_id: 'google_sheets_append',
-    display_name: 'Google Sheets Append',
-    description: '寫 Sheets。PUT values?valueInputOption=RAW，body 帶 values。auth: google service_account。',
-    endpoint: 'https://sheets.googleapis.com{{_path}}',
-    method: 'PUT',
-    auth_service: 'google_sheets_sa',
-  },
-  {
-    canonical_id: 'google_sheets_read',
-    display_name: 'Google Sheets Read',
-    description: '讀 Sheets。GET values。_path 帶完整路徑。auth: google service_account。',
-    endpoint: 'https://sheets.googleapis.com{{_path}}',
-    method: 'GET',
-    auth_service: 'google_sheets_sa',
-  },
-
-  // ── 訊息（static_key）──
-  {
-    canonical_id: 'telegram_send',
-    display_name: 'Telegram Send',
-    description: 'Telegram sendMessage。token 在 URL path（{{auth.bot_token}}），body 帶 chat_id+text。auth: static_key path 注入。',
-    endpoint: 'https://api.telegram.org/bot{{auth.bot_token}}/sendMessage',
-    method: 'POST',
-    auth_service: 'telegram',
-  },
-  {
-    canonical_id: 'line_notify_send',
-    display_name: 'LINE Notify',
-    description: 'LINE Notify 推訊息。POST notify，body 帶 message（form-urlencoded）。auth: static_key Bearer line token。',
-    endpoint: 'https://notify-api.line.me/api/notify',
-    method: 'POST',
-    auth_service: 'line_notify',
-  },
-];

cli/src/lib/config.ts

@@ -21,6 +21,12 @@ export interface ArcrunConfig {
   credentials_kv_namespace_id?: string;
   webhooks_kv_namespace_id?: string;
   // 共用
+  // MCP server URL（薄殼原則：CLI 與 MCP 同一份身份解析）。
+  //   self-hosted / 接案：指向自己 / 客戶的 remote MCP Worker（綁該帳號的 cypher）。
+  //   未設 → fallback 平台預設（SaaS 用戶）。acr mcp-setup 依此寫專案 .mcp.json，
+  //   讓「進哪個專案資料夾 → Claude Code 連那台 MCP」自動生效。
+  //   SDD: sdk-and-website/mcp-account-source.md
+  mcp_url?: string;
   multi_tenant?: boolean;
   // 資料外流警示：本機記住「已同意暴露 / 選擇不再警示」的資源，避免每次 push 重問（§3 首次問記住）。
   // key 格式：`{kind}:{resourceName}`（如 "webhook:contacts_lookup" / "recipe:kbdb_get"）。
@@ -43,10 +49,17 @@ const ENV_MAP: Record<string, keyof ArcrunConfig> = {
   ARCRUN_API_KEY: 'api_key',
   ARCRUN_ENCRYPTION_KEY: 'encryption_key',
   ARCRUN_CYPHER_EXECUTOR_URL: 'cypher_executor_url',
+  ARCRUN_MCP_URL: 'mcp_url',
   CLOUDFLARE_ACCOUNT_ID: 'cloudflare_account_id',
   CLOUDFLARE_API_TOKEN: 'cf_api_token',
 };
 
+/**
+ * 平台預設 MCP URL（mcp_url 未設時的 fallback，SaaS 用戶用）。
+ * MCP 搬進 arcrun 主庫後改用 arcrun.dev zone（mcp/wrangler.toml route = mcp.arcrun.dev）。
+ */
+export const DEFAULT_MCP_URL = 'https://mcp.arcrun.dev';
+
 export function configExists(): boolean {
   return existsSync(CONFIG_PATH) || findProjectConfig() !== undefined;
 }
@@ -114,7 +127,7 @@ export function resolveConfigSources(): Array<{ field: keyof ArcrunConfig; value
   const env = readEnvOverrides();
   const fields: (keyof ArcrunConfig)[] = [
     'mode', 'api_key', 'encryption_key', 'cloudflare_account_id',
-    'cf_api_token', 'cypher_executor_url',
+    'cf_api_token', 'cypher_executor_url', 'mcp_url',
   ];
   const rows: Array<{ field: keyof ArcrunConfig; value: string; source: ConfigSource }> = [];
   for (const f of fields) {
@@ -146,3 +159,12 @@ export function getCypherExecutorUrl(config: ArcrunConfig): string {
   }
   return 'https://cypher.arcrun.dev';
 }
+
+/**
+ * 取得 MCP server URL（薄殼原則：與 cypher_url 同一份 config 解析）。
+ *   config 有 mcp_url（env/專案/全域 任一層）→ 用它；否則 fallback 平台預設。
+ *   acr mcp-setup 用此決定要寫進專案 .mcp.json 的 URL → 切資料夾自動切 MCP。
+ */
+export function getMcpUrl(config: ArcrunConfig): string {
+  return config.mcp_url && config.mcp_url.trim() !== '' ? config.mcp_url : DEFAULT_MCP_URL;
+}

cli/src/lib/deploy.ts

@@ -17,7 +17,13 @@ import { join } from 'node:path';
  *  注意：repo 名大小寫敏感（codeload 路徑需完全一致）。*/
 const ARCRUN_REPO = process.env.ARCRUN_REPO ?? 'uncle6me-web/Arcrun';
 
-/** init 要建立的 7 個 KV namespace（title）。權威來源：.claude/rules/01-tech-stack.md 資料儲存表。*/
+/**
+ * init 要建立的 KV namespace（title）。
+ * 前 7 個權威來源：.claude/rules/01-tech-stack.md 資料儲存表（cypher-executor 用）。
+ * SUBMISSIONS_KV：registry worker 用（component 投稿）。漏建會讓 registry deploy 失敗 →
+ *   壓測 §2.6/#11「20/21」根因（registry/wrangler.toml 綁 SUBMISSIONS_KV，但注入清單沒有它，
+ *   殘留官方舊 id → wrangler deploy 因 KV 不存在而失敗）。補進來後回到 21/21。
+ */
 export const REQUIRED_KV_NAMESPACES = [
   'WEBHOOKS',
   'CREDENTIALS_KV',
@@ -26,6 +32,7 @@ export const REQUIRED_KV_NAMESPACES = [
   'SESSIONS_KV',
   'ANALYTICS_KV',
   'EXEC_CONTEXT',
+  'SUBMISSIONS_KV',
 ] as const;
 
 /** 部署後要提示用戶手動 `wrangler secret put ENCRYPTION_KEY` 的 Worker。*/