fix(cypher): deploy P0 #9/#10/#10衍生 fixes (workers.dev URL + nested FOREACH + propagateCtx)

arcrun.md 一直標 ✅ 已解決但 fix 在 working tree 沒推。今天 mira 7B.3f 端對端
跑不通才發現 production 還是舊版（fetch *.arcrun.dev 同 zone 自循環 → 522）。

涵蓋：
- P0 #9: wasmWorkerUrl() 從 *.arcrun.dev 改 arcrun-{kebab}.{WORKER_SUBDOMAIN}.workers.dev
  + types.ts/wrangler.toml 加 WORKER_SUBDOMAIN binding (uncle6-me)
  + auth-dispatcher.ts 用新 signature
- P0 #10A: interpolateData() 拆 interpolateString + interpolateValue 遞迴 nested
- P0 #10B: propagateCtx() helper 把上游 output spread + 用 node id namespace 存
  讓下游能 {{node_id.data.text}} 永不被覆蓋。5 個 edge type 全用此 helper
- P0 #10C: FOREACH 找 iterable 先看 result 沒有再看 ctx + 掃 nested object 一層
  解雙重 FOREACH（paragraph→triplets）內層跑 0 次

rules/01-tech-stack.md + rules/03-component-architecture.md 同步補 workers.dev 慣例說明。

未推 5 個 worker 改動，今晚才發現實際沒部署過。

.claude/rules/01-tech-stack.md

@@ -63,8 +63,14 @@
 
 ## 網路部署
 
-- **平台 API**：`cypher.arcrun.dev`（cypher-executor）
-- **每個零件**：獨立 Worker，URL 慣例 `{component-name-kebab}.arcrun.dev`
-  - 例：`auth-static-key.arcrun.dev`、`gmail.arcrun.dev`
+- **平台 API（對外）**：`cypher.arcrun.dev`（cypher-executor）
 - **Landing**：`arcrun.dev`
+- **每個零件 Worker**：
+  - **對內（cypher-executor 用來 fetch component，避開同 zone 死鎖）**：`arcrun-{kebab}.{WORKER_SUBDOMAIN}.workers.dev`
+    - 例：`arcrun-kbdb-get.uncle6-me.workers.dev`
+    - cypher-executor 從 `wrangler.toml [vars] WORKER_SUBDOMAIN` 組出此 URL
+  - **對外（可選，零件對全網開放被 curl 用）**：`{kebab}.arcrun.dev`
+    - 例：`gmail.arcrun.dev`、`kbdb-get.arcrun.dev`
+    - 仍允許保留，但**禁止 cypher-executor 透過此 URL fetch**（會撞同 zone 自循環，見 [docs/incidents/2026-05-13-cypher-outbound-522.md](../../docs/incidents/2026-05-13-cypher-outbound-522.md)）
+  - **新增 component worker 部署清單**：`name = "arcrun-{kebab}"` + `[[routes]]` 對外（可選）+ dashboard 啟用 workers.dev（必須）
 - **部署工具**：Wrangler

.claude/rules/03-component-architecture.md

@@ -1,15 +1,23 @@
 # 零件架構與部署模式（必讀，CC 最常搞錯的地方）
 
-## 第一核心概念：每個 WASM 零件 = 一個獨立 Worker = 一個公開 URL
+## 第一核心概念：每個 WASM 零件 = 一個獨立 Worker = **兩個** URL
 
 **不是**從 R2 即時載入 WASM 執行。
 **不是**用 service binding 串零件。
 **不是**一個 Worker 裡跑多個零件。
 
-**是**：每個零件都是獨立部署的 Worker，每個都有自己的 URL，例如：
-- `https://if-control.arcrun.dev`
-- `https://gmail.arcrun.dev`
-- `https://auth-static-key.arcrun.dev`
+**是**：每個零件都是獨立部署的 Worker，每個都有**兩個 URL**：
+
+| URL 類型 | Pattern | 用途 |
+|---|---|---|
+| 對內（cypher-executor 用）| `arcrun-{kebab}.{WORKER_SUBDOMAIN}.workers.dev` | cypher-executor fetch component 走這個，避開同 zone 自循環死鎖（P0 #9）|
+| 對外（直接 curl 用，可選）| `{kebab}.arcrun.dev` | 用戶單獨打 component 測試或 self-hosted 用法 |
+
+例：`kbdb_get` 零件：
+- 對內：`arcrun-kbdb-get.uncle6-me.workers.dev`（cypher-executor 走這個）
+- 對外：`kbdb-get.arcrun.dev`（用戶 / 直 curl）
+
+**為什麼這樣設計**：CF Workers 「同 zone 自循環防護」會讓綁 `cypher.arcrun.dev/*` 的 cypher-executor fetch 同 zone `*.arcrun.dev` 撞 522。完整事件報告：[docs/incidents/2026-05-13-cypher-outbound-522.md](../../docs/incidents/2026-05-13-cypher-outbound-522.md)。改走 workers.dev 子域繞過。
 
 ### 零件 Worker 的結構
 
@@ -141,7 +149,13 @@ credential 解密、JWT signing、template 展開（`{{secret.X}}`）全部屬
      ```
    - 複製 `auth_static_key.wasm` 到此目錄為 `component.wasm`
 4. `cd .component-builds/auth_static_key && pnpm install && pnpm deploy`
-5. 驗證：`curl https://auth-static-key.arcrun.dev` → 應回 `{ok: true, component: "auth_static_key"}`
-6. 在 cypher-executor 的 auth-dispatcher 註冊對應 URL（或用慣例 `{name}.arcrun.dev`）
+5. **Dashboard 啟用 workers.dev URL**（必須，否則 cypher-executor fetch 不到）：
+   - Workers & Pages → `arcrun-auth-static-key` → Settings → Domains & Routes → workers.dev → Enable
+   - 啟用後 URL：`arcrun-auth-static-key.{WORKER_SUBDOMAIN}.workers.dev`
+6. 驗證對外：`curl https://auth-static-key.arcrun.dev` → 應回 `{ok: true, component: "auth_static_key"}`
+7. 驗證對內：`curl https://arcrun-auth-static-key.{WORKER_SUBDOMAIN}.workers.dev` → 應同樣回 200
+8. cypher-executor 透過 `wasmWorkerUrl()` 自動組對內 URL 呼叫（不用手動註冊）
 
 **這是唯一正確的部署流程**。任何偏離這個流程的「替代方案」都要先和 richblack 確認。
+
+**Step 5 為什麼必須**：見 arcrun.md P0 #9（2026-05-13）。cypher-executor 走對內 URL 避開同 zone 自循環死鎖；若 workers.dev 未啟用，cypher-executor fetch 該 component 會 404。