feat: ingest 寫入端 + deprecate + get_source/refresh + wiki 合併 (issue #1 T3) (#2)

* chore(wiki): 導入 system-dev-template + 合併 wiki 到新位置 - system-dev/ 模板包進版控（VERSION/docs/scripts/wiki 骨架） - 逐檔合併舊 .claude/wiki/ → system-dev/wiki/： - status/mistakes/decisions-summary 真資料覆蓋空範本 - INDEX 新「多角度視圖」結構 + 舊決策/導航併入（過時詞「萬物皆 Block」改 API-as-Wall） - principles/TAXONOMY 為新位置獨有，保留 - 刪舊 .claude/wiki/（git 識別為 rename，內容完整搬移） - 三層機敏防護 hooks + wiki 命令更新 Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com> * docs(sdd): 立 ingest-contract SDD + 搬入 ingest-candidate 契約 (T3.1+T3.8) 對應 issue #1（頂層 mira-dissolve T3）。 - contracts/ingest-candidate.json：ingest→graph 邊界契約（自頂層搬入） - contracts/README.md：標明候選(輸入)≠已存(triplet) - docs/3-specs/ingest-contract/design.md + tasks.md： - ensureTemplate 改 slot-diff 補丁（取代 early-return，免遷移腳本） - 補 KbdbClient.updateRecord（base PATCH /records/:id） - ingest 流程：驗證(422)→idempotency(uri+hash)→先 append 後 deprecate - triplet template 增 source_uri+content_hash slot 承載 idempotency - 跨 repo 協調點（3.6 圖工具併 KBDB MCP）明列需 arcrun 配合總管已認可四個設計決定（issue #1 comment）。鐵律：零建表/零 SQL/零 migration。 Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com> * feat(ingest): POST /triplets/ingest 寫入端 + deprecate-then-append (T3.2-3.5) 對應 issue #1 T3 B 段。 - templates: TRIPLET_SLOTS 加 status/superseded_by/source_uri/content_hash； ENTITY_SLOTS 加 gloss；recordToTriplet 映射新欄位（缺省 status=active 相容舊資料） - kbdb-client: ensureTemplate 改 slot-diff 補丁（既有 template 走 PATCH /templates/:id 補缺 slot，取代 early-return → 免遷移腳本）；新增 updateRecord（PATCH /records/:id） - triplet-ingest action（88 行純函式）：Zod strict 鏡射 ingest-candidate 契約 → idempotency（uri+hash 同→no-op）→ 先 append 後 deprecate（無「全無 active」空窗） - POST /triplets/ingest route：strict 驗證失敗 → 422（禁送 graph 領域欄位） - queryTriplets 預設 active-only（traverse/search/neighbors 皆經此）， includeDeprecated opt-out 供 rollback/考古 - 6 測試案全綠（vitest 16 passed）；mock-client 同步 slot-diff + updateRecord gates: zero SQL / zero migration / 無 D1·Vectorize·AI 綁定 / dry-run bundle 乾淨 Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com> * feat(graph): get_source + refresh 端點 + keyword 收斂 (T3.6-3.7) 對應 issue #1 T3 C 段（圖工具 HTTP API 備好，MCP 註冊薄殼待 arcrun）。 - get_source (3.7): graph-source.ts + GET /graph/source/:name — 回節點的 active triplet 來源指標（uri/anchor/block_id/content_hash），去重。連帶加 source_anchor slot，ingest 從 source.anchor 帶入 - refresh (3.6/3.6b): graph-refresh.ts + POST /graph/refresh — 純被動代轉 ingest（KBDB_INGEST_URL），只人發起、無排程/webhook（fan-out 紅線）。未設 URL → 誠實 forwarded:false，不假綠 - 3.6d: POST /search 移除公開 keyword 模式（重複 KBDB MCP），收斂 suggest-only； keywordSearch helper 留作 suggest 內部建構塊 - 3 新測試（get_source uri+anchor / active-only / refresh 未就緒誠實回報） gates: vitest 19 passed / zero SQL / 無新綁定 / dry-run bundle 乾淨待接：MCP 註冊薄殼併 arcrun u6u-mcp-server；refresh 端到端待 ingest(T4) 部署 Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com> --------- Co-authored-by: richblack <leo21c@gmail.com> Co-authored-by: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
2026-06-26 19:00:54 +08:00
parent 3a1faf19f4
commit 7a29dee357
44 changed files with 2773 additions and 96 deletions
@@ -0,0 +1,64 @@
+#!/bin/bash
+# PreToolUse hook 範本骨架 —— 專案自訂禁令（預設空殼，不攔任何東西）
+#
+# ⚠️ 定位（讀清楚再用）：
+#   這支跟其他三支 hook 不同——它不是「裝上就生效的警察」，而是一個「按需手填的
+#   空插槽」。預設狀態下 FORBIDDEN_PATTERNS 是空的，它【不攔任何東西】。
+#   別誤以為裝了它就有保護——空殼 = 沒保護。
+#
+# 🤖 有 CC 在場的話，通常不需要這個範本：
+#   直接叫你的 CC「幫我寫一支 guard hook，禁止改 X」。CC 現寫的條件邏輯，
+#   表達力遠勝這裡的 glob FORBIDDEN_PATTERNS（例如「禁子 repo 的 code 但放行 .md」
+#   這種細緻規則，glob 寫不出來，CC 的條件判斷寫得出來）。
+#   這個範本只對「不靠 CC、想自己手動 DIY bash」的用戶有價值。
+#
+# 要啟用（手動 DIY 路線）：
+#   1. 在下面 FORBIDDEN_PATTERNS 填禁改的路徑/檔名 pattern
+#   2. 到 .claude/settings.json 的 PreToolUse 加掛這支
+#
+# 掛在 PreToolUse（matcher: Write|Edit）。stdin 收 JSON：{ tool_name, tool_input:{ file_path } }
+# 命中禁令 → exit 2 擋。
+#
+# 誠實限制：只擋直接寫檔。bash 繞道、helper 間接改動擋不到。留痕可審 ≠ 技術防偽。
+
+set -euo pipefail
+
+# ── 專案自訂：禁改的 pattern（一行一個，case glob 語法）──────
+# 範例（已註解，啟用前請改成自己的）：
+#   "*/db/schema.sql"      # 禁手改 schema
+#   "*/migrations/*"        # migration 一旦建立不可改
+FORBIDDEN_PATTERNS=(
+  # "*/your/protected/path/*"
+)
+
+# 沒設任何禁令 → 空殼狀態，安靜放行。
+# （不在這裡 print——PreToolUse 每次 Write/Edit 都會跑，每次喊話會洗版。
+#  「這是空殼」的提醒改由 install.sh / update.sh 安裝時告知，那裡用戶一定看得到。）
+[ ${#FORBIDDEN_PATTERNS[@]} -eq 0 ] && exit 0
+
+INPUT=$(cat)
+
+if command -v jq >/dev/null 2>&1; then
+  FILE_PATH=$(printf '%s' "$INPUT" | jq -r '.tool_input.file_path // empty')
+else
+  FILE_PATH=$(printf '%s' "$INPUT" | grep -o '"file_path"[[:space:]]*:[[:space:]]*"[^"]*"' | head -1 | sed 's/.*"file_path"[[:space:]]*:[[:space:]]*"//;s/"$//')
+fi
+
+[ -z "$FILE_PATH" ] && exit 0
+
+for pattern in "${FORBIDDEN_PATTERNS[@]}"; do
+  # shellcheck disable=SC2254
+  case "$FILE_PATH" in
+    $pattern)
+      cat >&2 <<EOF
+🚫 專案禁令攔截：$FILE_PATH 命中禁改規則（$pattern）。
+
+這是本專案 .claude/hooks/pre-write-guard.sh 設定的硬底線。
+要動 → 先和負責人確認，並更新禁令設定。
+EOF
+      exit 2
+      ;;
+  esac
+done
+
+exit 0
@@ -0,0 +1,64 @@
+#!/bin/bash
+# PreToolUse hook 範本骨架 —— 專案自訂禁令（預設空殼，不攔任何東西）
+#
+# ⚠️ 定位（讀清楚再用）：
+#   這支跟其他三支 hook 不同——它不是「裝上就生效的警察」，而是一個「按需手填的
+#   空插槽」。預設狀態下 FORBIDDEN_PATTERNS 是空的，它【不攔任何東西】。
+#   別誤以為裝了它就有保護——空殼 = 沒保護。
+#
+# 🤖 有 CC 在場的話，通常不需要這個範本：
+#   直接叫你的 CC「幫我寫一支 guard hook，禁止改 X」。CC 現寫的條件邏輯，
+#   表達力遠勝這裡的 glob FORBIDDEN_PATTERNS（例如「禁子 repo 的 code 但放行 .md」
+#   這種細緻規則，glob 寫不出來，CC 的條件判斷寫得出來）。
+#   這個範本只對「不靠 CC、想自己手動 DIY bash」的用戶有價值。
+#
+# 要啟用（手動 DIY 路線）：
+#   1. 在下面 FORBIDDEN_PATTERNS 填禁改的路徑/檔名 pattern
+#   2. 到 .claude/settings.json 的 PreToolUse 加掛這支
+#
+# 掛在 PreToolUse（matcher: Write|Edit）。stdin 收 JSON：{ tool_name, tool_input:{ file_path } }
+# 命中禁令 → exit 2 擋。
+#
+# 誠實限制：只擋直接寫檔。bash 繞道、helper 間接改動擋不到。留痕可審 ≠ 技術防偽。
+
+set -euo pipefail
+
+# ── 專案自訂：禁改的 pattern（一行一個，case glob 語法）──────
+# 範例（已註解，啟用前請改成自己的）：
+#   "*/db/schema.sql"      # 禁手改 schema
+#   "*/migrations/*"        # migration 一旦建立不可改
+FORBIDDEN_PATTERNS=(
+  # "*/your/protected/path/*"
+)
+
+# 沒設任何禁令 → 空殼狀態，安靜放行。
+# （不在這裡 print——PreToolUse 每次 Write/Edit 都會跑，每次喊話會洗版。
+#  「這是空殼」的提醒改由 install.sh / update.sh 安裝時告知，那裡用戶一定看得到。）
+[ ${#FORBIDDEN_PATTERNS[@]} -eq 0 ] && exit 0
+
+INPUT=$(cat)
+
+if command -v jq >/dev/null 2>&1; then
+  FILE_PATH=$(printf '%s' "$INPUT" | jq -r '.tool_input.file_path // empty')
+else
+  FILE_PATH=$(printf '%s' "$INPUT" | grep -o '"file_path"[[:space:]]*:[[:space:]]*"[^"]*"' | head -1 | sed 's/.*"file_path"[[:space:]]*:[[:space:]]*"//;s/"$//')
+fi
+
+[ -z "$FILE_PATH" ] && exit 0
+
+for pattern in "${FORBIDDEN_PATTERNS[@]}"; do
+  # shellcheck disable=SC2254
+  case "$FILE_PATH" in
+    $pattern)
+      cat >&2 <<EOF
+🚫 專案禁令攔截：$FILE_PATH 命中禁改規則（$pattern）。
+
+這是本專案 .claude/hooks/pre-write-guard.sh 設定的硬底線。
+要動 → 先和負責人確認，並更新禁令設定。
+EOF
+      exit 2
+      ;;
+  esac
+done
+
+exit 0
@@ -0,0 +1,63 @@
+#!/bin/bash
+# PreToolUse hook — 動 code 前檢查有沒有對應 SDD
+# wishlist §2：把 /sdd-check 從「命令要人打」升級成「hook 自動攔」。
+#
+# 掛在 settings.json 的 PreToolUse（matcher: Write|Edit）。
+# stdin 收到 JSON：{ tool_name, tool_input: { file_path, ... } }
+# 行為：動到 code 檔（.ts/.go/...）但 system-dev/docs/3-specs/ 下沒有任何 SDD → 警告（exit 2 擋）。
+#
+# 誠實限制（抄 arcrun）：只擋語法層明顯違規（直接寫 code 檔）。
+# 藏在 helper 裡、用 bash 繞道的改動擋不到。
+# 價值是「想跳過會被抓到 + 留痕可審」，不是技術防偽。絕不聲稱「不可能繞過」。
+
+set -euo pipefail
+
+INPUT=$(cat)
+
+# 解析 file_path。優先用 jq，沒有 jq 退回 grep（容錯）。
+if command -v jq >/dev/null 2>&1; then
+  FILE_PATH=$(printf '%s' "$INPUT" | jq -r '.tool_input.file_path // empty')
+else
+  FILE_PATH=$(printf '%s' "$INPUT" | grep -o '"file_path"[[:space:]]*:[[:space:]]*"[^"]*"' | head -1 | sed 's/.*"file_path"[[:space:]]*:[[:space:]]*"//;s/"$//')
+fi
+
+# 拿不到路徑 → 不擋（容錯，寧可放過也不誤殺）
+[ -z "$FILE_PATH" ] && exit 0
+
+# 只管 code 檔。docs/markdown/設定檔等放行。
+case "$FILE_PATH" in
+  *.ts|*.tsx|*.js|*.jsx|*.go|*.py|*.rs|*.java|*.rb|*.php|*.c|*.cpp|*.h|*.hpp|*.swift|*.kt) ;;
+  *) exit 0 ;;
+esac
+
+# 改 SDD 自己 / 測試檔 → 放行
+case "$FILE_PATH" in
+  *system-dev/docs/3-specs/*) exit 0 ;;
+  *_test.*|*.test.*|*.spec.*|*/tests/*|*/test/*) exit 0 ;;
+esac
+
+# system-dev/docs/3-specs/ 下完全沒有 design.md → 攔
+SDD_COUNT=0
+if [ -d "system-dev/docs/3-specs" ]; then
+  SDD_COUNT=$(find system-dev/docs/3-specs -name 'design.md' -not -path '*TEMPLATE*' 2>/dev/null | wc -l | tr -d ' ')
+fi
+
+if [ "$SDD_COUNT" -eq 0 ]; then
+  cat >&2 <<EOF
+🚫 SDD 協議攔截：要動 code 檔 ($FILE_PATH)，但 system-dev/docs/3-specs/ 下找不到任何 SDD。
+
+絕對鐵律：任何 code 變動前必須有對應 SDD（design.md）。
+
+請先：
+  1. 確認這個改動屬於哪個子系統
+  2. 在 system-dev/docs/3-specs/[子系統]/ 建立 design.md（可用 /sdd-check 協助）
+  3. 在回覆開頭宣告已讀 SDD + 對應 task
+
+小修改（修 bug、改文字）若確定豁免，請明確說明範圍後由人放行。
+EOF
+  exit 2
+fi
+
+# 有 SDD：放行，但留痕提醒要宣告（stderr 警告，不擋）
+echo "📋 提醒：system-dev/docs/3-specs/ 下有 SDD。動手前請確認已讀對應 design.md 並在回覆宣告。" >&2
+exit 0
@@ -0,0 +1,86 @@
+#!/bin/bash
+# SessionStart hook — 開 session 自動注入 status.md 重點
+# wishlist §1 主路徑：不靠 CC 自覺、不用人說，開 session 就把進度推到眼前。
+#
+# 掛在 settings.json 的 SessionStart（matcher: startup|resume|clear）。
+# stdout 會被當成 context 注入給 CC。
+#
+# 鐵律：status 是 point-in-time 快照，非即時狀態。
+# 這個 hook 只負責「把快照推到眼前」，核實快照是 CC 的責任——下面的提醒就是要它別盲信。
+
+set -euo pipefail
+
+STATUS_FILE="system-dev/wiki/status.md"
+PRINCIPLES_FILE="system-dev/wiki/principles.md"
+MISTAKES_FILE="system-dev/wiki/mistakes.md"
+
+# ── 舊結構防呆（1.9.0 遷移第 2 層保險）──
+# 新版 wiki 收進 system-dev/。若偵測到舊位置 .claude/wiki/ 還在、但新位置沒 status，
+# 代表使用者升級了規則卻沒跑遷移（low-code 使用者常見）→ 出聲提示，讓 CC 當場可代為遷移，
+# 不要默默用不到新結構而出錯。
+if [ -d ".claude/wiki" ] && [ ! -f "$STATUS_FILE" ]; then
+  echo "⚠️  偵測到舊版 wiki 結構（.claude/wiki/），尚未遷移到 system-dev/wiki/。"
+  echo "    請跑：bash system-dev/scripts/update.sh"
+  echo "    或直接叫我（CC）：「幫我把 wiki 遷移到 system-dev/」——我可以代為搬移。"
+  echo "    （未遷移時接關與 /wiki-init 會找錯位置。）"
+  exit 0
+fi
+
+# 三個 push 檔都沒有 → 安靜退出，不干擾還沒 /wiki-init 的專案
+if [ ! -f "$STATUS_FILE" ] && [ ! -f "$PRINCIPLES_FILE" ] && [ ! -f "$MISTAKES_FILE" ]; then
+  exit 0
+fi
+
+# ── push 1/3：principles（全文，行動前必服從）──
+# 放最前：原則是「會被遺忘的盲區」，要第一眼看見。全文成本低（一行一條、≤15 條）。
+if [ -f "$PRINCIPLES_FILE" ] && grep -q '^- ' "$PRINCIPLES_FILE" 2>/dev/null; then
+  echo "════════════════════════════════════════════════"
+  echo "📐 設計原則（行動前必服從，來自 principles.md）"
+  echo "════════════════════════════════════════════════"
+  grep '^- ' "$PRINCIPLES_FILE"   # 只注入原則條目本身，不含說明區
+  # context 保護：原則應 ≤15 條（push 全文）。超過 → 提示該合併或下放成 card，不截斷（截斷會漏原則）。
+  P_COUNT=$(grep -c '^- ' "$PRINCIPLES_FILE")
+  if [ "$P_COUNT" -gt 15 ]; then
+    echo ""
+    echo "（⚠️ principles 已 ${P_COUNT} 條 > 15：請考慮合併相近原則、或把較細的下放成 card）"
+  fi
+  echo ""
+fi
+
+# ── push 2/3：status（全文，當前進度）──
+if [ -f "$STATUS_FILE" ]; then
+  echo "════════════════════════════════════════════════"
+  echo "📍 接關：上次進度（來自 $STATUS_FILE 快照）"
+  echo "════════════════════════════════════════════════"
+  echo ""
+  cat "$STATUS_FILE"
+fi
+
+# ── push 3/3：mistakes（標題清單 + 一行症狀，全文按需展開）──
+# 不全文注入（可能累積很多、含長 context）。只給「標題行」讓 CC 認出「我正撞到某條」→ 再去讀全文。
+if [ -f "$MISTAKES_FILE" ] && grep -q 'MISTAKE' "$MISTAKES_FILE" 2>/dev/null; then
+  echo ""
+  echo "────────────────────────────────────────────────"
+  echo "⚠️  已知踩坑（標題；撞到時讀 $MISTAKES_FILE 全文）"
+  grep -E 'MISTAKE' "$MISTAKES_FILE" | sed 's/^/   /'
+fi
+
+echo ""
+echo "────────────────────────────────────────────────"
+echo "⚠️  以上是 point-in-time 快照，非即時狀態。"
+echo "    動手前先核實：快照寫的事項是否真的還沒做完？"
+echo "    需要完整脈絡（decisions / mistakes / SDD）→ 執行 /wiki-recall"
+echo "════════════════════════════════════════════════"
+
+# ── 遷移殘留偵測（1.9.x）：wiki 已搬到 system-dev/，但 CLAUDE.md 內容裡可能還寫舊路徑 ──
+# update.sh 鐵則「絕不碰 CLAUDE.md」（用戶資料），所以遷移不會自動改它內容裡的死引用。
+# 這裡只「偵測 + 提示 CC 代修」——由 CC（看得懂語義、不誤傷用戶自寫內容）來改，不讓腳本盲改。
+if [ -f "CLAUDE.md" ] && grep -q '\.claude/wiki' CLAUDE.md 2>/dev/null; then
+  echo ""
+  echo "🔧 偵測到 CLAUDE.md 內仍有舊路徑 \`.claude/wiki/\`（wiki 已遷移到 system-dev/wiki/）。"
+  echo "    這些是遷移後的死引用，會讓你（CC）找錯位置。"
+  echo "    請主動幫使用者把 CLAUDE.md 裡的 \`.claude/wiki/\` 改成 \`system-dev/wiki/\`、"
+  echo "    工具 docs 路徑改成 \`system-dev/docs/\`（但 raw source 宣告的 \`docs/\` 保留不動）。"
+fi
+
+exit 0
@@ -0,0 +1,113 @@
+#!/bin/bash
+# PreToolUse hook — 寫入 wiki 前掃機敏資訊（L3 硬攔截）
+#
+# 為什麼存在：wiki 的 ignore 規則（.wikiignore + 行內標記）是「協議層」，靠 CC 遵守。
+# 但密碼/金鑰/個資外洩是「不可逆」後果——只靠口頭約束太危險。
+# 這支 hook 是機械式底線：CC 真的把機敏資訊寫進 system-dev/wiki/ 的那一刻 → exit 2 擋下。
+#
+# 掛在 settings.json 的 PreToolUse（matcher: Write|Edit）。
+# stdin 收到 JSON：{ tool_name, tool_input: { file_path, content?, new_string? } }
+# 行為：只在目標路徑是 system-dev/wiki/** 時啟動，掃要寫入的內容，命中機敏特徵 → exit 2。
+#
+# 誠實限制（抄 sdd-guard）：regex 偵測有偽陰/偽陽。
+# 擋的是「明顯特徵的機敏字串被自動抄進 wiki」，擋不了刻意混淆/編碼的繞道。
+# 價值是「意外外洩的機械底線 + 留痕可審」，不是技術防偽。絕不聲稱「不可能繞過」。
+
+set -euo pipefail
+
+INPUT=$(cat)
+
+# ── 解析 file_path 與要寫入的內容。優先 jq，無 jq 退回 grep（容錯）──────
+if command -v jq >/dev/null 2>&1; then
+  FILE_PATH=$(printf '%s' "$INPUT" | jq -r '.tool_input.file_path // empty')
+  # Write 用 content；Edit 用 new_string。兩個都抓，合起來掃。
+  CONTENT=$(printf '%s' "$INPUT" | jq -r '[.tool_input.content, .tool_input.new_string] | map(select(. != null)) | join("\n")')
+else
+  FILE_PATH=$(printf '%s' "$INPUT" | grep -o '"file_path"[[:space:]]*:[[:space:]]*"[^"]*"' | head -1 | sed 's/.*"file_path"[[:space:]]*:[[:space:]]*"//;s/"$//')
+  # 無 jq 時內容解析不可靠（JSON 跳脫），退回掃整包 INPUT，寧可多掃不漏掃
+  CONTENT="$INPUT"
+fi
+
+# 拿不到路徑 → 不擋（容錯，寧可放過也不誤殺）
+[ -z "$FILE_PATH" ] && exit 0
+
+# 只管寫進 wiki 的動作。其他路徑放行（這支專責 wiki 洩漏，不是全域 secret scanner）
+case "$FILE_PATH" in
+  *system-dev/wiki/*) ;;
+  *) exit 0 ;;
+esac
+
+[ -z "$CONTENT" ] && exit 0
+
+# 行內豁免：若該段內容已被標記為刻意保留（例：範例文件要示範格式），略過該行
+# 標記：行尾加  # wiki-secret-ok  （或 <!-- wiki-secret-ok -->）
+# 先把標記過的行抽掉再掃。
+SCAN=$(printf '%s' "$CONTENT" | grep -v -E 'wiki-secret-ok' || true)
+[ -z "$SCAN" ] && exit 0
+
+# ── 機敏特徵 pattern。一行一類，命中即攔。──────────────────────────
+# 設計取捨：偏向高訊號 pattern（有明確結構的金鑰/標記），降低偽陽。
+# 純「password=xxx」這類也納入，因為那正是使用者最擔心的場景。
+HITS=""
+
+check() {
+  local label="$1" regex="$2"
+  # -e 讓以 - 開頭的 pattern（如 PEM 的 -----BEGIN）不被當成選項。
+  # grep 無命中回傳 1，在 set -e 下會中止 → 用 if 包住吸收掉。
+  if printf '%s' "$SCAN" | grep -qiE -e "$regex"; then
+    HITS="${HITS}
+   • ${label}"
+  fi
+}
+
+# 密碼/密鑰賦值（password = ..., secret: ..., api_key=...）
+check "密碼/密鑰賦值 (password/secret/api_key/token = ...)" \
+  '(pass(word)?|secret|api[_-]?key|access[_-]?key|auth[_-]?token|priv(ate)?[_-]?key)[[:space:]]*[:=][[:space:]]*[^[:space:]<>"'"'"']{6,}'
+
+# 私鑰 PEM 區塊
+check "私鑰檔內容 (BEGIN ... PRIVATE KEY)" \
+  '-----BEGIN[[:space:]].*PRIVATE KEY-----'
+
+# 常見雲端/服務金鑰前綴
+check "服務金鑰特徵 (AWS/GitHub/Slack/Google/Stripe 等)" \
+  '(AKIA[0-9A-Z]{16}|gh[pousr]_[0-9A-Za-z]{20,}|xox[baprs]-[0-9A-Za-z-]{10,}|AIza[0-9A-Za-z_-]{20,}|sk_(live|test)_[0-9A-Za-z]{16,})'
+
+# JWT
+check "JWT token" \
+  'eyJ[A-Za-z0-9_-]{8,}\.[A-Za-z0-9_-]{8,}\.[A-Za-z0-9_-]{8,}'
+
+# 連線字串內嵌帳密 (proto://user:pass@host)
+check "連線字串內嵌帳密 (proto://user:pass@host)" \
+  '[a-z][a-z0-9+.-]*://[^[:space:]:/@]+:[^[:space:]:/@]+@'
+
+# 台灣身分證字號（個資）。BSD/GNU grep 都支援 ERE，避免 \b（BSD 不認），改用字元類邊界。
+check "台灣身分證字號 (個資)" \
+  '(^|[^A-Za-z0-9])[A-Z][12][0-9]{8}([^0-9]|$)'
+
+# 信用卡號（個資，粗略 13-16 連續數字，可含空格/連字號分隔）。避免 PCRE，用 ERE 近似。
+check "疑似信用卡號 (個資)" \
+  '(^|[^0-9])[0-9]{4}[ -]?[0-9]{4}[ -]?[0-9]{4}[ -]?[0-9]{0,4}([^0-9]|$)'
+
+# Email 不擋（wiki 常需記聯絡人），手機號也不擋（偽陽太高）——刻意留白。
+
+if [ -n "$HITS" ]; then
+  cat >&2 <<EOF
+🚫 Wiki 機敏攔截：偵測到可能的機敏資訊要寫進 ${FILE_PATH}。
+
+命中特徵：${HITS}
+
+wiki 是會被 CC 反覆讀取、可能進版控的記憶空間。
+密碼 / 金鑰 / 個資寫進去 = 不可逆外洩風險。
+
+請改成下列任一做法：
+  1. 不要把機敏值寫進 wiki，改記「位置」（例：「DB 密碼放 1Password / .env，不入 wiki」）
+  2. 確定是誤判（例：在示範格式）→ 該行尾加註記  wiki-secret-ok  後重寫
+  3. 整個來源檔本就機敏 → 加進 system-dev/wiki/.wikiignore，別讓它被編入
+
+誠實限制：本掃描靠特徵比對，有偽陽/偽陰，是「意外外洩的機械底線」而非保險箱。
+真正的密鑰本就不該進版控。
+EOF
+  exit 2
+fi
+
+exit 0