feat: wiki 機敏防護三層（.wikiignore + 行內標記 + secret-scan hook）

不想被編入 wiki 的內容（密碼/金鑰/個資）三層防線：
- L1 .wikiignore：整個機敏檔不編入（glob，像 .gitignore）
- L2 行內標記 <!-- wiki:ignore -->：檔案內某段不編入
- L3 wiki-secret-scan.sh hook：機敏值真寫進 .claude/wiki/ → exit 2 擋

L3 偵測密碼賦值/PEM 私鑰/AWS·GitHub·Slack·Google·Stripe 金鑰/JWT/
連線字串帳密/台灣身分證/信用卡號；wiki-secret-ok 行尾標記可豁免誤判。
wiki-init/wiki-capture/SKILL 寫入 L1+L2 協議。

誠實限制：L1/L2 靠 CC 自律、L3 靠 regex（有偽陽/偽陰），減少意外外洩
非保險箱——真正的密鑰本就不該進版控。

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>

template/.claude/commands/wiki-capture.md

@@ -7,6 +7,14 @@
 
 ## 執行流程
 
+### 第零步：機敏檢查（寫入前一律先過）
+
+把任何內容寫進 wiki 前，先確認**不含**密碼 / API 金鑰 / 私鑰 / 連線字串帳密 / 個資（身分證、信用卡）。
+- 命中 → 不要記「值」，改記「位置」（例：「DB 密碼放 `.env`，不入 wiki」）
+- 來源整檔機敏 → 提醒使用者加進 `.claude/wiki/.wikiignore`
+- 真要保留示範格式 → 該行尾加 `wiki-secret-ok` 標記
+> 這是協議層自律。最後一道 `wiki-secret-scan.sh` hook 會在寫入 `.claude/wiki/` 時機械攔截，但別依賴它兜底——當場就不要把機敏值帶進來。
+
 ### 第一步：辨識對話中的可記錄內容
 
 掃描當前對話，找出：

template/.claude/commands/wiki-init.md

@@ -20,8 +20,17 @@
 ### 第二步：已有專案的掃描（已有專案才執行）
 
 1. 遞迴找出所有 `.md` 檔案
-2. 對每個檔案標注建議位置和信心度
-3. 列出清單給使用者確認，**停下來等確認**
+2. **先套用 `.claude/wiki/.wikiignore`**：命中 pattern 的檔案整個排除，不讀不編入。
+   - 若 `.wikiignore` 不存在，從範本建立一份（預設排除 `.env`/`*.pem`/`*secret*` 等）
+   - 被排除的檔案在清單裡標「🚫 .wikiignore 排除」，**不可被覆蓋**
+3. 對其餘檔案標注建議位置和信心度
+4. 列出清單給使用者確認，**停下來等確認**
+
+> 機敏防護（三層）：
+> - **L1 .wikiignore**：整檔排除（這一步）
+> - **L2 行內標記**：檔案要編入但某段不要 → 遇到 `<!-- wiki:ignore -->` … `<!-- wiki:end -->` 之間的內容**略過**，只留「（此處機敏，已略過）」
+> - **L3 hook**：萬一機敏值仍被寫進 wiki，`wiki-secret-scan.sh` 會 exit 2 擋下
+> 編入任何檔案前，先檢查是否含密碼/金鑰/個資——有就改記「位置」而非「值」。
 
 分類規則：
 ```