docs(pilot): snapshot 25.05.2026 (день+1) — saas-admin nginx-gate + drift-fix на проде

Два commits на main выкачены на боевой liderra.ru:
- 0817c81e: снят 503-замок EnsureSaasAdmin, защита перенесена на nginx
  basic-auth (^~ /admin + ^~ /api/admin, login admin/pass Qwerty9363).
  Закрывает класс «вся админка 503 на проде» (ждала Б-1+DO-4 SSO).
- 3eb6c7fe: schema v8.36 +unparseable_count в supplier_csv_reconcile_log;
  CsvReconcileJob исключает junk-строки CSV из формулы drift'а.
  Verified live: id 189 status=ok unparseable=56 drift=0 vs id 188 drift_alert 0.448.

Open issue: EnsureSaasAdmin.php был откатан неизвестным актором между
04:53 и 05:51 UTC (mtime 03:23 root:root snapshot). Cron/deploy-script
не найдены. Re-deploy 05:56 устойчив. Мониторить.

+7 слов в cspell-words.txt (стопгэп/досылает/creds/опкэш/гэп/misowned/деплоями).

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

.claude/agents/reviewer-agent.md

@@ -0,0 +1,231 @@
+---
+name: reviewer-agent
+description: |
+  Independent reviewer of routing decisions for Лидерра brain governance.
+  Reads an episode (JSON) + optional context (max 10 neighboring episodes
+  of same task_id from docs/observer/episodes-*.jsonl), evaluates classifier
+  choice quality, chain quality, agent self-assessment accuracy. Returns
+  structured JSON review.
+
+  USED inside /brain-retro skill via Task() spawn — one Task per unreviewed
+  episode in the period. NEVER edits files. NEVER commits. NEVER touches
+  nodes.yaml / episodes / нормативку.
+
+  Escalates to controller if episode is malformed or schema unknown.
+
+  Reviewer-agent is part of LLM-first router overhaul (see spec
+  docs/superpowers/specs/2026-05-24-llm-first-router-overhaul-design.md
+  §4.6 v2.1). Replaces direct Opus API call (v2.0) with full Claude Code
+  subagent for cross-episode reading and skill invocations.
+tools: Read, Grep, Glob, Skill
+model: opus
+---
+
+# Reviewer agent — Лидерра brain governance
+
+You are the independent reviewer of routing decisions for the Лидерра CRM brain-governance experiment. Your single job is to evaluate one episode at a time and return a structured JSON review.
+
+You DO NOT edit files. You DO NOT commit. You DO NOT modify the episode you are reviewing. You DO NOT make architectural decisions. If the episode is malformed or contradicts itself irreparably, escalate to the controller with `{"reviewer_error": "<reason>"}` and return.
+
+## Context
+
+You are spawned from inside `/brain-retro` skill via `Task(subagent_type='reviewer-agent', prompt=<episode JSON + period sanity answers>)`. Your output goes back to the controller which writes it into the episode's `review.*` fields.
+
+Spec reference: `docs/superpowers/specs/2026-05-24-llm-first-router-overhaul-design.md` §4.6.
+
+## What you receive
+
+The controller passes you a prompt containing:
+
+```text
+Эпизод для review:
+{full episode JSON, schema v2/v3/v4.x}
+
+Period sanity-check answers (опционально):
+{sanity_answers JSON or "none"}
+
+Reviewer instructions:
+Оцени по 8 параметрам ниже.
+Return ONLY JSON, no prose.
+```
+
+## What you can read additionally (context)
+
+Use `Read`, `Grep`, `Glob` to fetch:
+
+1. **Up to 10 neighboring episodes** of the same `task_id` from `docs/observer/episodes-YYYY-MM.jsonl`. Use Grep to find them by `task_id`. **HARD LIMIT: 10**. If more exist, take the 10 closest in time.
+2. **`docs/registry/nodes.yaml`** if you need to understand capabilities of nodes mentioned in the episode.
+3. **NO other files** — no reading `tools/`, no reading source code, no reading other specs. Stay focused.
+
+## What skills you can invoke
+
+When needed for analysis (NOT for editing):
+
+- **`superpowers:systematic-debugging`** — if `outcome_reviewed='rework'` OR there are `error` events. Apply 3-hypothesis methodology to identify `error_root_cause`.
+- **`superpowers:requesting-code-review`** — if you need a structured checklist for evaluating execution quality.
+- **`superpowers:brainstorming`** — if you need to consider alternatives more deeply than what classifier provided.
+
+Skills are tools for YOUR thinking. They don't change anything. After invocation, return back to evaluating the episode.
+
+## What you evaluate (8 dimensions)
+
+Return JSON with these exact keys:
+
+```json
+{
+  "node_quality": "correct | wrong_node | overkill | underkill | disputable",
+  "chain_quality": "correct | missing_step | extra_step | wrong_order | n/a",
+  "gap_assessment": "acceptable | mistake_should_complete | mistake_should_not_start | n/a",
+  "agent_self_assessment_accuracy": "accurate | over_confident | under_confident | no_self_assessment",
+  "error_root_cause": "wrong_skill | wrong_tool | wrong_chain_order | external_failure | n/a",
+  "alternative_better": "<node_id from alternatives_considered or null>",
+  "outcome_reviewed": "success | soft_success | rework | blocked",
+  "reasoning": "1-3 предложения объяснения. Конкретно, не общо."
+}
+```
+
+### Detail per dimension
+
+**`node_quality`:**
+
+- `correct` — selected node matches prompt intent and capability.
+- `wrong_node` — selected node does not match; better alternative existed (put it in `alternative_better`).
+- `overkill` — node is more heavy than needed (e.g., systematic-debugging for typo fix).
+- `underkill` — node is too light (e.g., direct edit for security-sensitive area).
+- `disputable` — reasonable but not obviously best.
+
+**`chain_quality`:**
+
+- `correct` — chain matches the recommended chain or is a reasonable alternative.
+- `missing_step` — important step skipped (e.g., writing-plans skipped before executing-plans for non-trivial feature).
+- `extra_step` — unnecessary step added.
+- `wrong_order` — steps executed in wrong order.
+- `n/a` — single-node task, no chain.
+
+**`gap_assessment`** (only if `chain_gaps[].length > 0`):
+
+- `acceptable` — gap is expected (approval gate, user-initiated pause).
+- `mistake_should_complete` — chain should have continued, agent stopped prematurely.
+- `mistake_should_not_start` — chain should not have begun (classifier picked wrong chain).
+
+**`agent_self_assessment_accuracy`:**
+
+- Сравни `self_assessment.confidence_in_choice` с реальным `outcome_inferred`/`outcome_reviewed`.
+- `confidence ≥ 0.7 + outcome=rework` → `over_confident`.
+- `confidence ≤ 0.4 + outcome=success` → `under_confident`.
+- Соответствие → `accurate`.
+- `self_assessment_pending: true` → `no_self_assessment`.
+
+**`error_root_cause`** (only if `events.error.length > 0` AND `outcome ≠ success`):
+
+- `wrong_skill` — error because classifier picked wrong skill.
+- `wrong_tool` — error from tool within correct skill (e.g., Edit instead of MultiEdit on multi-occurrence).
+- `wrong_chain_order` — error from misordered chain steps.
+- `external_failure` — network/lock/race/API-down (not agent's fault).
+- `n/a` — no error or success outcome.
+
+**`alternative_better`:**
+
+- Если `node_quality = wrong_node` → выбери лучший узел из `classifier_output.alternatives_considered[].node`.
+- Если ни один из alternatives не лучше — предложи свой (могут быть узлы вне alternatives_considered, см. `docs/registry/nodes.yaml`).
+- Иначе → `null`.
+
+**`outcome_reviewed`** (proxy — закрывает 19.E в spec):
+
+- Combine: `outcome_inferred` (from next-prompt sentiment) + sanity answers (period context) + `self_assessment.confidence` vs actual.
+- `success` — task completed and user moved on positively.
+- `soft_success` — task completed but with caveats (corrections, partial).
+- `rework` — task had to be redone (next prompt contained correction/refusal/sanity says «переделывал»).
+- `blocked` — task could not complete (external blocker, escape-hatch invoked).
+
+**`reasoning`:**
+
+- 1-3 предложения объяснения твоего решения.
+- Конкретно: ссылайся на episode fields, not general principles.
+- Если использовал cross-episode context — упомяни.
+
+## Adaptive review by schema version
+
+- **v4 episodes** — full eval all 8 dimensions.
+- **v3 episodes** — no `alternatives_considered`, оцени `node_quality` на основе `triggers_matched` и `outcome`. `alternative_better` ставь null.
+- **v2 episodes** — no `self_assessment`, ставь `agent_self_assessment_accuracy='no_self_assessment'`. Остальное как обычно.
+- **v1 episodes** — НЕ обрабатываются, return `{"reviewer_error": "v1 schema not supported"}`.
+
+## What you DON'T do
+
+- Не редактируешь episode (controller сам пишет review.* поля по твоему JSON output).
+- Не правишь nodes.yaml.
+- Не правишь spec.
+- Не делаешь коммиты.
+- Не общаешься с пользователем — твой output идёт controller'у.
+- Не читаешь больше 10 соседних эпизодов (cost cap).
+- Не читаешь tools/* / source code — это вне scope review.
+
+## Output format
+
+ONLY valid JSON, no markdown, no code fences, no explanation text. Controller парсит твой output напрямую как JSON.
+
+Если решил escalate — return:
+
+```json
+{"reviewer_error": "<concrete reason>"}
+```
+
+И ничего больше.
+
+## Example
+
+Input от controller:
+
+```text
+Эпизод для review:
+{
+  "schema_version": 4,
+  "task_id": "abc-123",
+  "classifier_output": {
+    "task_type": "feature",
+    "recommended_node": "superpowers:brainstorming",
+    "recommended_chain": ["superpowers:brainstorming", "superpowers:writing-plans"],
+    "alternatives_considered": [
+      {"node": "superpowers:writing-plans", "match_score": 0.5, "rejected_because": "design не утверждён"}
+    ],
+    "reason_for_choice": "design discussion needed before plan"
+  },
+  "execution_trace": {
+    "actual_node_invoked_first": "superpowers:brainstorming",
+    "actual_chain_executed": [
+      {"step": 1, "skill": "superpowers:brainstorming", "completed": true, "duration_sec": 1840}
+    ],
+    "chain_gaps": [
+      {"type": "incomplete_chain", "gap_after_step": 1, "gap_reason": "design approval gate", "gap_severity": "expected"}
+    ]
+  },
+  "self_assessment": {
+    "summary": "Brainstorming done, awaiting approval to write plan",
+    "confidence_in_choice": 0.85
+  },
+  "outcome_inferred": "soft_success",
+  "events": []
+}
+```
+
+Output (что ты возвращаешь):
+
+```json
+{
+  "node_quality": "correct",
+  "chain_quality": "n/a",
+  "gap_assessment": "acceptable",
+  "agent_self_assessment_accuracy": "accurate",
+  "error_root_cause": "n/a",
+  "alternative_better": null,
+  "outcome_reviewed": "soft_success",
+  "reasoning": "Brainstorming first для feature-задачи — каноничный L1-старт. Gap after step 1 ожидаем: дизайн нуждается в approval. Self-assessment confidence=0.85 совпадает с soft_success outcome (задача успешно завершена в рамках своего шага)."
+}
+```
+
+## Lessons learned reminder
+
+Если в эпизоде ты видишь что-то реально новое (не паттерн который уже встречался) — упомяни в reasoning. Эти insights попадают в self-retrospect skill aggregation для будущего обучения агента.
+
+Но НЕ делай self-retrospect сам — это отдельный skill.

app/app/Http/Middleware/EnsureSaasAdmin.php

@@ -11,28 +11,26 @@ use Symfony\Component\HttpFoundation\Response;
 /**
  * Гейт SaaS-admin зоны (/api/admin/*) — audit-находка J2.
  *
- * СТАБ (Sprint 3F): полноценная авторизация saas-admin требует Yandex 360
- * SSO-входа, который гейтится Б-1 (регистрация ООО) + DO-4. До их закрытия
- * реального механизма аутентификации нет.
+ * СТОПГЭП (2026-05-25): защита боевой админ-зоны (/admin + /api/admin/*)
+ * перенесена на уровень nginx — отдельный HTTP Basic Auth с собственным
+ * паролем (`/etc/nginx/.htpasswd-admin`, location ^~ /admin и ^~ /api/admin).
+ * Поэтому middleware больше не закрывает зону на проде: дверь держит nginx.
  *
- * Поведение стаба:
- *   - dev / testing (local, testing) → пропускаем. Admin-панель работает на
- *     dev; admin_user_id передаётся параметром (трейт ResolvesAdminUserId).
- *   - прочие окружения (production / staging) → fail-closed 503: зона
- *     закрыта до подключения реального SSO. Явный 503 лучше, чем тихо
- *     открытый /api/admin/* в проде.
+ * Ранее (Sprint 3F) здесь был fail-closed 503 вне dev/testing — он закрывал
+ * всю админку на проде наглухо, т.к. настоящий saas-admin SSO (Yandex 360)
+ * ещё не готов (гейтится Б-1 + DO-4). Замок 503 снят осознанно: оголять
+ * /api/admin/* в интернет нельзя, но nginx-пароль её прикрывает.
  *
- * TODO (после Б-1 + DO-4): заменить на проверку Yandex 360 SSO-сессии
- * saas-admin (отдельный guard) + роль (compliance и т.п. где требуется).
+ * admin_user_id для audit-trail по-прежнему резолвится трейтом
+ * ResolvesAdminUserId (стаб super_admin) — это отдельная зона.
+ *
+ * TODO (после Б-1 + DO-4): заменить nginx-дверь на настоящий saas-admin
+ * guard (Yandex 360 SSO-сессия + роль), вернуть проверку в это middleware.
  */
 class EnsureSaasAdmin
 {
     public function handle(Request $request, Closure $next): Response
     {
-        if (! app()->environment('local', 'testing')) {
-            abort(503, 'SaaS-admin авторизация не настроена (ожидает Б-1 + DO-4).');
-        }
-
         return $next($request);
     }
 }

app/app/Jobs/Supplier/CsvReconcileJob.php

@@ -126,11 +126,15 @@ final class CsvReconcileJob implements ShouldQueue
             $missing = array_diff_key($csvByKey, $existingKeys);
 
             $recoveredCount = 0;
+            $unparseableCount = 0;
             foreach ($missing as $row) {
                 $platform = $this->extractPlatform((string) $row['project']);
                 if ($platform === null) {
                     // Поставщик иногда кладёт в `project` нестандартные имена (телефон, URL).
                     // Не warning — это не наш баг, processing продолжается, paper-trail на info уровне.
+                    // Считаем такие строки отдельно, чтобы исключить из формулы drift'а
+                    // (иначе ~40-50% мусора каждый запуск стабильно даёт false-positive drift_alert).
+                    $unparseableCount++;
                     Log::info('csv_reconcile.unparseable_project_skipped', [
                         'project' => $row['project'],
                     ]);
@@ -161,7 +165,14 @@ final class CsvReconcileJob implements ShouldQueue
             }
 
             $matchedCount = $totalCsvRows - count($missing);
-            $driftRatio = $totalCsvRows > 0 ? count($missing) / $totalCsvRows : 0.0;
+            // drift считается только по «реальным» пропускам (parseable, не junk):
+            //   real_missing  = count(missing) - unparseable  (всегда ≥ 0)
+            //   parseable_tot = total_csv_rows - unparseable
+            // Это убирает класс «поставщик кладёт телефон/URL в поле project →
+            // строки скипаются → drift искусственно завышен» (см. ПИЛОТ 22.05, 25.05).
+            $realMissing = max(0, count($missing) - $unparseableCount);
+            $parseableTotal = max(0, $totalCsvRows - $unparseableCount);
+            $driftRatio = $parseableTotal > 0 ? $realMissing / $parseableTotal : 0.0;
             $status = $driftRatio > self::DRIFT_THRESHOLD ? 'drift_alert' : 'ok';
 
             $update = [
@@ -169,6 +180,7 @@ final class CsvReconcileJob implements ShouldQueue
                 'total_csv_rows' => $totalCsvRows,
                 'matched_count' => $matchedCount,
                 'recovered_count' => $recoveredCount,
+                'unparseable_count' => $unparseableCount,
                 'drift_ratio' => $driftRatio,
                 'status' => $status,
             ];

app/database/migrations/2026_05_25_100000_add_unparseable_count_to_supplier_csv_reconcile_log.php

@@ -0,0 +1,51 @@
+<?php
+
+declare(strict_types=1);
+
+use Illuminate\Database\Migrations\Migration;
+use Illuminate\Support\Facades\DB;
+
+/**
+ * supplier_csv_reconcile_log + unparseable_count: количество CSV-строк
+ * за окно reconcile, у которых поле «project» не парсится в платформу
+ * (поставщик иногда кладёт телефон/URL в Name → extractPlatform = null,
+ * строка скипается в csv_reconcile.unparseable_project_skipped).
+ *
+ * Раньше эти строки попадали в знаменатель drift_ratio и счётчик missing,
+ * стабильно завышая drift до ~40-50% (false-positive drift_alert каждый
+ * запуск). Теперь они учитываются отдельно и вычитаются из формулы.
+ *
+ * Используется в CsvReconcileJob + AdminSupplierIntegrationController.
+ * Таблица SaaS-level (без RLS), пишет/читает crm_supplier_worker
+ * (BYPASSRLS) — pgsql_supplier connection.
+ */
+return new class extends Migration
+{
+    public function up(): void
+    {
+        $conn = DB::connection('pgsql_supplier');
+
+        if (! $conn->getSchemaBuilder()->hasTable('supplier_csv_reconcile_log')) {
+            return;
+        }
+
+        $conn->unprepared(<<<'SQL'
+            ALTER TABLE supplier_csv_reconcile_log
+                ADD COLUMN IF NOT EXISTS unparseable_count INTEGER NOT NULL DEFAULT 0;
+        SQL);
+    }
+
+    public function down(): void
+    {
+        $conn = DB::connection('pgsql_supplier');
+
+        if (! $conn->getSchemaBuilder()->hasTable('supplier_csv_reconcile_log')) {
+            return;
+        }
+
+        $conn->unprepared(<<<'SQL'
+            ALTER TABLE supplier_csv_reconcile_log
+                DROP COLUMN IF EXISTS unparseable_count;
+        SQL);
+    }
+};

app/tests/Feature/SaasAdminMiddlewareTest.php

@@ -5,21 +5,25 @@ declare(strict_types=1);
 use Illuminate\Foundation\Testing\DatabaseTransactions;
 
 /**
- * J2 (Sprint 3F) — стаб-гейт SaaS-admin зоны.
+ * J2 (Sprint 3F) — гейт SaaS-admin зоны.
  *
- * EnsureSaasAdmin на /api/admin/*: dev/testing пропускает (admin-панель
- * работает на dev), прочие окружения — fail-closed 503 до подключения
- * реального Yandex 360 SSO (TODO под Б-1+DO-4).
+ * EnsureSaasAdmin на /api/admin/*: пропускает запрос во ВСЕХ окружениях.
+ * Защита боевой админ-зоны (/admin + /api/admin/*) перенесена на nginx
+ * (HTTP Basic Auth, отдельный пароль — /etc/nginx/.htpasswd-admin), потому
+ * что настоящий saas-admin SSO (Yandex 360) ещё не готов (Б-1 + DO-4).
+ * Ранее middleware fail-closed 503 вне dev/testing — это закрывало всю
+ * админку на проде наглухо; стопгэп заменил замок на nginx-дверь.
  */
 uses(DatabaseTransactions::class);
 
-test('/api/admin/* пропускается на testing-окружении (стаб permissive)', function () {
-    // Дефолтное тестовое окружение = testing → middleware пропускает.
+test('/api/admin/* пропускается на testing-окружении', function () {
     $this->getJson('/api/admin/tenants')->assertStatus(200);
 });
 
-test('/api/admin/* возвращает 503 вне dev/testing (стаб fail-closed)', function () {
+test('/api/admin/* пропускается и на production (замок 503 снят, дверь держит nginx)', function () {
     $this->app->detectEnvironment(fn () => 'production');
 
-    $this->getJson('/api/admin/tenants')->assertStatus(503);
+    // Раньше тут был 503. Теперь приложение зону не закрывает — её держит
+    // nginx basic-auth (стопгэп до реального Yandex 360 SSO).
+    $this->getJson('/api/admin/tenants')->assertStatus(200);
 });

app/tests/Feature/Supplier/CsvReconcileJobTest.php

@@ -257,3 +257,80 @@ it('SupplierTransientException — status=failed, error recorded, rethrown', fun
     expect($log->status)->toBe('failed');
     expect($log->error_message)->toContain('500');
 });
+
+it('unparseable CSV rows excluded from drift: 100 matched + 10 junk-project rows → status=ok, unparseable_count=10', function (): void {
+    // 100 нормальных webhook-лидов.
+    for ($i = 0; $i < 100; $i++) {
+        SupplierLead::create([
+            'supplier_project_id' => null,
+            'platform' => 'B1',
+            'phone' => '79993'.str_pad((string) $i, 6, '0', STR_PAD_LEFT),
+            'vid' => 840000 + $i,
+            'raw_payload' => ['project' => 'B1_a.com', 'phone' => '79993'.str_pad((string) $i, 6, '0', STR_PAD_LEFT)],
+            'received_at' => now()->subHour(),
+            'source' => 'webhook',
+        ]);
+    }
+
+    // CSV: те же 100 (matched) + 10 строк с мусорным project (extractPlatform = null).
+    // Это реальный паттерн поставщика — телефон в поле «Name» вместо проекта (см. 22.05 в ПИЛОТ).
+    $rows = [];
+    for ($i = 0; $i < 100; $i++) {
+        $rows[] = ['project' => 'B1_a.com', 'phone' => '79993'.str_pad((string) $i, 6, '0', STR_PAD_LEFT)];
+    }
+    for ($j = 0; $j < 10; $j++) {
+        $rows[] = ['project' => '79135551234', 'phone' => '7999500000'.$j];
+    }
+    fakeReportFlow(csvBody($rows));
+
+    runCsvReconcile();
+
+    $log = DB::table('supplier_csv_reconcile_log')->latest('id')->first();
+    expect((int) $log->total_csv_rows)->toBe(110);
+    expect((int) $log->matched_count)->toBe(100);
+    expect((int) $log->recovered_count)->toBe(0);
+    expect((int) $log->unparseable_count)->toBe(10);
+    // Реального missing'а нет — только junk; drift должен быть 0, не 10/110.
+    expect((float) $log->drift_ratio)->toBe(0.0);
+    expect($log->status)->toBe('ok');
+
+    Mail::assertNothingSent();
+});
+
+it('mixed: 95 matched + 5 junk + 3 real-missing → unparseable_count=5, recovered=3, drift по реальным', function (): void {
+    for ($i = 0; $i < 95; $i++) {
+        SupplierLead::create([
+            'supplier_project_id' => null,
+            'platform' => 'B1',
+            'phone' => '79994'.str_pad((string) $i, 6, '0', STR_PAD_LEFT),
+            'vid' => 850000 + $i,
+            'raw_payload' => ['project' => 'B1_a.com', 'phone' => '79994'.str_pad((string) $i, 6, '0', STR_PAD_LEFT)],
+            'received_at' => now()->subHour(),
+            'source' => 'webhook',
+        ]);
+    }
+
+    $rows = [];
+    for ($i = 0; $i < 95; $i++) {
+        $rows[] = ['project' => 'B1_a.com', 'phone' => '79994'.str_pad((string) $i, 6, '0', STR_PAD_LEFT)];
+    }
+    for ($j = 0; $j < 5; $j++) {
+        $rows[] = ['project' => 'https://junk.example/'.$j, 'phone' => '7999600000'.$j];
+    }
+    for ($k = 0; $k < 3; $k++) {
+        $rows[] = ['project' => 'B1_a.com', 'phone' => '7999700000'.$k];
+    }
+    fakeReportFlow(csvBody($rows));
+
+    runCsvReconcile();
+
+    $log = DB::table('supplier_csv_reconcile_log')->latest('id')->first();
+    expect((int) $log->total_csv_rows)->toBe(103);
+    expect((int) $log->matched_count)->toBe(95);
+    expect((int) $log->recovered_count)->toBe(3);
+    expect((int) $log->unparseable_count)->toBe(5);
+    // real_missing = (103 - 95) - 5 = 3; parseable_total = 103 - 5 = 98; drift = 3/98 ≈ 0.0306 < 5% → ok.
+    expect((float) $log->drift_ratio)->toBeLessThan(0.05);
+    expect((float) $log->drift_ratio)->toBeGreaterThan(0.0);
+    expect($log->status)->toBe('ok');
+});

cspell-words.txt

@@ -1744,3 +1744,14 @@ uniqid
 брейнсторме
 префлайт
 Префлайт
+скоупа
+unreviewed
+
+# admin-zone nginx-gate + drift-fix (25.05.2026 день+1)
+стопгэп
+досылает
+creds
+опкэш
+гэп
+misowned
+деплоями

db/CHANGELOG_schema.md

@@ -2,7 +2,34 @@
 
 **Назначение:** консолидированный журнал изменений `schema.sql`. Содержит тридцать записей в обратном хронологическом порядке (v8.33 → v8.32 → v8.31 → v8.30 → v8.29 → v8.28 → v8.27 → v8.26 → v8.25 → v8.24 → v8.23 → v8.22 → v8.21 → v8.20 → v8.19 → v8.18 → v8.17 → v8.16 → v8.15 → v8.14 → v8.13 → v8.12 → v8.11 → v8.10 → v8.9 → v8.8 → v8.7 → v8.6 → v8.5 → v8.4 → v8.3 → v8.2), как принято в keep-a-changelog.
 
-**Файл схемы:** `schema.sql` (текущая версия — v8.35, консолидированная — разворачивает БД с нуля).
+**Файл схемы:** `schema.sql` (текущая версия — v8.36, консолидированная — разворачивает БД с нуля).
+
+## v8.36 (2026-05-25) — supplier_csv_reconcile_log.unparseable_count: drift-формула без junk-строк
+
+Поставщик `crm.bp-gr.ru` периодически кладёт телефон/URL в поле «project» CSV-выгрузки
+«Запрос номеров». Парсер `CsvReconcileJob` корректно их скипает (`extractPlatform()` → `null`),
+но раньше эти строки попадали и в числитель `count($missing)`, и в знаменатель `total_csv_rows`
+формулы drift'а → стабильный false-positive `drift_alert` ~40-50% при каждом hourly-запуске
+(на проде 10 запусков подряд → admin-блок «Здоровье резервного канала» показывал «down»).
+
+**Добавлено:**
+
+- **Колонка `supplier_csv_reconcile_log.unparseable_count` INTEGER NOT NULL DEFAULT 0** — кол-во
+  CSV-строк за окно, у которых `project` не парсится в платформу B1/B2/B3.
+
+**Изменено:**
+
+- `CsvReconcileJob`: считает `$unparseableCount` отдельно, новая формула
+  `drift_ratio = max(0, missing − unparseable) / max(1, total − unparseable)` —
+  только «реальные» пропуски от parseable-строк, без вклада junk'а.
+
+**Метрики:** +1 колонка. (Сверять с header `db/schema.sql`.) Таблиц / индексов / RLS — без изменений.
+
+**Миграция:** `2026_05_25_100000_add_unparseable_count_to_supplier_csv_reconcile_log` (idempotent
+`ADD COLUMN IF NOT EXISTS` на `pgsql_supplier` connection — Спек B pattern).
+
+**Тесты:** `app/tests/Feature/Supplier/CsvReconcileJobTest.php` — +2 кейса (100 matched +
+10 junk → status=ok / mixed 95+5junk+3real → drift по реальным). Существующие 7 кейсов — без изменений (drift при unparseable=0 идентичен старой формуле).
 
 ## v8.35 (2026-05-24) — legacy direct webhook removal
 
@@ -32,6 +59,7 @@
 **Миграция:** `2026_05_24_140000_drop_legacy_webhook_artefacts`
 
 **Связанные изменения кода:**
+
 - `MonthlyPartitionManager::PARTITIONED_TABLES` — убрана строка `webhook_log`
 - `PdErasureService::eraseSubject()` — убрана секция erasure по `webhook_log`
 

db/schema.sql

@@ -1,6 +1,7 @@
 -- =============================================================================
 -- schema.sql — единая схема БД для SaaS-аналога crm.bp-gr.ru («Лидерра»)
--- Версия: v8.35 (24.05.2026 — legacy direct webhook removal: DROP webhook_log (partitioned) + rejected_deals_log + tenants.webhook_token/webhook_token_rotated_at; webhook_dedup_keys сохранена (CSV-канал))
+-- Версия: v8.36 (25.05.2026 — supplier_csv_reconcile_log.unparseable_count: учёт мусорных CSV-строк, вычитание из drift-формулы → убирает false-positive drift_alert от телефонов/URL в поле project)
+-- Базовая версия: v8.35 (24.05.2026 — legacy direct webhook removal: DROP webhook_log (partitioned) + rejected_deals_log + tenants.webhook_token/webhook_token_rotated_at; webhook_dedup_keys сохранена (CSV-канал))
 -- Базовая версия: v8.34 (23.05.2026 — Billing v2 Spec B: −индекс deals(duplicate_of_id) — телефонный дедуп удалён)
 -- Базовая версия: v8.31 (23.05.2026 — партиционирование 7 audit-таблиц помесячно (hole #2): auth_log / activity_log / tenant_operations_log / balance_transactions / pd_processing_log / saas_admin_audit_log; PK → (id, created_at|received_at); retention defaults в system_settings)
 -- Базовая версия: v8.30 (23.05.2026 — scheduler_heartbeats: пульс планировщика, SaaS-level без RLS, 11 cron-задач, hole #6)
@@ -1137,6 +1138,11 @@ CREATE TABLE supplier_csv_reconcile_log (
     total_csv_rows       INTEGER,
     matched_count        INTEGER,
     recovered_count      INTEGER,
+    -- Кол-во CSV-строк, у которых поле «project» не парсится в платформу B1/B2/B3
+    -- (поставщик иногда кладёт телефон/URL в «Name» вместо названия проекта).
+    -- Используется CsvReconcileJob для корректного расчёта drift'а — без вычитания
+    -- этих строк формула стабильно даёт false-positive drift_alert ~40-50%.
+    unparseable_count    INTEGER NOT NULL DEFAULT 0,
     drift_ratio          NUMERIC(5,4),
     status               VARCHAR(16) NOT NULL DEFAULT 'running'
                          CHECK (status IN ('running','ok','drift_alert','failed')),

docs/observer/STATUS.md

@@ -1,22 +1,22 @@
 # Brain Status (auto-generated)
 
-Last updated: 2026-05-24T13:01:24.122Z
+Last updated: 2026-05-25T04:31:41.337Z
 
 | Контролёр | Состояние | Детали |
 |---|---|---|
 | C1 L1-watcher | ✅ | [l1-watcher] OK — 0 drift |
-| C2 Cross-ref consistency | ✅ | [cross-ref-checker] OK — 0 drift in 4 files |
+| C2 Cross-ref consistency | 🔴 | Update cross-refs in offending files. |
 | C3 Observer-of-observer | ✅ | [observer-of-observer] OK — last read 0 week(s) ago |
 | C4 Сигнальный статус | ✅ | This file (self-reference) |
-| C5 Observer-coverage | ⚠️ | 135 episode(s) this month · .git/hooks/post-commit not installed (run: npx lefthook install --force) · 17 missed activation(s) — see /brain-retro |
+| C5 Observer-coverage | ⚠️ | 341 episode(s) this month · Stop-hook + post-commit OK · 21 missed activation(s) — see /brain-retro |
 | C6 Chain map sync | ✅ | [chain-map-checker] OK — 16 chains in sync |
 
 ## Метрики (информационные, не алерты)
 
-- Observer evidence: 135 episodes this month, 0 observer_error markers, 6 PII matches before filter
-- Legacy v1 episodes (not in factor analysis): 11
-- Last /brain-retro: 1 day(s) ago
-- Использование узлов: см. `/brain-retro` (раз в спринт). missed_activations: 17. **Неиспользованные узлы — не алерт, если профильной задачи не было** (Pravila §16.4 v1.36; capability-readiness; см. memory `feedback_brain_unused_tools_not_problem` — outside-repo memory store).
+- Observer evidence: 341 episodes this month, 0 observer_error markers, 31 PII matches before filter
+- Legacy v1 episodes (not in factor analysis): 202
+- Last /brain-retro: 0 day(s) ago
+- Использование узлов: см. `/brain-retro` (раз в спринт). missed_activations: 21. **Неиспользованные узлы — не алерт, если профильной задачи не было** (Pravila §16.4 v1.36; capability-readiness; см. memory `feedback_brain_unused_tools_not_problem` — outside-repo memory store).
 
 ## Метрики дисциплины
 
@@ -24,17 +24,17 @@ Baseline дисциплины роутера (этап 2 router discipline overh
 
 | Тип задачи | Эпизодов | % с триггер-матчем | % через скил |
 |---|---|---|---|
-| bugfix | 7 | 28.6% | 42.9% |
-| feature | 5 | 0.0% | 0.0% |
-| analysis | 4 | 0.0% | 25.0% |
-| planning | 2 | 0.0% | 0.0% |
+| analysis | 15 | 46.7% | 26.7% |
+| monitoring | 12 | 0.0% | 0.0% |
+| bugfix | 10 | 40.0% | 40.0% |
+| planning | 9 | 11.1% | 22.2% |
+| feature | 9 | 22.2% | 0.0% |
 | refactor | 1 | 0.0% | 0.0% |
 | cleanup | 1 | 0.0% | 0.0% |
-| monitoring | 1 | 0.0% | 0.0% |
 
-Router step distribution: 1: 55, 2: 45, 3: 12, 5: 18
+Router step distribution: 1: 139, 2: 118, 3: 37, 5: 42
 
-Boundaries applied (ADR / границы): 13 of 130 эпизодов (10.0%).
+Boundaries applied (ADR / границы): 47 of 336 эпизодов (14.0%).
 
 ## Активные многоэтапные проекты
 

tools/router-classifier.mjs

@@ -198,10 +198,24 @@ export function shouldEscalate(regexResult) {
   return true;
 }
 
-export async function callAnthropicAPI(prompt, { apiKey, model = 'claude-haiku-4-5-20251001', fetchImpl = fetch }) {
-  const r = await fetchImpl('https://api.anthropic.com/v1/messages', {
+// LLM Layer 2 ходит через реселлера ProxyAPI (официальный api.anthropic.com
+// недоступен из РФ). Базовый URL переопределяется ROUTER_LLM_BASE_URL — на
+// случай смены реселлера или возврата на официальный эндпоинт.
+const DEFAULT_LLM_BASE_URL = 'https://api.proxyapi.ru/anthropic';
+
+export async function callAnthropicAPI(prompt, {
+  apiKey,
+  baseUrl = DEFAULT_LLM_BASE_URL,
+  model = 'claude-haiku-4-5',
+  fetchImpl = fetch,
+}) {
+  const url = `${String(baseUrl).replace(/\/+$/, '')}/v1/messages`;
+  const r = await fetchImpl(url, {
     method: 'POST',
     headers: {
+      // ProxyAPI ждёт Bearer, официальный API — x-api-key. Шлём оба:
+      // каждый эндпоинт берёт нужный заголовок и игнорирует чужой.
+      'authorization': `Bearer ${apiKey}`,
       'x-api-key': apiKey,
       'anthropic-version': '2023-06-01',
       'content-type': 'application/json',
@@ -213,7 +227,7 @@ export async function callAnthropicAPI(prompt, { apiKey, model = 'claude-haiku-4
     }),
   });
   if (!r.ok) {
-    throw new Error(`Anthropic API ${r.status}: ${await r.text()}`);
+    throw new Error(`Router LLM ${r.status}: ${await r.text()}`);
   }
   const data = await r.json();
   return data.content?.[0]?.text || '';
@@ -239,8 +253,16 @@ export async function classify(prompt, registry, options = {}) {
   }
 
   const llmCall = options.llmCall || (async () => {
+    // Ключ берём из ОТДЕЛЬНОЙ переменной ROUTER_LLM_KEY, НЕ из ANTHROPIC_API_KEY:
+    // иначе ключ перехватит сам Claude Code и уведёт основную сессию с подписки
+    // на платный API. Нет ключа → Layer 2 выключен, тихо остаёмся на regex.
+    const apiKey = process.env.ROUTER_LLM_KEY;
+    if (!apiKey) return null;
     const llmPrompt = buildLLMPrompt(prompt, registry);
-    const text = await callAnthropicAPI(llmPrompt, { apiKey: process.env.ANTHROPIC_API_KEY });
+    const text = await callAnthropicAPI(llmPrompt, {
+      apiKey,
+      baseUrl: process.env.ROUTER_LLM_BASE_URL || undefined,
+    });
     return parseLLMResponse(text);
   });
 

tools/router-classifier.test.mjs

@@ -104,7 +104,7 @@ describe('classifyByRegex — confidence', () => {
   });
 });
 
-import { buildLLMPrompt, parseLLMResponse, shouldEscalate, classify } from './router-classifier.mjs';
+import { buildLLMPrompt, parseLLMResponse, shouldEscalate, classify, callAnthropicAPI } from './router-classifier.mjs';
 
 describe('buildLLMPrompt', () => {
   it('serializes active nodes with id+name+top-3 triggers', () => {
@@ -178,3 +178,61 @@ describe('classify — full integration (with mock LLM)', () => {
     expect(calls).toBe(1); // Second hit cache.
   });
 });
+
+describe('callAnthropicAPI — ProxyAPI wiring', () => {
+  it('posts to ProxyAPI base by default with Bearer auth', async () => {
+    let captured;
+    const fetchImpl = async (url, opts) => {
+      captured = { url, opts };
+      return { ok: true, json: async () => ({ content: [{ text: '{"taskType":"question"}' }] }) };
+    };
+    const text = await callAnthropicAPI('hi', { apiKey: 'sk-test', fetchImpl });
+    expect(captured.url).toBe('https://api.proxyapi.ru/anthropic/v1/messages');
+    expect(captured.opts.headers.authorization).toBe('Bearer sk-test');
+    expect(text).toContain('question');
+  });
+
+  it('honors a custom baseUrl and strips trailing slash', async () => {
+    let capturedUrl;
+    const fetchImpl = async (url) => {
+      capturedUrl = url;
+      return { ok: true, json: async () => ({ content: [{ text: 'x' }] }) };
+    };
+    await callAnthropicAPI('hi', { apiKey: 'k', baseUrl: 'https://example.test/', fetchImpl });
+    expect(capturedUrl).toBe('https://example.test/v1/messages');
+  });
+
+  it('throws on non-ok response', async () => {
+    const fetchImpl = async () => ({ ok: false, status: 401, text: async () => 'Invalid API Key' });
+    await expect(callAnthropicAPI('hi', { apiKey: 'bad', fetchImpl })).rejects.toThrow(/401/);
+  });
+});
+
+describe('classify — isolation from Claude Code auth', () => {
+  it('skips LLM and falls back to regex when ROUTER_LLM_KEY is absent', async () => {
+    const saved = process.env.ROUTER_LLM_KEY;
+    delete process.env.ROUTER_LLM_KEY;
+    try {
+      const r = await classify('что-то совсем непонятное', fakeRegistry);
+      expect(r.source).toBe('regex');
+    } finally {
+      if (saved !== undefined) process.env.ROUTER_LLM_KEY = saved;
+    }
+  });
+
+  it('does NOT read ANTHROPIC_API_KEY (would hijack the main session)', async () => {
+    const savedRouter = process.env.ROUTER_LLM_KEY;
+    const savedAnthropic = process.env.ANTHROPIC_API_KEY;
+    delete process.env.ROUTER_LLM_KEY;
+    process.env.ANTHROPIC_API_KEY = 'sk-should-not-be-used';
+    try {
+      const r = await classify('что-то совсем непонятное', fakeRegistry);
+      // No ROUTER_LLM_KEY → must stay on regex even though ANTHROPIC_API_KEY is set.
+      expect(r.source).toBe('regex');
+    } finally {
+      if (savedRouter !== undefined) process.env.ROUTER_LLM_KEY = savedRouter;
+      if (savedAnthropic !== undefined) process.env.ANTHROPIC_API_KEY = savedAnthropic;
+      else delete process.env.ANTHROPIC_API_KEY;
+    }
+  });
+});