docs(ПИЛОТ): 26.05 ночь — открытая работа supplier-platform-prefix (spec only, не на проде)

Заметка для следующей сессии: на ветке fix/supplier-platform-prefix (origin) лежит spec фикса корневой причины с пустым префиксом name у проектов на crm.bp-gr.ru. Кода ещё нет — следующий шаг writing-plans. Также в той же ветке lежит инфра-fix хука extractTestMetrics (распознавание Vitest passed | N skipped формата). Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
docs(supplier): brainstorm — supplier platform prefix on write (spec)
2026-05-26 16:45:55 +03:00 · 2026-05-26 16:33:26 +03:00 · 2026-05-26 16:33:02 +03:00 · 2026-05-26 14:21:25 +03:00 · 2026-05-26 12:41:41 +03:00 · 2026-05-26 12:41:31 +03:00
49 changed files with 2405 additions and 238 deletions
@@ -2,6 +2,14 @@
 # .gitignore — Лидерра
 # =============================================================================

+# ── Session junk (broken PS paths from parallel Claude sessions, deploy tarballs, ad-hoc screenshots) ──
+CTemp*
+CWindowsTemp*
+phase[0-9]*-update.tar.gz
+recheck-*.png
+.tmp-*.sql
+tools/cloudflared.*
+
 # ── Node / npm ──────────────────────────────────────────────────────────────
 node_modules/
 npm-debug.log*
@@ -164,7 +164,14 @@ class ProjectController extends Controller
    {
        $request->validate(['is_active' => ['required', 'boolean']]);
        $project = Project::where('tenant_id', $request->user()->tenant_id)->findOrFail($id);
-        $project->update(['is_active' => $request->boolean('is_active')]);
+
+        // Spec: docs/superpowers/plans/2026-05-26-supplier-snapshot-guard.md (Task 11).
+        // paused_at — anchor для SupplierSnapshotGuard grace-расчёта.
+        $newActive = $request->boolean('is_active');
+        $project->update([
+            'is_active' => $newActive,
+            'paused_at' => $newActive ? null : now(),
+        ]);

        // #10: pause/resume must reach the supplier. The job's group recompute pushes
        // status=paused when no active project of the group remains (resume → active).
@@ -278,19 +278,19 @@ class RouteSupplierLeadJob implements ShouldQueue
                        'deal_id' => $existingMergeable->id,
                        'created_at' => now(),
                    ]);
-                    // Обновляем source_crm_id и опционально received_at через
-                    // DB::table (надёжнее Eloquent save() на партиционированной таблице).
-                    $newReceivedAt = ($lead->received_at !== null && $lead->received_at->gt($existingMergeable->received_at))
-                        ? $lead->received_at
-                        : null;
-                    $updateData = ['source_crm_id' => $lead->vid, 'updated_at' => now()];
-                    if ($newReceivedAt !== null) {
-                        $updateData['received_at'] = $newReceivedAt;
-                    }
+                    // Обновляем только source_crm_id + updated_at через DB::table.
+                    // NB (регрессия 26.05.2026 04:12-05:03 UTC, 9 failed_jobs):
+                    // received_at — partition key, и lead_charges имеет FK
+                    // (deal_id, deal_received_at) с ON DELETE CASCADE, но
+                    // ON UPDATE NO ACTION (default). Любое изменение received_at
+                    // ломает FK даже в той же месячной партиции (даже DEFERRABLE
+                    // INITIALLY DEFERRED не помогает — проверка падает на COMMIT).
+                    // CSV-recovered received_at сохраняем как есть — отличие на минуты
+                    // несущественно, чем риск каскадного DELETE lead_charges.
                    DB::table('deals')
                        ->where('id', $existingMergeable->id)
                        ->where('received_at', $existingMergeable->received_at)
-                        ->update($updateData);
+                        ->update(['source_crm_id' => $lead->vid, 'updated_at' => now()]);

                    Log::info('supplier_lead.merged_into_csv_recovered', [
                        'supplier_lead_id' => $lead->id,
@@ -40,6 +40,7 @@ class Project extends Model
        'tag',
        'type',
        'is_active',
+        'paused_at',
        'daily_limit_target',
        'effective_daily_limit_today',
        'effective_limit_calculated_at',
@@ -69,6 +70,7 @@ class Project extends Model
    {
        return [
            'is_active' => 'boolean',
+            'paused_at' => 'datetime',
            'daily_limit_target' => 'integer',
            'effective_daily_limit_today' => 'integer',
            'region_mask' => 'integer',
@@ -18,6 +18,7 @@ class ProjectService
 {
    public function __construct(
        private readonly OperationsLogger $ops = new OperationsLogger,
+        private readonly SupplierSnapshotGuard $snapshotGuard = new SupplierSnapshotGuard,
    ) {}

    public function update(Project $project, array $data): Project
@@ -30,6 +31,15 @@ class ProjectService
            $data['supplier_b1_project_id'], $data['supplier_b2_project_id'], $data['supplier_b3_project_id'],
        );

+        // Spec: docs/superpowers/plans/2026-05-26-supplier-snapshot-guard.md
+        // Если меняем источник (signal_identifier / sms_senders / sms_keyword) — guard.
+        $sourceFieldsTouched = array_key_exists('signal_identifier', $data)
+            || array_key_exists('sms_senders', $data)
+            || array_key_exists('sms_keyword', $data);
+        if ($sourceFieldsTouched) {
+            $this->snapshotGuard->assertCanMutateSource($project, 'change_source');
+        }
+
        if (isset($data['daily_limit_target']) && $data['daily_limit_target'] < $project->delivered_today) {
            throw new HttpResponseException(response()->json([
                'errors' => [
@@ -149,6 +159,11 @@ class ProjectService

    public function delete(Project $project): void
    {
+        // Spec: docs/superpowers/plans/2026-05-26-supplier-snapshot-guard.md
+        // Guard поставщикова слепка ПЕРЕД has-deals (приоритетней) — клиент должен
+        // увидеть формулировку про «уже заказали лиды», а не «есть сделки».
+        $this->snapshotGuard->assertCanMutateSource($project, 'delete');
+
        $hasDeals = DB::table('deals')->where('project_id', $project->id)->exists();
        if ($hasDeals) {
            throw new HttpResponseException(response()->json([
@@ -261,7 +276,13 @@ class ProjectService
    private function bulkPauseResume($query, bool $isActive): array
    {
        $ids = (clone $query)->pluck('id')->all();
-        $updated = $query->update(['is_active' => $isActive]);
+        // Spec: docs/superpowers/plans/2026-05-26-supplier-snapshot-guard.md (Task 11).
+        // paused_at — anchor для SupplierSnapshotGuard grace-расчёта. Mass-update НЕ
+        // триггерит model events, поэтому пишем явно в одном UPDATE.
+        $updated = $query->update([
+            'is_active' => $isActive,
+            'paused_at' => $isActive ? null : DB::raw('NOW()'),
+        ]);
        foreach ($ids as $id) {
            SyncSupplierProjectJob::dispatch((int) $id);
        }
@@ -291,8 +312,15 @@ class ProjectService
            try {
                $this->delete($model);
                $deleted++;
-            } catch (HttpResponseException) {
-                $skipped[] = ['id' => $p->id, 'reason' => 'has_deals'];
+            } catch (HttpResponseException $e) {
+                // Spec: docs/superpowers/plans/2026-05-26-supplier-snapshot-guard.md (Task 12).
+                // Разделяем причину: guard поставщика (нужно подождать) vs has-deals.
+                $body = json_decode((string) $e->getResponse()->getContent(), true);
+                $message = (string) ($body['errors']['project'][0] ?? '');
+                $reason = str_contains($message, 'Мы уже начали сбор лидов')
+                    ? 'supplier_snapshot_locked'
+                    : 'has_deals';
+                $skipped[] = ['id' => $p->id, 'reason' => $reason];
            }
        }

@@ -0,0 +1,84 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Services\Project;
+
+use App\Models\Project;
+use Carbon\CarbonImmutable;
+use Carbon\CarbonInterface;
+use Illuminate\Http\Exceptions\HttpResponseException;
+use Illuminate\Support\Facades\DB;
+
+/**
+ * Защита проекта от удаления/смены источника, пока поставщик crm.bp-gr.ru
+ * может прислать по нему лиды по уже сделанному слепку.
+ *
+ * Slepok-час поставщика: 21:00 МСК (поставщик в 21:00 формирует заказ на завтра).
+ * Grace: до следующего 21:00 МСК после pause + 24h на доставку хвоста.
+ *
+ * Spec: docs/superpowers/plans/2026-05-26-supplier-snapshot-guard.md
+ */
+class SupplierSnapshotGuard
+{
+    /** Час МСК, в который поставщик заказывает лиды на следующий день. */
+    public const SUPPLIER_ORDER_HOUR_MSK = 21;
+
+    /** Сколько часов после слепка летит хвост лидов (одни сутки). */
+    public const TAIL_DELIVERY_HOURS = 24;
+
+    public function computeGraceUntil(CarbonInterface $pausedAt): CarbonImmutable
+    {
+        $pausedMsk = CarbonImmutable::instance($pausedAt)->setTimezone('Europe/Moscow');
+
+        $next21 = $pausedMsk->setTime(self::SUPPLIER_ORDER_HOUR_MSK, 0, 0);
+        if ($pausedMsk->gte($next21)) {
+            $next21 = $next21->addDay();
+        }
+
+        return $next21->addHours(self::TAIL_DELIVERY_HOURS);
+    }
+
+    public function isProtected(Project $project, ?CarbonImmutable $now = null): bool
+    {
+        $hasLinks = DB::table('project_supplier_links')
+            ->where('project_id', $project->id)
+            ->exists();
+        if (! $hasLinks) {
+            return false;
+        }
+
+        if ($project->is_active) {
+            return true;
+        }
+
+        if ($project->paused_at === null) {
+            return false;
+        }
+
+        $graceUntil = $this->computeGraceUntil($project->paused_at);
+        $effectiveNow = $now ?? CarbonImmutable::now('Europe/Moscow');
+
+        return $effectiveNow->lt($graceUntil);
+    }
+
+    /**
+     * @param  'delete'|'change_source'  $action
+     */
+    public function assertCanMutateSource(Project $project, string $action): void
+    {
+        if (! $this->isProtected($project)) {
+            return;
+        }
+
+        $verb = $action === 'delete' ? 'Удалить' : 'Изменить источник';
+        $message = 'Мы уже начали сбор лидов по этому проекту на завтра. '
+            .'Пока поставьте на паузу — мы увидим это сегодня в 18:00 и завтра '
+            .'не будем запускать сбор лидов по этому проекту. '
+            .$verb.' можно будет послезавтра.';
+
+        throw new HttpResponseException(response()->json([
+            'errors' => ['project' => [$message]],
+        ], 422));
+    }
+}
@@ -0,0 +1,36 @@
+<?php
+
+declare(strict_types=1);
+
+use Illuminate\Database\Migrations\Migration;
+use Illuminate\Database\Schema\Blueprint;
+use Illuminate\Support\Facades\Schema;
+use Illuminate\Support\Facades\DB;
+
+return new class extends Migration
+{
+    public function up(): void
+    {
+        Schema::table('projects', function (Blueprint $table): void {
+            $table->timestampTz('paused_at')->nullable()->after('is_active');
+            $table->index('paused_at', 'projects_paused_at_idx');
+        });
+
+        // Backfill: для уже paused проектов используем updated_at как best-effort
+        // (для долго-paused — grace давно истёк; для свежих — близко к реальной паузе).
+        DB::statement(<<<'SQL'
+            UPDATE projects
+               SET paused_at = updated_at
+             WHERE is_active = false
+               AND paused_at IS NULL
+        SQL);
+    }
+
+    public function down(): void
+    {
+        Schema::table('projects', function (Blueprint $table): void {
+            $table->dropIndex('projects_paused_at_idx');
+            $table->dropColumn('paused_at');
+        });
+    }
+};
@@ -103,7 +103,22 @@ async function confirmAndRun(action: 'pause' | 'resume' | 'delete') {
 async function runBulk(payload: Parameters<typeof store.bulkUpdate>[0]) {
    const result = await store.bulkUpdate(payload);
    if (result.skipped.length > 0) {
-        skipToastText.value = `Применено: ${result.updated}. Пропущено: ${result.skipped.length} (конфликт с уже доставленными лидами).`;
+        const supplierLocked = result.skipped.filter((s) => s.reason === 'supplier_snapshot_locked').length;
+        const withDeals = result.skipped.filter((s) => s.reason === 'has_deals').length;
+        const groups: string[] = [];
+        if (supplierLocked > 0) {
+            groups.push(
+                `${supplierLocked} — мы уже начали сбор лидов на завтра (поставьте проект на паузу, удалить можно будет послезавтра)`,
+            );
+        }
+        if (withDeals > 0) {
+            groups.push(`${withDeals} — по проекту есть сделки`);
+        }
+        // Fallback на старый текст, если reason неизвестный (защита от регрессии при добавлении новых причин).
+        if (groups.length === 0) {
+            groups.push(`${result.skipped.length} (конфликт с уже доставленными лидами)`);
+        }
+        skipToastText.value = `Применено: ${result.updated}. Пропущено: ${groups.join('; ')}.`;
        skipToastOpen.value = true;
    }
 }
@@ -65,11 +65,20 @@ async function onPause(): Promise<void> {
 async function onDelete(): Promise<void> {
    if (!props.project) return;
    const ok = window.confirm(
-        'Удалить проект? Действие необратимо. Если по проекту есть сделки — удаление будет заблокировано.',
+        'Удалить проект? Действие необратимо. Если по проекту есть сделки или поставщик уже заказал лиды — удаление будет заблокировано.',
    );
    if (!ok) return;
-    await store.del(props.project.id);
-    emit('close');
+    Object.keys(errors).forEach((k) => delete errors[k]);
+    try {
+        await store.del(props.project.id);
+        emit('close');
+    } catch (e: unknown) {
+        const err = e as { response?: { status?: number; data?: { errors?: Record<string, string[]> } } };
+        if (err.response?.status === 422 && err.response.data?.errors) {
+            Object.assign(errors, err.response.data.errors);
+        }
+        // НЕ закрываем drawer — клиент видит ошибку и может поставить проект на паузу.
+    }
 }

 async function onSave(): Promise<void> {
@@ -130,6 +139,11 @@ const dayLabels = ['Пн', 'Вт', 'Ср', 'Чт', 'Пт', 'Сб', 'Вс'];
            </header>

            <div class="pdd-body">
+                <!-- Общая ошибка уровня проекта (например, supplier-snapshot guard или has-deals на delete). -->
+                <div v-if="errors.project" class="pdd-error pdd-error-banner" data-testid="pdd-error-project">
+                    {{ errors.project[0] }}
+                </div>
+
                <label class="pdd-field">
                    <span class="pdd-label">Название</span>
                    <input v-model="form.name" data-testid="pdd-name" class="pdd-input" />
@@ -532,3 +532,94 @@ it('caps deal creation at 3 recipients and tags deal with subject from payload',
    expect($deals)->toHaveCount(3)
        ->and($deals->pluck('subject_code')->unique()->all())->toBe([82]);
 });
+
+it('merges webhook into csv-recovered deal even when received_at differs (Phase 2 FK fix)', function (): void {
+    // Регрессия 26.05.2026 04:12-05:03 UTC: 9 RouteSupplierLeadJob упали с
+    // SQLSTATE 23503 (FK violation) при попытке Phase 2 merge обновить deals.received_at.
+    // Причина — lead_charges имеет FK на (deal_id, deal_received_at) с
+    // ON DELETE CASCADE, но ON UPDATE NO ACTION (default). Даже DEFERRABLE INITIALLY
+    // DEFERRED не помогает — проверка падает на COMMIT. Фикс: оставить received_at
+    // CSV-recovered deal'а нетронутым (отличие на минуты несущественно).
+
+    $supplier = SupplierProject::factory()->create([
+        'platform' => 'B1',
+        'signal_type' => 'site',
+        'unique_key' => 'phase2-merge.ru',
+    ]);
+    $tenant = Tenant::factory()->create(['balance_rub' => '100000.00']);
+    $project = Project::factory()->create([
+        'tenant_id' => $tenant->id,
+        'supplier_b1_project_id' => $supplier->id,
+        'signal_type' => 'site',
+        'signal_identifier' => 'phase2-merge.ru',
+        'is_active' => true,
+    ]);
+    linkProjectToSupplier($project, $supplier);
+
+    // CSV-recovered deal: source_crm_id=NULL, received_at в прошлом.
+    $csvReceivedAt = now()->subMinutes(15);
+    DB::statement("SET LOCAL app.current_tenant_id = '{$tenant->id}'");
+    $csvDeal = Deal::create([
+        'tenant_id' => $tenant->id,
+        'source_crm_id' => null,
+        'project_id' => $project->id,
+        'phone' => '79991234567',
+        'phones' => ['79991234567'],
+        'status' => 'new',
+        'received_at' => $csvReceivedAt,
+    ]);
+
+    // LeadCharge на CSV-recovered deal — это что триггерит FK при UPDATE received_at.
+    \App\Models\LeadCharge::factory()->create([
+        'tenant_id' => $tenant->id,
+        'deal_id' => $csvDeal->id,
+        'deal_received_at' => $csvDeal->received_at,
+        'charge_source' => 'rub',
+    ]);
+
+    // Webhook lead: реальный vid, тот же phone+project, received_at позже CSV.
+    $webhookVid = 999111;
+    $webhookReceivedAt = now(); // > csvReceivedAt → старый код триггерил UPDATE received_at.
+    $lead = SupplierLead::factory()->create([
+        'supplier_project_id' => null,
+        'platform' => 'B1',
+        'vid' => $webhookVid,
+        'phone' => '79991234567',
+        'received_at' => $webhookReceivedAt,
+        'raw_payload' => [
+            'vid' => $webhookVid,
+            'project' => 'B1_phase2-merge.ru',
+            'phone' => '79991234567',
+            'phones' => ['79991234567'],
+            'time' => $webhookReceivedAt->getTimestamp(),
+        ],
+    ]);
+
+    // Не должно бросать FK violation — merge обновляет ТОЛЬКО source_crm_id.
+    runRouteJob($lead->id);
+
+    $lead->refresh();
+    expect($lead->processed_at)->not->toBeNull();
+
+    // Deal обновлён: source_crm_id заполнен webhook vid, received_at не тронут.
+    DB::statement("SET LOCAL app.current_tenant_id = '{$tenant->id}'");
+    $merged = Deal::query()
+        ->whereKey($csvDeal->id)
+        ->where('received_at', $csvReceivedAt)
+        ->first();
+    expect($merged)->not->toBeNull();
+    expect($merged->source_crm_id)->toBe($webhookVid);
+
+    // Без второго списания — balance не изменился (chargeForDelivery в merge-ветке не вызывается).
+    expect((string) $tenant->fresh()->balance_rub)->toBe('100000.00');
+
+    // supplier_lead_deliveries — линк создан.
+    $deliveryCount = DB::table('supplier_lead_deliveries')
+        ->where('supplier_lead_id', $lead->id)
+        ->where('tenant_id', $tenant->id)
+        ->count();
+    expect($deliveryCount)->toBe(1);
+
+    // Никаких дублей deals — только один с этим vid.
+    expect(Deal::query()->where('source_crm_id', $webhookVid)->count())->toBe(1);
+});
@@ -105,6 +105,64 @@ describe('BulkActionsBar snackbar replacement (Sprint 1 C5)', () => {
        expect((wrapper.vm as any).skipToastText).toContain('Пропущено: 2');
    });

+    it('runBulk with supplier_snapshot_locked reason shows specific text', async () => {
+        setActivePinia(createPinia());
+        const store = useProjectsStore();
+        store.selectedIds.add(1);
+        vi.spyOn(store, 'bulkUpdate').mockResolvedValue({
+            updated: 0,
+            skipped: [
+                { id: 7, reason: 'supplier_snapshot_locked' },
+                { id: 8, reason: 'supplier_snapshot_locked' },
+            ],
+            warnings: [],
+        } as never);
+        window.confirm = vi.fn(() => true);
+
+        const wrapper = mount(BulkActionsBar, {
+            global: {
+                plugins: [createVuetify()],
+                stubs: defaultStubs,
+            },
+        });
+        await wrapper.find('[data-testid="bulk-delete"]').trigger('click');
+        await new Promise((r) => setTimeout(r, 30));
+
+        // eslint-disable-next-line @typescript-eslint/no-explicit-any
+        const text = (wrapper.vm as any).skipToastText as string;
+        expect(text).toContain('2');
+        expect(text.toLowerCase()).toContain('сбор лидов');
+    });
+
+    it('runBulk with mixed reasons shows both groups', async () => {
+        setActivePinia(createPinia());
+        const store = useProjectsStore();
+        store.selectedIds.add(1);
+        vi.spyOn(store, 'bulkUpdate').mockResolvedValue({
+            updated: 3,
+            skipped: [
+                { id: 7, reason: 'supplier_snapshot_locked' },
+                { id: 8, reason: 'has_deals' },
+            ],
+            warnings: [],
+        } as never);
+        window.confirm = vi.fn(() => true);
+
+        const wrapper = mount(BulkActionsBar, {
+            global: {
+                plugins: [createVuetify()],
+                stubs: defaultStubs,
+            },
+        });
+        await wrapper.find('[data-testid="bulk-delete"]').trigger('click');
+        await new Promise((r) => setTimeout(r, 30));
+
+        // eslint-disable-next-line @typescript-eslint/no-explicit-any
+        const text = (wrapper.vm as any).skipToastText as string;
+        expect(text.toLowerCase()).toContain('сбор лидов'); // supplier_snapshot_locked
+        expect(text.toLowerCase()).toContain('сделки'); // has_deals
+    });
+
    it('runBulk with skipped=0 does NOT open snackbar', async () => {
        setActivePinia(createPinia());
        const store = useProjectsStore();
@@ -178,6 +178,44 @@ describe('ProjectDetailsDrawer', () => {
        vi.unstubAllGlobals();
    });

+    it('Delete: 422 errors.project → drawer не закрывается, текст показан', async () => {
+        const wrapper = mount(ProjectDetailsDrawer, { props: { project: sampleProject } });
+        const store = useProjectsStore();
+        const message = 'Мы уже начали сбор лидов по этому проекту на завтра. Пока поставьте на паузу — мы увидим это сегодня в 18:00 и завтра не будем запускать сбор лидов по этому проекту. Удалить можно будет послезавтра.';
+        vi.spyOn(store, 'del').mockRejectedValueOnce({
+            response: { status: 422, data: { errors: { project: [message] } } },
+        });
+        vi.stubGlobal('confirm', () => true);
+
+        await wrapper.get('[data-testid="pdd-delete"]').trigger('click');
+        await wrapper.vm.$nextTick();
+        await wrapper.vm.$nextTick();
+
+        expect(wrapper.emitted('close')).toBeUndefined();
+        expect(wrapper.text()).toContain('Мы уже начали сбор лидов');
+
+        vi.unstubAllGlobals();
+    });
+
+    it('Save: 422 errors.project → текст показан', async () => {
+        // Сброс предыдущих очередей mock'ов, чтобы наш reject точно был первым в queue.
+        vi.mocked(axios.patch).mockReset();
+        (axios.patch as unknown as ReturnType<typeof vi.fn>).mockRejectedValueOnce({
+            response: {
+                status: 422,
+                data: { errors: { project: ['Мы уже начали сбор лидов по этому проекту на завтра. Изменить источник можно будет послезавтра.'] } },
+            },
+        });
+        const wrapper = mount(ProjectDetailsDrawer, { props: { project: sampleProject } });
+
+        await wrapper.get('[data-testid="pdd-save"]').trigger('click');
+        await wrapper.vm.$nextTick();
+        await wrapper.vm.$nextTick();
+
+        expect(wrapper.emitted('saved')).toBeUndefined();
+        expect(wrapper.text()).toContain('Изменить источник можно будет послезавтра');
+    });
+
    it('renders region chips for project.regions = [1, 2]', async () => {
        const withRegions: Project = { ...sampleProject, regions: [1, 2] };
        const wrapper = mount(ProjectDetailsDrawer, { props: { project: withRegions } });
@@ -0,0 +1,29 @@
+<?php
+
+declare(strict_types=1);
+
+namespace Tests\Unit\Models;
+
+use App\Models\Project;
+use Tests\TestCase;
+
+/**
+ * Гарантирует, что колонка `paused_at` mass-assignable и cast'ится в datetime.
+ *
+ * Связано: SupplierSnapshotGuard (docs/superpowers/plans/2026-05-26-supplier-snapshot-guard.md).
+ */
+class ProjectPausedAtTest extends TestCase
+{
+    public function test_paused_at_is_in_fillable(): void
+    {
+        $fillable = (new Project)->getFillable();
+        $this->assertContains('paused_at', $fillable);
+    }
+
+    public function test_paused_at_is_cast_to_datetime(): void
+    {
+        $casts = (new Project)->getCasts();
+        $this->assertArrayHasKey('paused_at', $casts);
+        $this->assertSame('datetime', $casts['paused_at']);
+    }
+}
@@ -0,0 +1,63 @@
+<?php
+
+declare(strict_types=1);
+
+namespace Tests\Unit\Services\Project;
+
+use App\Http\Controllers\Api\ProjectController;
+use App\Services\Project\ProjectService;
+use ReflectionMethod;
+use Tests\TestCase;
+
+/**
+ * Гарантирует, что переключение `is_active` всегда сопровождается записью `paused_at`:
+ *   - is_active = false → paused_at := NOW()
+ *   - is_active = true  → paused_at := null
+ *
+ * Без этого SupplierSnapshotGuard для bulk-paused проектов начнёт считать их
+ * "защищёнными навсегда" (paused_at NULL trait), и удаление никогда не разблокируется.
+ *
+ * Тест читает исходник методов и проверяет наличие явной записи `paused_at` рядом
+ * с записью `is_active`. Это структурный smoke — поведенческие тесты (через БД)
+ * пишутся отдельно (Task 14 final regression).
+ *
+ * Spec: docs/superpowers/plans/2026-05-26-supplier-snapshot-guard.md (Task 11).
+ */
+class PausedAtWriteSideTest extends TestCase
+{
+    public function test_project_service_bulk_pause_resume_writes_paused_at(): void
+    {
+        $body = $this->methodBody(ProjectService::class, 'bulkPauseResume');
+
+        $this->assertStringContainsString('paused_at', $body,
+            'bulkPauseResume должен явно обновлять paused_at вместе с is_active');
+        $this->assertStringContainsString('is_active', $body);
+    }
+
+    public function test_project_controller_toggle_active_writes_paused_at(): void
+    {
+        $body = $this->methodBody(ProjectController::class, 'toggleActive');
+
+        $this->assertStringContainsString('paused_at', $body,
+            'toggleActive должен явно обновлять paused_at вместе с is_active');
+        $this->assertStringContainsString('is_active', $body);
+    }
+
+    public function test_bulk_delete_distinguishes_supplier_snapshot_lock_from_has_deals(): void
+    {
+        $body = $this->methodBody(ProjectService::class, 'bulkDelete');
+
+        $this->assertStringContainsString('supplier_snapshot_locked', $body,
+            'bulkDelete должен помечать пропущенные проекты reason="supplier_snapshot_locked" при guard-блоке');
+        $this->assertStringContainsString('has_deals', $body);
+    }
+
+    private function methodBody(string $class, string $method): string
+    {
+        $rm = new ReflectionMethod($class, $method);
+        $lines = file($rm->getFileName());
+        $body = array_slice($lines, $rm->getStartLine() - 1, $rm->getEndLine() - $rm->getStartLine() + 1);
+
+        return implode('', $body);
+    }
+}
@@ -0,0 +1,103 @@
+<?php
+
+declare(strict_types=1);
+
+namespace Tests\Unit\Services\Project;
+
+use App\Models\Project;
+use App\Services\Audit\OperationsLogger;
+use App\Services\Project\ProjectService;
+use App\Services\Project\SupplierSnapshotGuard;
+use Illuminate\Http\Exceptions\HttpResponseException;
+use Mockery;
+use Tests\TestCase;
+
+/**
+ * Wiring-тесты: убеждаемся, что ProjectService::delete() и ProjectService::update()
+ * зовут SupplierSnapshotGuard::assertCanMutateSource перед мутацией.
+ *
+ * Это не behaviour-тесты самого guard (они в SupplierSnapshotGuardTest), а контракт
+ * интеграции — что переключение защиты на guard действительно произошло.
+ *
+ * Spec: docs/superpowers/plans/2026-05-26-supplier-snapshot-guard.md (Task 8 / Task 10).
+ */
+class ProjectServiceGuardWiringTest extends TestCase
+{
+    public function test_delete_invokes_guard_with_delete_action(): void
+    {
+        $guard = Mockery::mock(SupplierSnapshotGuard::class);
+        $guard->shouldReceive('assertCanMutateSource')
+            ->once()
+            ->with(Mockery::on(fn ($p) => $p instanceof Project && $p->id === 99), 'delete')
+            ->andThrow(new HttpResponseException(response()->json([], 422)));
+
+        $service = new ProjectService(new OperationsLogger, $guard);
+
+        $project = new Project(['tenant_id' => 1]);
+        $project->id = 99;
+
+        // We expect guard to throw → ProjectService::delete bails out before touching DB.
+        // Если guard НЕ вызывался — Mockery скажет shouldReceive missed → fail.
+        try {
+            $service->delete($project);
+            $this->fail('Expected HttpResponseException');
+        } catch (HttpResponseException) {
+            $this->assertTrue(true);
+        }
+    }
+
+    public function test_update_invokes_guard_with_change_source_action_when_signal_identifier_changes(): void
+    {
+        $guard = Mockery::mock(SupplierSnapshotGuard::class);
+        $guard->shouldReceive('assertCanMutateSource')
+            ->once()
+            ->with(Mockery::on(fn ($p) => $p instanceof Project && $p->id === 100), 'change_source')
+            ->andThrow(new HttpResponseException(response()->json([], 422)));
+
+        $service = new ProjectService(new OperationsLogger, $guard);
+
+        $project = new Project([
+            'tenant_id' => 1,
+            'signal_type' => 'call',
+            'signal_identifier' => '79161234567',
+            'delivered_today' => 0,
+        ]);
+        $project->id = 100;
+
+        try {
+            $service->update($project, ['signal_identifier' => '79169999999']);
+            $this->fail('Expected HttpResponseException');
+        } catch (HttpResponseException) {
+            $this->assertTrue(true);
+        }
+    }
+
+    public function test_update_does_not_invoke_guard_when_only_non_source_fields_change(): void
+    {
+        $guard = Mockery::mock(SupplierSnapshotGuard::class);
+        $guard->shouldNotReceive('assertCanMutateSource');
+
+        $service = new ProjectService(new OperationsLogger, $guard);
+
+        $project = new Project([
+            'tenant_id' => 1,
+            'signal_type' => 'call',
+            'signal_identifier' => '79161234567',
+            'delivered_today' => 0,
+            'daily_limit_target' => 10,
+        ]);
+        $project->id = 101;
+
+        // Меняем только daily_limit_target / regions — guard вызываться не должен.
+        // Реальный update упадёт на $project->update() (нет таблицы) — это нормально,
+        // нам важна только проверка mockery expectation на guard.
+        try {
+            $service->update($project, ['daily_limit_target' => 20]);
+        } catch (\Throwable) {
+            // ignore — нас интересует только что guard НЕ был вызван
+        }
+
+        // mockery expectations проверятся в tearDown — если guard ВЫЗВАЛСЯ, тест провалится
+        $this->assertTrue(true);
+    }
+}
@@ -0,0 +1,191 @@
+<?php
+
+declare(strict_types=1);
+
+namespace Tests\Unit\Services\Project;
+
+use App\Models\Project;
+use App\Services\Project\SupplierSnapshotGuard;
+use Carbon\CarbonImmutable;
+use Illuminate\Http\Exceptions\HttpResponseException;
+use Illuminate\Support\Facades\DB;
+use Tests\TestCase;
+
+/**
+ * Unit-тесты для SupplierSnapshotGuard.
+ *
+ * Spec: docs/superpowers/plans/2026-05-26-supplier-snapshot-guard.md
+ */
+class SupplierSnapshotGuardTest extends TestCase
+{
+    private SupplierSnapshotGuard $guard;
+
+    protected function setUp(): void
+    {
+        parent::setUp();
+        $this->guard = new SupplierSnapshotGuard;
+    }
+
+    public function test_grace_until_for_pause_before_21_msk_is_next_day_21_msk(): void
+    {
+        $pausedAt = CarbonImmutable::parse('2026-05-25 14:00:00', 'Europe/Moscow');
+        $graceUntil = $this->guard->computeGraceUntil($pausedAt);
+
+        $this->assertSame(
+            '2026-05-26 21:00:00',
+            $graceUntil->setTimezone('Europe/Moscow')->format('Y-m-d H:i:s'),
+        );
+    }
+
+    public function test_grace_until_for_pause_after_21_msk_is_day_plus_two_21_msk(): void
+    {
+        $pausedAt = CarbonImmutable::parse('2026-05-25 22:00:00', 'Europe/Moscow');
+        $graceUntil = $this->guard->computeGraceUntil($pausedAt);
+
+        $this->assertSame(
+            '2026-05-27 21:00:00',
+            $graceUntil->setTimezone('Europe/Moscow')->format('Y-m-d H:i:s'),
+        );
+    }
+
+    public function test_grace_until_for_pause_exactly_at_21_msk_is_day_plus_two_21_msk(): void
+    {
+        $pausedAt = CarbonImmutable::parse('2026-05-25 21:00:00', 'Europe/Moscow');
+        $graceUntil = $this->guard->computeGraceUntil($pausedAt);
+
+        $this->assertSame(
+            '2026-05-27 21:00:00',
+            $graceUntil->setTimezone('Europe/Moscow')->format('Y-m-d H:i:s'),
+        );
+    }
+
+    public function test_grace_until_handles_utc_input(): void
+    {
+        // 14:00 UTC = 17:00 MSK (до 21:00) → grace = следующее 21:00 МСК +24ч
+        $pausedAt = CarbonImmutable::parse('2026-05-25 14:00:00', 'UTC');
+        $graceUntil = $this->guard->computeGraceUntil($pausedAt);
+
+        $this->assertSame(
+            '2026-05-26 21:00:00',
+            $graceUntil->setTimezone('Europe/Moscow')->format('Y-m-d H:i:s'),
+        );
+    }
+
+    // ------------------ isProtected ---------------------------------------
+
+    private function mockLinksExists(int $projectId, bool $exists): void
+    {
+        $builder = \Mockery::mock();
+        $builder->shouldReceive('where')->with('project_id', $projectId)->andReturnSelf();
+        $builder->shouldReceive('exists')->andReturn($exists);
+
+        DB::shouldReceive('table')->with('project_supplier_links')->andReturn($builder);
+    }
+
+    public function test_is_protected_false_when_no_supplier_links(): void
+    {
+        $project = new Project(['is_active' => true]);
+        $project->id = 1;
+
+        $this->mockLinksExists(1, false);
+
+        $this->assertFalse($this->guard->isProtected($project));
+    }
+
+    public function test_is_protected_true_when_active_and_linked(): void
+    {
+        $project = new Project(['is_active' => true]);
+        $project->id = 2;
+
+        $this->mockLinksExists(2, true);
+
+        $this->assertTrue($this->guard->isProtected($project));
+    }
+
+    public function test_is_protected_false_when_paused_without_paused_at_legacy(): void
+    {
+        $project = new Project(['is_active' => false]);
+        $project->id = 3;
+        $project->paused_at = null;
+
+        $this->mockLinksExists(3, true);
+
+        $this->assertFalse($this->guard->isProtected($project));
+    }
+
+    public function test_is_protected_true_when_paused_recently_within_grace(): void
+    {
+        $project = new Project(['is_active' => false]);
+        $project->id = 4;
+        // paused at 22:00 МСК → grace until +day-after-tomorrow 21:00 МСК
+        $project->paused_at = CarbonImmutable::parse('2026-05-25 22:00:00', 'Europe/Moscow');
+
+        $this->mockLinksExists(4, true);
+
+        // current "now" is one hour after pause — well inside grace window
+        $now = CarbonImmutable::parse('2026-05-25 23:00:00', 'Europe/Moscow');
+        $this->assertTrue($this->guard->isProtected($project, $now));
+    }
+
+    public function test_is_protected_false_when_grace_has_elapsed(): void
+    {
+        $project = new Project(['is_active' => false]);
+        $project->id = 5;
+        $project->paused_at = CarbonImmutable::parse('2026-05-25 14:00:00', 'Europe/Moscow');
+
+        $this->mockLinksExists(5, true);
+
+        // grace_until = 2026-05-26 21:00; "now" — позже
+        $now = CarbonImmutable::parse('2026-05-26 22:00:00', 'Europe/Moscow');
+        $this->assertFalse($this->guard->isProtected($project, $now));
+    }
+
+    // ------------------ assertCanMutateSource -----------------------------
+
+    public function test_assert_no_throw_when_unprotected(): void
+    {
+        $project = new Project(['is_active' => true]);
+        $project->id = 6;
+
+        $this->mockLinksExists(6, false);
+
+        // not throwing means success
+        $this->guard->assertCanMutateSource($project, 'delete');
+        $this->assertTrue(true);
+    }
+
+    public function test_assert_throws_422_with_delete_phrasing(): void
+    {
+        $project = new Project(['is_active' => true]);
+        $project->id = 7;
+
+        $this->mockLinksExists(7, true);
+
+        try {
+            $this->guard->assertCanMutateSource($project, 'delete');
+            $this->fail('Expected HttpResponseException');
+        } catch (HttpResponseException $e) {
+            $this->assertSame(422, $e->getResponse()->getStatusCode());
+            $body = json_decode((string) $e->getResponse()->getContent(), true);
+            $msg = $body['errors']['project'][0];
+            $this->assertStringContainsString('Мы уже начали сбор лидов', $msg);
+            $this->assertStringContainsString('Удалить можно будет послезавтра', $msg);
+        }
+    }
+
+    public function test_assert_throws_422_with_change_source_phrasing(): void
+    {
+        $project = new Project(['is_active' => true]);
+        $project->id = 8;
+
+        $this->mockLinksExists(8, true);
+
+        try {
+            $this->guard->assertCanMutateSource($project, 'change_source');
+            $this->fail('Expected HttpResponseException');
+        } catch (HttpResponseException $e) {
+            $msg = json_decode((string) $e->getResponse()->getContent(), true)['errors']['project'][0];
+            $this->assertStringContainsString('Изменить источник можно будет послезавтра', $msg);
+        }
+    }
+}
@@ -0,0 +1,54 @@
+BEGIN;
+CREATE TEMP TABLE dups AS
+SELECT d.id AS deal_id, lc.id AS charge_id, lc.price_per_lead_kopecks
+FROM deals d
+JOIN lead_charges lc ON lc.deal_id = d.id
+WHERE d.tenant_id=2
+  AND d.created_at::date = DATE '2026-05-25'
+  AND d.source_crm_id IS NULL
+  AND d.deleted_at IS NULL
+  AND EXISTS (
+      SELECT 1 FROM deals d2
+      WHERE d2.tenant_id=d.tenant_id
+        AND d2.phone=d.phone
+        AND d2.project_id=d.project_id
+        AND d2.source_crm_id IS NOT NULL
+        AND d2.created_at::date = DATE '2026-05-25'
+        AND d2.deleted_at IS NULL
+  );
+
+\echo === dups to clean ===
+SELECT COUNT(*) AS dup_count, (SUM(price_per_lead_kopecks)/100.0)::numeric(12,2) AS refund_rub FROM dups;
+
+\echo === refund balance ===
+UPDATE tenants
+   SET balance_rub = balance_rub + (SELECT (SUM(price_per_lead_kopecks)/100.0)::numeric(14,2) FROM dups),
+       delivered_in_month = GREATEST(0, delivered_in_month - (SELECT COUNT(*)::int FROM dups))
+ WHERE id = 2
+ RETURNING id, balance_rub, delivered_in_month;
+
+\echo === insert refund txns ===
+WITH ins AS (
+  INSERT INTO balance_transactions(tenant_id, type, amount_leads, amount_rub, balance_leads_after, balance_rub_after, related_type, related_id, created_at)
+  SELECT 2, 'refund', NULL, (price_per_lead_kopecks/100.0)::numeric(14,2), NULL,
+         (SELECT balance_rub FROM tenants WHERE id=2),
+         'App\Models\Deal', deal_id, NOW()
+    FROM dups
+  RETURNING id
+)
+SELECT COUNT(*) AS refund_txns_inserted FROM ins;
+
+\echo === soft delete deals ===
+WITH upd AS (
+  UPDATE deals SET deleted_at = NOW(), updated_at = NOW()
+   WHERE id IN (SELECT deal_id FROM dups)
+  RETURNING id
+)
+SELECT COUNT(*) AS deals_soft_deleted FROM upd;
+
+COMMIT;
+
+\echo === verify ===
+SELECT id, balance_rub, delivered_in_month FROM tenants WHERE id=2;
+SELECT COUNT(*) AS refund_txns FROM balance_transactions WHERE tenant_id=2 AND type='refund' AND created_at > NOW() - interval '5 minutes';
+SELECT COUNT(*) AS remaining_active_dup_pairs FROM (SELECT phone, project_id FROM deals WHERE tenant_id=2 AND created_at::date = DATE '2026-05-25' AND deleted_at IS NULL GROUP BY phone, project_id HAVING COUNT(*) > 1) t;
@@ -2,7 +2,29 @@

 **Назначение:** консолидированный журнал изменений `schema.sql`. Содержит тридцать записей в обратном хронологическом порядке (v8.33 → v8.32 → v8.31 → v8.30 → v8.29 → v8.28 → v8.27 → v8.26 → v8.25 → v8.24 → v8.23 → v8.22 → v8.21 → v8.20 → v8.19 → v8.18 → v8.17 → v8.16 → v8.15 → v8.14 → v8.13 → v8.12 → v8.11 → v8.10 → v8.9 → v8.8 → v8.7 → v8.6 → v8.5 → v8.4 → v8.3 → v8.2), как принято в keep-a-changelog.

-**Файл схемы:** `schema.sql` (текущая версия — v8.37, консолидированная — разворачивает БД с нуля).
+**Файл схемы:** `schema.sql` (текущая версия — v8.38, консолидированная — разворачивает БД с нуля).
+
+## v8.38 (2026-05-26) — projects.paused_at + projects_paused_at_idx (Supplier Snapshot Guard)
+
+Защита от прямого убытка Лидерры при удалении/смене источника проекта в окне
+между слепком поставщика (21:00 МСК) и доставкой по этому слепку. Сценарий: клиент
+создал проект → ушёл к поставщику в 21:00 → клиент удалил после 21:00 → поставщик
+утром начал слать лиды по слепку → у нас нет проекта → лиды приняты (`202`), сделки
+не созданы, баланс не списан, но поставщик в CSV выставит за них счёт.
+
+Полная спека и тесты: `docs/superpowers/plans/2026-05-26-supplier-snapshot-guard.md`.
+
+**Изменено:**
+
+- **`projects.paused_at TIMESTAMPTZ NULL`** — новая колонка. Anchor для SupplierSnapshotGuard.
+  Устанавливается в `NOW()` при `is_active = false`, сбрасывается в `NULL` при `is_active = true`.
+- **`CREATE INDEX projects_paused_at_idx ON projects(paused_at)`** — индекс для grace-проверки.
+
+**Backfill (delta-миграция):** `UPDATE projects SET paused_at = updated_at WHERE is_active = false AND paused_at IS NULL` —
+для уже paused проектов, `updated_at` — best-effort approximation момента паузы.
+
+**Связано:** `app/database/migrations/2026_05_26_120000_add_paused_at_to_projects.php`,
+`app/app/Services/Project/SupplierSnapshotGuard.php`, `app/app/Services/Project/ProjectService.php`.

 ## v8.37 (2026-05-25) — supplier_*.platform: VARCHAR(4)→VARCHAR(8) + ENUM расширен на DIRECT

@@ -1,6 +1,7 @@
 -- =============================================================================
 -- schema.sql — единая схема БД для SaaS-аналога crm.bp-gr.ru («Лидерра»)
-- Версия: v8.37 (25.05.2026 — supplier_*.platform VARCHAR(4)→VARCHAR(8) + chk_supplier_projects_platform / chk_psl_platform / chk_supplier_leads_platform расширены до IN(B1,B2,B3,DIRECT); +seed suppliers.code='direct'. Phase 3 supplier webhook reliability — приём проектов без B-префикса end-to-end)
+-- Версия: v8.38 (26.05.2026 — projects.paused_at TIMESTAMPTZ + projects_paused_at_idx: anchor для SupplierSnapshotGuard. Защита от убытка при удалении/смене источника проекта, пока поставщик может прислать лиды по уже сделанному слепку — docs/superpowers/plans/2026-05-26-supplier-snapshot-guard.md)
+-- Базовая версия: v8.37 (25.05.2026 — supplier_*.platform VARCHAR(4)→VARCHAR(8) + chk_supplier_projects_platform / chk_psl_platform / chk_supplier_leads_platform расширены до IN(B1,B2,B3,DIRECT); +seed suppliers.code='direct'. Phase 3 supplier webhook reliability — приём проектов без B-префикса end-to-end)
 -- Базовая версия: v8.36 (25.05.2026 — supplier_csv_reconcile_log.unparseable_count: учёт мусорных CSV-строк, вычитание из drift-формулы → убирает false-positive drift_alert от телефонов/URL в поле project)
 -- Базовая версия: v8.35 (24.05.2026 — legacy direct webhook removal: DROP webhook_log (partitioned) + rejected_deals_log + tenants.webhook_token/webhook_token_rotated_at; webhook_dedup_keys сохранена (CSV-канал))
 -- Базовая версия: v8.34 (23.05.2026 — Billing v2 Spec B: −индекс deals(duplicate_of_id) — телефонный дедуп удалён)
@@ -801,6 +802,11 @@ CREATE TABLE projects (
    sms_senders                     JSONB,                             -- массив sender-имён (для signal_type='sms')
    sms_keyword                     TEXT,                              -- ключевое слово (опционально, signal_type='sms')
    is_active                       BOOLEAN DEFAULT TRUE,
+    -- РАСШИРЕНИЕ v8.38: anchor для SupplierSnapshotGuard.
+    -- is_active=false → paused_at := NOW(); is_active=true → paused_at := NULL.
+    -- Используется для расчёта grace-периода до разблокировки удаления/смены источника
+    -- (docs/superpowers/plans/2026-05-26-supplier-snapshot-guard.md).
+    paused_at                       TIMESTAMPTZ,
    -- РАСШИРЕНИЕ v8.2: динамические лимиты (партия 10.6 аудита)
    daily_limit_target              INT NOT NULL DEFAULT 10,           -- что хочет клиент (default 10 = паритет с оригиналом)
    effective_daily_limit_today     INT,                               -- что реально на сегодня (NULL = ещё не считалось)
@@ -878,6 +884,8 @@ CREATE INDEX idx_projects_tenant_signal
    ON projects(tenant_id, signal_type, signal_identifier);
 -- v8.20 (Plan 6): GIN-индекс для outbound regions queries.
 CREATE INDEX idx_projects_regions ON projects USING GIN (regions);
+-- v8.38: индекс для SupplierSnapshotGuard grace-проверки.
+CREATE INDEX projects_paused_at_idx ON projects(paused_at);

 COMMENT ON COLUMN projects.daily_limit_target IS
    'Целевой дневной лимит лидов, заданный клиентом. Фактический лимит на '
@@ -0,0 +1,33 @@
+# deploy/
+
+Скрипты применения обновлений на боевом сервере liderra.ru.
+
+## redeploy.sh
+
+Server-side половина деплоя. На боевом лежит в `/var/www/liderra/redeploy.sh`
+(вне репозитория Laravel). Здесь — каноническая копия для версионирования
+и аудита.
+
+**Workflow деплоя:**
+
+1. **Локально** — собрать архив кода + Vite-сборку:
+   ```bash
+   git archive HEAD app/ db/ | gzip > /tmp/deploy-code.tgz
+   tar czf /tmp/deploy-build.tgz -C app/public build/
+   ```
+2. **scp** обоих архивов на сервер.
+3. **На сервере** — распаковать в `/var/www/liderra/app/`, выставить владельца
+   `www-data:www-data`, запустить `bash /var/www/liderra/redeploy.sh`.
+
+**NB:** `redeploy.sh` НЕ делает `git pull` — он рассчитан на то, что код
+уже залит scp. Если запустить без предварительного scp — будет no-op
+(composer install / migrate / optimize / restart на той же кодовой базе).
+
+**Квирк 107 (фикс встроен):** строка `sudo -u www-data php artisan optimize`
+обязательна. Без неё `optimize` запускался от `ubuntu` → `bootstrap/cache/config.php`
+с владельцем `ubuntu` → php-fpm (под `www-data`) не мог прочитать → 503 на всём
+портале. Инцидент 24.05.2026 03:46 UTC, портал лежал 18 минут.
+
+**Расхождение с боевым:** если правится этот файл — синкать на боевой
+(scp + проверка хеша). Боевой = source of truth для исполнения, репо =
+source of truth для рецепта.
@@ -0,0 +1,14 @@
+#!/usr/bin/env bash
+# Лидерра тест-сервер — применить обновление (server-side половина).
+# ПЕРЕД запуском: с dev-машины залить новый код (git archive app db) + сборку
+# (app/public/build) через scp. Затем на сервере: bash /var/www/liderra/redeploy.sh
+set -euo pipefail
+cd /var/www/liderra/app
+composer install --optimize-autoloader --no-interaction --no-scripts --ignore-platform-req=ext-redis
+php artisan migrate --force
+sudo -u www-data php artisan optimize
+chmod -R a+rX public/build
+sudo chown -R ubuntu:www-data storage bootstrap/cache
+sudo chmod -R 775 storage bootstrap/cache
+sudo systemctl restart php8.3-fpm liderra-queue
+echo "Redeploy done at $(date -u +%FT%TZ)"
@@ -1,6 +1,6 @@
 {
  "2026-05": {
-    "WIN_USER_PATH": 57,
+    "WIN_USER_PATH": 72,
    "IPV4": 1,
    "RU_PHONE": 1
  }
@@ -1,5 +1,5 @@
 {
-  "last_read_at": "2026-05-24T13:27:14.691Z",
-  "read_count_last_period": 2,
+  "last_read_at": "2026-05-26T05:07:20.692Z",
+  "read_count_last_period": 3,
  "period_start": "2026-05-19T00:00:00+03:00"
 }
@@ -1,4 +1,4 @@
 {
  "last_run_at": null,
-  "episodes_since_last": 0
+  "episodes_since_last": 202
 }
@@ -1,6 +1,6 @@
 # Brain Status (auto-generated)

-Last updated: 2026-05-25T14:59:12.388Z
+Last updated: 2026-05-26T09:36:14.902Z

 | Контролёр | Состояние | Детали |
 |---|---|---|
@@ -8,14 +8,14 @@ Last updated: 2026-05-25T14:59:12.388Z
 | C2 Cross-ref consistency | ✅ | [cross-ref-checker] OK — 0 drift in 4 files |
 | C3 Observer-of-observer | ✅ | [observer-of-observer] OK — last read 0 week(s) ago |
 | C4 Сигнальный статус | ✅ | This file (self-reference) |
-| C5 Observer-coverage | ⚠️ | 414 episode(s) this month · Stop-hook + post-commit OK · 21 missed activation(s) — see /brain-retro |
+| C5 Observer-coverage | ⚠️ | 474 episode(s) this month · Stop-hook + post-commit OK · 21 missed activation(s) — see /brain-retro |
 | C6 Chain map sync | ✅ | [chain-map-checker] OK — 16 chains in sync |

 ## Метрики (информационные, не алерты)

- Observer evidence: 414 episodes this month, 0 observer_error markers, 59 PII matches before filter
- Legacy v1 episodes (not in factor analysis): 275
- Last /brain-retro: 1 day(s) ago
+- Observer evidence: 474 episodes this month, 0 observer_error markers, 74 PII matches before filter
+- Legacy v1 episodes (not in factor analysis): 335
+- Last /brain-retro: 0 day(s) ago
 - Использование узлов: см. `/brain-retro` (раз в спринт). missed_activations: 21. **Неиспользованные узлы — не алерт, если профильной задачи не было** (Pravila §16.4 v1.36; capability-readiness; см. memory `feedback_brain_unused_tools_not_problem` — outside-repo memory store).

 ## Метрики дисциплины
@@ -24,17 +24,17 @@ Baseline дисциплины роутера (этап 2 router discipline overh

 | Тип задачи | Эпизодов | % с триггер-матчем | % через скил |
 |---|---|---|---|
-| analysis | 19 | 42.1% | 21.1% |
-| monitoring | 16 | 0.0% | 0.0% |
-| feature | 14 | 14.3% | 0.0% |
-| bugfix | 11 | 36.4% | 45.5% |
-| planning | 10 | 20.0% | 20.0% |
+| monitoring | 22 | 0.0% | 0.0% |
+| analysis | 20 | 40.0% | 20.0% |
+| feature | 15 | 13.3% | 0.0% |
+| bugfix | 12 | 33.3% | 41.7% |
+| planning | 11 | 18.2% | 18.2% |
+| cleanup | 4 | 0.0% | 0.0% |
 | refactor | 1 | 0.0% | 0.0% |
-| cleanup | 1 | 0.0% | 0.0% |

-Router step distribution: 1: 166, 2: 143, 3: 54, 5: 46
+Router step distribution: 1: 190, 2: 176, 3: 54, 5: 49

-Boundaries applied (ADR / границы): 64 of 409 эпизодов (15.6%).
+Boundaries applied (ADR / границы): 65 of 469 эпизодов (13.9%).

 ## Активные многоэтапные проекты

@@ -44,6 +44,10 @@ Boundaries applied (ADR / границы): 64 of 409 эпизодов (15.6%).
  - Этап 3 (принуждение — хук на routing) — Phase A+B (классификатор + 3 хука: router-prehook/tool-gate/stop-gate в `.claude/settings.json`) ✅ + влит в main 2026-05-24. Гейт работает в режиме **`warn-only`** (только stderr-предупреждения, никакой блокировки). Bug-fix `bec69aa5`: `deriveRouterStep` в `tools/discipline-metrics.mjs` — шаг роутера теперь выводится из наблюдаемых признаков (был захардкоженной константой 1). **Follow-up 3 fixes 2026-05-24** (после ANTHROPIC_API_KEY + рестарта CC выявлены при инспекции state): (a) UTF-8 stdin helper `tools/router-stdin-helper.mjs` через `StringDecoder` + подключение к 3 хукам (русский в state-файл и Anthropic API без mojibake); (b) `tools/observer-state-enricher.mjs` — pure helper для чтения `router-state-<session>.json`; (c) `parseTranscript` обогащение `primary_rationale` 4 полями (`recommended_node` override + `recommended_chain` + `chain_progress` + `chain_completed`). 538 tools-тестов GREEN. Plan: `docs/superpowers/plans/2026-05-24-router-stage3-three-fixes.md`. CHECKPOINT B: дать warn-only накопить реальные наблюдения с **починенным** сторожем (план говорит «минимум 24 часа»), затем Task 9 — переключение в `enforce` + 2 новых метрики (domain-hit-rate / chain-completion). Plan: `docs/superpowers/plans/2026-05-24-router-overhaul-stage-3-enforcement.md`.
  - Этап 4 (уборка устаревших правил, deprecation `observer-classification-map.json` → удаление) — не начат.

+## Длинные сессии
+
+Ни одной сессии с >50 ходов сегодня (UTC). ✅
+
 ## Стоимость месяца

 | Компонент | Токены (in/out) | USD |
@@ -61,15 +65,25 @@ Boundaries applied (ADR / границы): 64 of 409 эпизодов (15.6%).

 ## Авто-ретроспектива

-Last self-retrospect: never
-Episodes since last run: 0 / threshold: 10
+Last self-retrospect: never ⚠️ (202 эпизодов с последнего запуска, порог 10)
+Episodes since last run: 202 / threshold: 10


 ## Reviewer: субагент vs fallback

-0 эпизодов проверено из 414.
+0 эпизодов проверено из 474.


+## Использование override-фраз
+
+⚠️ Превышен порог override-использования сегодня (≥5/день)
+
+| Фраза | За всё время | За сегодня |
+|---|---|---|
+| `recovery` | 54 | 44 ⚠️ |
+| `без скилов` | 10 | 8 ⚠️ |
+| `ремонт инфраструктуры` | 10 | 10 ⚠️ |
+
 ## Алерт-индикаторы

 ✅ — норма ・ ⚠️ — внимание ・ 🔴 — действие требуется ・ ⚪ — не запускалось
@@ -0,0 +1,227 @@
+# Brain-retro #5 — first non-empty reviewer pass
+
+**Дата:** 2026-05-26 (~08:20 MSK).
+**Период:** 2026-05-24T13:18Z .. 2026-05-26T05:09Z (~40 часов, **202 эпизода**).
+**Аналитик:** `node tools/brain-retro-analyzer.mjs docs/observer/episodes-2026-05.jsonl` + `tools/brain-retro-batch-reviewer.mjs` (новый — see candidate B).
+**Уровень анализа:** полный (analyzer + reviewer + sanity).
+**Отношение к предыдущему ретро:** надстройка над [2026-05-24-brain-retro.md](2026-05-24-brain-retro.md) (cutoff 2026-05-24T13:18Z).
+
+> `episodeCount=202`, `reviewed=184` (91%), `errors=18` (8.9% API/parse), `observerErrorCount=0`. **Первый ненулевой reviewer-pass** в истории brain-governance (предыдущие 4 retro имели 0 reviewed).
+
+---
+
+## Period & context
+
+40 часов после retro #4 — относительно тихий период (Биллинг v2 Спец C Phase 1 был выкачен ~25.05 вечер, supplier-webhook reliability Phase 1+2+3 ушёл на боевой 26.05 ночь). Главное событие — **наблюдаемая работа наблюдателя**: за этот период я (через текущую сессию) обнаружил баг самооценки (полный путь см. в коммите `752d80af` на `fix/self-assessment-prompt-source`) и впервые прогнал reviewer на 184 эпизодах.
+
+---
+
+## Macro метрики
+
+| метрика | retro #4 (28h) | retro #5 (40h) | дельта |
+|---|---|---|---|
+| эпизоды | 116 | 202 | +86 (плотнее) |
+| path_type regulated | 19.0% | **4.5%** (9/200) | **−14.5 п.п. ⚠️** |
+| skill-инвокации | 22 (19%) | 10 (5%) | −14 п.п. |
+| missed activations | 9 | 21 (по STATUS.md — на весь файл, period N/A) | — |
+| observer_error | 0 | 0 | стабильно |
+| reviewed (впервые!) | 0 | **184** | +184 |
+| reviewer rework rate | n/a | **11.4%** (21/184) | baseline |
+
+**Главное:** дисциплина роутинга **резко упала** vs retro #4 (regulated 19% → 4.5%, skill-инвокаций 19% → 5%). Скорее всего — текущая длинная сессия debug+brain-retro (~125 моих ходов) превышает короткие промежутки между sanity-чекпоинтами. Эффект «длинной сессии без перезапуска».
+
+---
+
+## Path-type distribution
+
+| path_type | count | % |
+|---|---|---|
+| improvised | 191 | 95.5% |
+| regulated | 9 | 4.5% |
+
+---
+
+## Reviewer outcome distribution (184 reviewed)
+
+| outcome_reviewed | count | % |
+|---|---|---|
+| soft_success | 118 | 64.1% |
+| success | 45 | 24.5% |
+| **rework** | **21** | **11.4%** |
+| blocked | 0 | — |
+
+`success + soft_success = 88.6%` — большинство задач закрыто, но **11.4% rework** — материальный сигнал.
+
+---
+
+## Reviewer node_quality (184 reviewed)
+
+| node_quality | count | % |
+|---|---|---|
+| disputable | 108 | 58.7% |
+| **correct** | **56** | **30.4%** |
+| **wrong_node** | **17** | **9.2%** |
+| overkill | 2 | 1.1% |
+| underkill | 1 | 0.5% |
+
+**Только 30% решений «correct»** по оценке Opus 4.7. **9% wrong_node** — где явно нужно было идти не direct'ом. Остальные 59% — «disputable» (приемлемо, но не очевидно лучшее).
+
+### Топ нод, которые я игнорировал (alternative_better из wrong_node)
+
+| узел | раз пропущен | назначение |
+|---|---|---|
+| **#19 superpowers (writing-plans, brainstorming, TDD…)** | **5** | планирование, plan-driven работа |
+| **#18 Pest** | **3** | тесты (когда писал код без тестов) |
+| #33 claude-md-management | 2 | правка CLAUDE.md (я делал direct Edit) |
+| #25 Semgrep | 2 | анализ кода / SAST |
+| #30 Frontend Design | 1 | UI design decision |
+| #66 laravel-backend-patterns | 1 | backend convention check |
+| #62 billing-audit | 1 | биллинг-инвариант |
+| #31 UPM | 1 | UI material lookup |
+| #11 Pint | 1 | code style fix |
+
+---
+
+## Reviewer chain_quality
+
+| chain_quality | count |
+|---|---|
+| n/a | 177 |
+| missing_step | 6 |
+| extra_step | 1 |
+
+`missing_step=6` — chain'ы рекомендовались, но шаг пропускался.
+
+---
+
+## Reviewer agent_self_assessment_accuracy
+
+| accuracy | count | % |
+|---|---|---|
+| **no_self_assessment** | **172** | **93.5%** ⚠️ |
+| accurate | 8 | 4.3% |
+| over_confident | 2 | 1.1% |
+| under_confident | 2 | 1.1% |
+
+**Подтверждение бага (а)** — 93.5% эпизодов period'а вообще не имели валидной самооценки (либо pending, либо "Пустой запрос пользователя" — оба варианта reviewer трактует как `no_self_assessment`). Этот retro **подтверждает** ценность фикса в коммите `752d80af`. После landing'а фикса следующий retro покажет реальную динамику accuracy/over/under.
+
+---
+
+## Reviewer error_root_cause
+
+| cause | count |
+|---|---|
+| n/a | 147 |
+| **wrong_skill** | **19** | 
+| external_failure | 12 |
+| wrong_chain_order | 4 |
+| wrong_tool | 2 |
+
+`wrong_skill=19` пересекается с `wrong_node=17` — стабильный сигнал «надо было звать другой узел».
+`external_failure=12` — сетевые/lock/race (включая параллельные сессии и API hangs).
+
+---
+
+## Sanity-check results
+
+См. [docs/observer/sanity-checks/2026-05-26.json](../sanity-checks/2026-05-26.json).
+
+1. «Что наблюдатель должен был засечь, но не засёк?» → **Не вспомню**.
+2. «Случались моменты, когда я выбрал direct, хотя нужен был навык?» → **Не вспомню**.
+
+Reviewer количественно ответил за заказчика: **17 явных wrong_node + 6 missing_step = 23 эпизода** где навык/цепочка были рекомендованы и пропущены. Это «не вспомню» ≠ «не было» — наблюдатель видит то, что не видит память заказчика.
+
+---
+
+## Reviewer errors (не покрыто этой ретрой)
+
+18 эпизодов получили `null` от API (timeout / parse_error / non-2xx). Будут переподняты в следующем retro.
+
+---
+
+## Causal chains
+
+Топ файлов в periode (analyzer factorMatrix не вытащил chains для batch view — глянул вручную):
+
+| файл | эпизодов | контекст |
+|---|---|---|
+| `docs/observer/episodes-2026-05.jsonl` | ~20 | моё текущее debugging самооценок (эта сессия) |
+| `tools/observer-stop-hook.mjs` | 5+ | фикс самооценки (commit 752d80af) |
+| `memory/MEMORY.md` | ~10 | memory-sync after big-day events |
+| `ПИЛОТ.md` | ~6 | обновления после прод-деплоев |
+
+**Цепочка эта-сессии** (debug→fix→commit→push→retro) — представлена 8-10 эпизодами на текущих 125 turn'ах.
+
+---
+
+## Candidates for owner review
+
+### A. Add `tools/brain-retro-batch-reviewer.mjs` to repo
+
+**Rationale:** этот retro первый, у которого reviewer-pass нашёл реальные сигналы (rework=11.4%, wrong_node=17). Канонический путь procedure (Task() spawn per episode) непригоден для batch'а на 200 эпизодах — 200 subagent'ов в одной сессии невозможно. Я написал `tools/brain-retro-batch-reviewer.mjs` (direct API через ProxyAPI, 5 concurrency, в-place мутация JSONL). Драйвер общий, не ad-hoc.
+
+**Suggested edit:** добавить файл в репо как первый-class инструмент (`tools/brain-retro-batch-reviewer.mjs`), описать в `.claude/skills/brain-retro/SKILL.md` шаг 5b как «canonical for >50 episodes». Стоимость одного прогона ~$10 (Opus 4.7 × 200 × ~0.05).
+
+**Rejection-option:** не добавлять в репо, оставить как локальный one-off. Тогда следующий retro переоткроет ту же проблему.
+
+### B. Дисциплина роутинга в длинных сессиях
+
+**Rationale:** regulated rate **упал 19.0% → 4.5%** за 40 часов. Главная причина — моя текущая сессия (~125 turn'ов) обрабатывает много меток без перезапуска, и при длинном контексте я склоняюсь к direct. Reviewer подтверждает: 17 wrong_node + 6 missing_step случаев почти все в текущей сессии.
+
+**Suggested edit:** **не править нормативку** — это сигнал для оператора, не для правила. Кандидат для рассмотрения: автоматический «session-length warning» в STATUS.md (например, при >50 turn'ах одной сессии в день — флаг на ослабление дисциплины). Можно реализовать в `tools/status-md-generator.mjs` без правки спека.
+
+**Rejection-option:** ничего не делать — длинные сессии нечасты и сами по себе не плохи.
+
+### C. Enforcement of recommended_node when classifier suggests one
+
+**Rationale:** в `wrong_node=17` случаях classifier ЯВНО рекомендовал узел (`primary_rationale.recommended_node` populated), а я пошёл direct. Это не «классификатор не справился» — это «я не послушался уже-готовой рекомендации». Stage 3 router-overhaul пока в warn-only; для случая «recommended_node !== null && node_chosen === 'direct'» — лучший кандидат на первый enforce.
+
+**Suggested edit:** в `tools/router-tool-gate.mjs` (PreToolUse) добавить отдельный enforce-mode когда `recommended_node` явный из classifier. Пока остальные сценарии warn-only — этот один блокирует. Это уже в дорожной карте Stage 4 — приоритезировать.
+
+**Rejection-option:** ждать полного Stage 4 (батч enforce всех сигналов). Сейчас не пилить отдельно.
+
+### D. Confirm fix (а) — повторить retro через 7 дней
+
+**Rationale:** в этой ретре 93.5% эпизодов «no_self_assessment». Фикс самооценки сел в `752d80af` (ветка `fix/self-assessment-prompt-source` на origin, не в main). После merge в main и накопления нового периода — следующий retro должен показать **резкое снижение** no_self_assessment + появление реальных accurate/over/under распределений.
+
+**Suggested edit:** не правка — а контрольное событие. Календарно через ~7 дней (2026-06-02) запустить retro #6 с явной целью «verify self-assessment fix works in production».
+
+**Rejection-option:** доверять unit-тестам, не делать спец-retro. Тогда никто не увидит если фикс не работает на проде.
+
+---
+
+## Behavioral rule check (Pravila §16.4)
+
+- «Не использован ≠ проблема» — соблюдено. Reviewer flagged **17 wrong_node** — это реальные missed activations с явной recommended_node (`profile task present`). Не помечал generic unused-by-design как «zombie».
+- Reviewer честно говорит `disputable` где не уверен (108 случаев) — не настаивает на «правильном» решении когда не очевидно.
+
+---
+
+## Cost report (estimated, без cost-daily.json)
+
+| Component | Calls | Tokens (est.) | USD (est.) |
+|---|---|---|---|
+| Classifier (Sonnet 4.6) | 3 | ~3K in + ~3K out | ~$0.05 |
+| Self-assessment (Sonnet 4.6) | ~33 (broken) | ~10K in + ~10K out | ~$0.20 |
+| **Reviewer batch (Opus 4.7)** | **184** | **~140K in + ~90K out** | **~$8.85** |
+| **Итого ретра #5** | | | **~$9.10** |
+
+NB: cost-daily.json не существует на этой машине. Сумма — оценочная по ProxyAPI ценам.
+
+---
+
+## Self-retrospect trigger status
+
+`docs/observer/.self-retrospect-counter.json` — `last_run_at: null`, `episodes_since_last: 0`.
+
+После ретры #5 bump'ну на +202. Threshold 50 (по spec §4.8 default; в текущем `.self-retrospect-counter.json` поле `threshold` отсутствует — норма из спека). Counter превысит порог уже сейчас → **propose: запустить `/self-retrospect`** (opt-in).
+
+---
+
+## Что НЕ меняется этим retro
+
+- НЕ редактирую `tools/observer-classification-map.json`, `docs/registry/nodes.yaml`, `tools/.node-dormancy.json`, нормативку, code (кроме `tools/observer-stop-hook.mjs` который уже в коммите `752d80af` отдельной ветке).
+- НЕ переключаю router-gate из warn-only в enforce (это кандидат C, требует решения).
+- НЕ пишу в `episodes-*.jsonl` через ручную правку — только через batch-reviewer (`review.*` + `outcome_reviewed` + `outcome_reviewed_source` поля).
+- НЕ trigger'у auto-memory.
+- STATUS.md перегенерируется через `node tools/status-md-generator.mjs` (шаг 8a процедуры).
@@ -0,0 +1,15 @@
+{
+  "schema_version": 1,
+  "date": "2026-05-26",
+  "retro_period": "2026-05-24T13:18:00Z..now",
+  "questions": [
+    {
+      "q": "Что наблюдатель должен был засечь за период (24.05-26.05), но не засёк?",
+      "a": "Не вспомню"
+    },
+    {
+      "q": "Случались моменты, когда я выбрал direct, хотя нужен был навык?",
+      "a": "Не вспомню"
+    }
+  ]
+}
@@ -0,0 +1,44 @@
+# Enforce Rule #8 Hole 3 — Deferred
+
+**Date:** 2026-05-26
+**Source:** brain-retro #5, [candidate C](../../observer/notes/2026-05-26-brain-retro.md)
+**Status:** DEFERRED — architectural, requires owner decision before implementation.
+
+## Hole
+
+`tools/enforce-classifier-match.mjs` `decide()`:
+
+```js
+if (typeof confidence === 'number' && confidence < CONFIDENCE_THRESHOLD) return { block: false };
+```
+
+The rule only blocks when classifier confidence ≥ 0.7. But `confidence` is only set when the LLM classifier path runs (`source: "llm"`). For prefilter / regex sources, `confidence` is null. Hole 4 fix (commit `56829266`) extended `main()` to fall back to `triggers_matched[0]` as recommendation when classifier was silent — and because `decide()` only short-circuits on numeric confidence, this fallback path *does* enforce.
+
+So hole 3 in its narrowest form is partially addressed. The remaining architectural question:
+
+**When the LLM classifier actively ran and returned `confidence < 0.7`, should we trust that signal?**
+
+Currently we don't (rule skipped). But this can be wrong:
+
+- LLM said «task=question, recommended_node=null, confidence=0.4» → fine, skip is correct.
+- LLM said «task=feature, recommended_node=#19, confidence=0.4» → we skip, but the recommendation may still be valuable.
+
+## Options
+
+| # | Approach | Trade-off |
+|---|---|---|
+| A | Always run LLM classifier, enforce at all confidence levels | Cost: every turn pays for an LLM call. Latency: +1-3s per turn. Best signal quality. |
+| B | Synthetic confidence for triggers (assume 0.8 for prefilter matches) | Cheap. Semantically wrong — prefilter has no probabilistic basis. Falsifies the dataset for downstream analysis. |
+| C | New "trust level" field in classifier output (`high` / `low` / `null`) instead of numeric confidence; rule honors `high` regardless of source | Cleanest. Requires changes in classifier (`tools/router-classifier.mjs`), prefilter, episode schema (`schema_version` bump), and tests. Estimated 1-2 days. |
+| D | Lower threshold to 0.4 — bias toward enforcement when LLM ran | One-line change. May increase false-positives in genuine "low-stakes" cases. |
+
+**Recommendation:** Option C, planned as Stage 4 of router-discipline-overhaul (see [docs/superpowers/specs/2026-05-23-router-discipline-overhaul-design.md](2026-05-23-router-discipline-overhaul-design.md)). Stage 4 was already planned; this hole is a concrete requirement for it.
+
+## Why deferred now
+
+- Stage 3 (current) ships warn-only enforcement; hole 3 is about how enforce decides what to block. The current "trust LLM at 0.7+" rule is acceptable as the first iteration.
+- Cross-cutting change (classifier + schema + tests) would expand this fix-pass beyond the 7-of-9 scope already in flight.
+
+## Re-open trigger
+
+Next brain-retro that shows ≥5 episodes where `node_chosen=direct` AND `recommended_node !== null` AND `confidence < 0.7` (i.e., real recommendations being skipped because of low confidence). Currently no such data — too few LLM-classifier runs to populate this distribution.
@@ -0,0 +1,29 @@
+# Enforce Rule #8 Hole 6 — Deferred
+
+**Date:** 2026-05-26
+**Source:** brain-retro #5, [candidate C](../../observer/notes/2026-05-26-brain-retro.md)
+**Status:** DEFERRED — by-definition, requires architectural choice.
+
+## Hole
+
+`enforce-classifier-match.mjs` is a **Stop-event hook**. The Stop event fires AFTER the agent's turn ends, which means all mutations (Edit, Write, Bash) have ALREADY happened. The hook can block the *next* turn (by returning `decision: block` in the Stop payload) but cannot revert the current turn's changes. By the time the hook decides "you should not have done that mutation", the mutation is committed to the working tree.
+
+## Options
+
+| # | Approach | Trade-off |
+|---|---|---|
+| A | Mirror the rule as a PreToolUse hook on `Edit\|Write\|Bash\|...` | PreToolUse fires before each mutation. But classifier output is computed once per turn (UserPromptSubmit), and per-tool re-check is per-tool — works. **Downside:** classifier_state may not be written by the time the first PreToolUse fires (race). Need to handle "no state yet" gracefully. |
+| B | Mutation reversal (snapshot before, restore on block) | Dangerous. File-state restore is hard. Bash side-effects (DB writes, network calls, file deletions) can't be reverted at all. **Not recommended.** |
+| C | Accept Stop-timing as best-effort | What we have now. Stop-event block prevents the *next* turn — still useful as cumulative discipline signal (agent sees the block message and adjusts in subsequent turns). Less immediate than A but materially valuable. |
+
+**Recommendation:** Option A, as a follow-up after we have at least 7 days of data on the Stop-event enforce mode (which goes live after this 9-hole fix pass closes). The Stop-event variant is the "first line of defense" and should keep operating. PreToolUse variant adds "early-blocker" for the most-egregious classifier mismatches.
+
+## Why deferred now
+
+- The 9-hole pass is about closing bypass holes in the existing logic — adding a parallel hook layer is scope creep.
+- Option A also needs a careful "no state yet" fallback (PreToolUse can fire before classifier ran for the turn — the classifier hook is on UserPromptSubmit, which races with PreToolUse on the first tool call).
+- Stop-event enforce is materially useful as-is, even with this hole — the next turn's cumulative-discipline-block has a clear deterrent effect.
+
+## Re-open trigger
+
+If reviewer-pass data over a multi-week period shows ≥10 episodes where the rule "would have blocked" mutations had it fired earlier (i.e., mutations that completed successfully but were the wrong tool), reconsider Option A.
@@ -0,0 +1,205 @@
+# Supplier platform prefix on write — design
+
+**Дата:** 2026-05-26
+**Автор:** controller (Opus 4.7) совместно с заказчиком
+**Статус:** approved (брейншторм закрыт, переход к writing-plans)
+**Триггер:** заказчик заметил, что в админке поставщика `crm.bp-gr.ru` первые 11 наших проектов имеют названия без префикса `B1_/B2_/B3_`, в то время как старые ручные — с префиксом.
+
+---
+
+## 1. Корневая причина (подтверждено кодом и живым API)
+
+`app/app/Services/Supplier/SupplierPortalClient.php::toPayload()` строка 468:
+
+```php
+'name' => $dto->uniqueKey,
+```
+
+Отправляется голый `uniqueKey` (домен / телефон / sender+keyword). Платформа кодируется отдельными bool-флагами `srcrt` / `srcbl` / `srcmt`. Комментарий 435–437 утверждает: *«портал префиксует "B<n>_" автоматически»*. **Это допущение неверно.** Живой ответ `/admin/visit/rt-projects-load?src=none` для номера `79135191264` (3 записи `id=12742042/43/44`) показал `name="79135191264"` у всех трёх — поставщик сохраняет `name` ровно так, как мы прислали.
+
+Origin allowed assumption: при recon 2026-05-19 разработчик увидел в `listProjects()` имена вида `B1_<key>` и решил, что префиксует портал. Фактически — это были проекты, заведённые **вручную через UI** поставщика (старые `B2_Caranga`, `B3_Caranga`, `B3_EDA-PROMO+скидка`, `B6_78002000010`).
+
+Связанный костыль на read-side: `app/app/Services/Supplier/Channel/AjaxProjectChannel.php` строка 50 — `preg_match('/^(B[123])_/', $name, $m)` → для проектов без префикса возвращает `null`, и фикс 2026-05-26 (commit `0da72778..` цепочка) подставил `DIRECT` в качестве компенсации. Симптом лечили на чтении, корень — на отправке.
+
+---
+
+## 2. Цель и инвариант
+
+**Цель.** В payload `/admin/visit/rt-project-save` поле `name` теперь несёт префиксованную форму `"B<n>_<uniqueKey>"`, где `<n>` — единственная активная площадка в этом POSTе.
+
+**Инвариант.** «Один POST `rt-project-save` = ровно одна платформа.» Это согласовано с явным комментарием в `toPayload()` (строки 430–433); фактический multi-flag в `saveProjectMultiFlag()` инвариант нарушал — приводим в соответствие.
+
+**Поле `content` остаётся равным `uniqueKey`** (без префикса) — на нём поставщик строит свои матчинги номера/домена и read-side в `saveProjectMultiFlag()` уже завязан на него.
+
+---
+
+## 3. Архитектура изменений
+
+Один файл — `app/app/Services/Supplier/SupplierPortalClient.php`. Три точки правок + новый private helper.
+
+### 3.1. `prefixedName(SupplierProjectDto $dto): string` (новый helper)
+
+```php
+private function prefixedName(SupplierProjectDto $dto): string
+{
+    $platforms = $dto->platforms !== [] ? $dto->platforms : [$dto->platform];
+    if (count($platforms) !== 1) {
+        throw new \LogicException(
+            'prefixedName requires exactly one platform per payload; got '.count($platforms)
+        );
+    }
+    return $platforms[0].'_'.$dto->uniqueKey;
+}
+```
+
+Жёсткий throw при нарушении инварианта (Развилка 1 закрыта заказчиком — «громко падать»). Если кто-то в будущем снова попытается послать multi-platform DTO в `toPayload` — упадём с понятным сообщением, не запишем мусор в портал.
+
+### 3.2. `toPayload()` — подключение helper'а
+
+```php
+// было:
+'name' => $dto->uniqueKey,
+// стало:
+'name' => $this->prefixedName($dto),
+```
+
+Остальные поля payload без изменений (`content`, `srcrt/bl/mt`, `tag`, лимиты, регионы, расписание).
+
+### 3.3. `saveProjectMultiFlag(SupplierProjectDto $dto): array` — реструктуризация
+
+Было — один POST со всеми флагами `srcrt+srcbl+srcmt=true` + последующий `listProjects()` + матчинг по `content+tag`.
+
+Стало — цикл по `$dto->platforms`, один POST на каждую платформу, ID берётся прямо из ответа `rt-project-save`:
+
+```php
+public function saveProjectMultiFlag(SupplierProjectDto $dto): array
+{
+    $platforms = $dto->platforms !== [] ? $dto->platforms : [$dto->platform];
+    $out = [];
+    foreach ($platforms as $platform) {
+        $perPlatformDto = new SupplierProjectDto(
+            platform: $platform,
+            signalType: $dto->signalType,
+            uniqueKey: $dto->uniqueKey,
+            limit: $dto->limit,
+            workdays: $dto->workdays,
+            regions: $dto->regions,
+            regionsReverse: $dto->regionsReverse,
+            status: $dto->status,
+            tag: $dto->tag,
+            platforms: [$platform],
+        );
+        $response = $this->request(
+            'POST', '/admin/visit/rt-project-save',
+            $this->toPayload($perPlatformDto, externalId: 0),
+            asJson: true,
+        );
+        $this->assertStatusOk($response, '/admin/visit/rt-project-save');
+        $out[$platform] = (int) ($response->json('id') ?? 0);
+    }
+    return $out;
+}
+```
+
+**Побочные эффекты улучшения:** больше не нужен `listProjects()` после save (был костылём, поскольку multi-flag POST возвращал id только последнего созданного проекта). Минус один лишний запрос, плюс ID берётся напрямую из ответа.
+
+### 3.4. `updateProject(int $externalId, SupplierProjectDto $dto)` — без изменений сигнатуры
+
+Уже вызывается с per-platform DTO (`SyncSupplierProjectJob.php:307` и `SyncSupplierProjectsJob.php:402`). После правки `toPayload()` он автоматически кладёт префиксованный `name` — реализуется «нормализация на лету» для 11 уже существующих проектов без префикса (при следующем обычном update — лимит/регионы/расписание/статус — их имя на портале приводится к корректному виду без отдельного миграционного прохода).
+
+### 3.5. `saveProject(SupplierProjectDto $dto)` — без изменений
+
+Однопроектный save через тот же `toPayload()` — автоматически получает префикс.
+
+---
+
+## 4. Закрытые развилки
+
+### Развилка 1: «странный» DTO в `toPayload` (0 или 2+ платформ)
+**Решение:** throw `\LogicException`. Громко падать лучше, чем тихо записывать мусор. Прецедент — неделя тихого допущения «портал префиксует сам» (зафиксировано в комментарии 19.05.2026, выявлено на скриншоте от заказчика 26.05.2026; этот спек закрывает именно такую ситуацию).
+
+### Развилка 2: partial-failure в `saveProjectMultiFlag`
+**Решение:** **ничего не откатывать.** Если POST для B1 прошёл, а для B2 упал — исключение поднимается наверх, Laravel job retry попробует снова → возможны дубли на портале (B1 будет создан второй раз). Это терпимо:
+- Сценарий редкий (требует ошибки 500/таймаута поставщика именно между POSTами).
+- Дубли видны глазами в админке поставщика, флоу cleanup уже отработан (2026-05-26, 26 пар дублей вычищены скриптом).
+- Альтернатива — try/catch + deleteProject уже созданных — добавляет место отказа (само удаление может упасть) и тестов. На редкий кейс — лишний риск.
+
+---
+
+## 5. Тесты
+
+### 5.1. Unit-test `toPayload()` / `prefixedName()`
+
+`app/tests/Unit/Services/Supplier/SupplierPortalClientPayloadTest.php` (новый файл, либо в существующий unit-тест клиента — проверить наличие):
+
+- `platforms=[B1]` → `name='B1_<uniqueKey>'`, `srcrt=true`, `srcbl=false`, `srcmt=false`
+- `platforms=[B2]` → `name='B2_<uniqueKey>'`, `srcrt=false`, `srcbl=true`, `srcmt=false`
+- `platforms=[B3]` → `name='B3_<uniqueKey>'`, `srcrt=false`, `srcbl=false`, `srcmt=true`
+- `platforms=[]`, `platform='B1'` (fallback на одиночный) → `name='B1_<uniqueKey>'`
+- `platforms=[B1,B2]` → `LogicException`
+- `platforms=[]`, `platform=''` (вырожденный) → `LogicException` (или другая корректная диагностика)
+
+### 5.2. Feature-test `saveProjectMultiFlag()` с моком HTTP
+
+`app/tests/Feature/Supplier/SaveProjectMultiFlagTest.php` (или место рядом с существующими тестами клиента):
+
+- Мок Laravel `Http::fake()` для `/admin/visit/rt-project-save` → возвращает `{status:'OK', id:'<N>'}` инкрементальные.
+- Вызов с `platforms=[B1,B2,B3]` → проверяем, что было **ровно 3 POST'а** к `/rt-project-save` (никаких `/rt-projects-load` после).
+- Каждый POST содержит правильный `name` (`B1_X`, `B2_X`, `B3_X`) и правильную тройку флагов (один true, два false).
+- Возвращаемый массив = `[B1=>id1, B2=>id2, B3=>id3]` в порядке появления.
+- Вариант с одной площадкой `platforms=[B2]` → ровно 1 POST.
+
+### 5.3. Живая проверка на боевом (post-deploy smoke)
+
+После деплоя:
+1. Через UI Лидерры создать тестовый проект (любой tenant, тестовый домен/телефон).
+2. Через tinker на боевом — `SupplierPortalClient::listProjects()` → отфильтровать по `content == <тестовый identifier>`.
+3. Убедиться: 3 записи, у каждой `name = "B<n>_<identifier>"`, `src` соответствует префиксу.
+4. Удалить тестовый проект через UI Лидерры → убедиться, что у поставщика тоже удалилось.
+
+---
+
+## 6. Деплой
+
+Стандартный для текущей фазы:
+
+1. Ветка `fix/supplier-platform-prefix`.
+2. TDD: сначала падающий тест (unit + feature), потом фикс кода.
+3. Local Pest + Vitest зелёные.
+4. Pre-flight через агент `prod-deploy-validator` → GO/NO-GO.
+5. Tar + scp + ssh extract + `php artisan optimize` под www-data + restart queue. **НЕ через `redeploy.sh`** (он не делает git pull). Лог по [memory feedback_environment.md квирк 107].
+6. Post-deploy smoke (см. 5.3).
+
+---
+
+## 7. Что НЕ входит в scope
+
+- **Учебник К1 в `memory/project_webmaster.md`** — не правим. Брейншторм К1 на паузе по другому багу (baseline-баг маршрутизатора), вернёмся к К1 в его собственной сессии.
+- **Старые 11 проектов без префикса** — не переименовываем ни руками, ни одноразовым скриптом. Нормализуются «на лету» при следующем `updateProject` каждого.
+- **`AjaxProjectChannel::preg_match` (read-side)** — не трогаем. Логика «`DIRECT` для проектов без B-префикса» (commit 26.05) продолжает работать для legacy естественно: по мере прихода префиксов через update — доля `DIRECT` падает.
+- **Структура `supplier_projects` в нашей БД** — не меняется. Матчинг внутри Лидерры по `external_id`, поле `name` не используется как ключ.
+
+---
+
+## 8. Риски и наблюдения
+
+- **Нагрузка к поставщику.** Создание проекта теперь = 3 POST'а вместо 1. Создание новых проектов — единицы в день, разница ничтожна.
+- **B3 transient delay.** При создании B3-площадка иногда появляется с задержкой (фиксировано в `cfe94d91`). Раньше это било внутри multi-flag POSTа; теперь — на конкретном per-platform POSTе, обработка ретраев та же.
+- **Параллельность.** `saveProjectMultiFlag` теперь не атомарный (3 POSTа последовательно). Время выполнения метода × 3 — приемлемо, проектов в день мало.
+- **Логирование.** Желательно при каждом POSTе писать debug-лог с парой `(platform, identifier)` — упрощает разбор partial-failure. Добавим в реализации, не в спеке.
+
+---
+
+## 9. Связанные артефакты
+
+- Корневой файл: `app/app/Services/Supplier/SupplierPortalClient.php`
+- Read-side, на который влияет: `app/app/Services/Supplier/Channel/AjaxProjectChannel.php` (не правим)
+- Связанные джобы (используют `saveProjectMultiFlag` / `updateProject`):
+  - `app/app/Jobs/SyncSupplierProjectJob.php`
+  - `app/app/Jobs/Supplier/SyncSupplierProjectsJob.php`
+- Память:
+  - `memory/project_supplier_integration.md` — фон по платформам
+  - `memory/project_supplier_webhook_fixes.md` — 26.05 фикс DIRECT-платформы (костыль на read-side)
+  - `memory/project_webmaster.md` — К1 портрет (НЕ правим)
+- Спецификации:
+  - `docs/superpowers/specs/2026-05-19-supplier-project-channel-failover-design.md` — failover-канал, контекст архитектуры
@@ -0,0 +1,90 @@
+#!/usr/bin/env node
+/**
+ * Brain-retro batch reviewer (one-off, not part of canonical procedure).
+ *
+ * Reads docs/observer/episodes-YYYY-MM.jsonl, filters episodes in period and
+ * without outcome_reviewed, samples N (or all), calls reviewViaDirectApi on
+ * each (Opus 4.7 via ProxyAPI), and writes review.* fields + outcome_reviewed
+ * + outcome_reviewed_source = "direct_api_batch" back into the JSONL file
+ * (in-place line replacement, preserves forward-only forward fields).
+ *
+ * Usage:
+ *   node tools/brain-retro-batch-reviewer.mjs <jsonl-path> <cutoff-iso> [limit] [concurrency]
+ *
+ * Example:
+ *   node tools/brain-retro-batch-reviewer.mjs docs/observer/episodes-2026-05.jsonl 2026-05-24T13:18:00Z 30 5
+ */
+
+import { readFileSync, writeFileSync } from 'fs';
+import { reviewViaDirectApi } from './brain-retro-opus-reviewer.mjs';
+
+const [, , filePath, cutoff, limitStr = '30', concStr = '5'] = process.argv;
+if (!filePath || !cutoff) {
+  console.error('usage: <jsonl-path> <cutoff-iso> [limit=30] [concurrency=5]');
+  process.exit(1);
+}
+const limit = parseInt(limitStr, 10);
+const concurrency = parseInt(concStr, 10);
+
+const raw = readFileSync(filePath, 'utf-8');
+const lines = raw.split('\n');
+const lineCount = lines.length;
+
+const targets = []; // { idx, episode }
+for (let i = 0; i < lineCount; i++) {
+  const line = lines[i];
+  if (!line.trim()) continue;
+  let ep;
+  try { ep = JSON.parse(line); } catch { continue; }
+  if (ep.observer_error) continue;
+  if (!ep.timestamps?.started_at) continue;
+  if (ep.timestamps.started_at < cutoff) continue;
+  if (ep.outcome_reviewed) continue;
+  targets.push({ idx: i, episode: ep });
+}
+
+const total = targets.length;
+const slice = targets.slice(0, limit);
+console.error(`[batch-reviewer] total in period unreviewed: ${total}, processing first ${slice.length} with concurrency ${concurrency}`);
+
+let done = 0;
+let errors = 0;
+const startTs = Date.now();
+
+async function reviewOne({ idx, episode }) {
+  try {
+    const review = await reviewViaDirectApi(episode);
+    if (review && !review.reviewer_error) {
+      episode.review = review;
+      episode.outcome_reviewed = review.outcome_reviewed ?? null;
+      episode.outcome_reviewed_source = 'direct_api_batch';
+      lines[idx] = JSON.stringify(episode);
+      done++;
+    } else {
+      errors++;
+      console.error(`[batch-reviewer] ${idx}: null/error from API`);
+    }
+  } catch (e) {
+    errors++;
+    console.error(`[batch-reviewer] ${idx}: ${e.message}`);
+  }
+}
+
+async function runBatched() {
+  for (let i = 0; i < slice.length; i += concurrency) {
+    const batch = slice.slice(i, i + concurrency);
+    await Promise.all(batch.map(reviewOne));
+    const elapsed = ((Date.now() - startTs) / 1000).toFixed(1);
+    console.error(`[batch-reviewer] progress ${done + errors}/${slice.length} (${elapsed}s)`);
+  }
+}
+
+await runBatched();
+
+// Write file back. Note: we re-serialize EVERY line we mutated, but other lines
+// are kept verbatim (no re-serialization that could alter ordering/escaping).
+writeFileSync(filePath, lines.join('\n'), 'utf-8');
+
+const elapsed = ((Date.now() - startTs) / 1000).toFixed(1);
+console.error(`[batch-reviewer] done: ${done} reviewed, ${errors} errors, ${elapsed}s wall-clock`);
+process.exit(0);
@@ -1,4 +1,4 @@
-#!/usr/bin/env node
+#!/usr/bin/env node
 /**
 * Rule #8 — Classifier-mismatch enforce.
 *
@@ -28,7 +28,7 @@ import {
 const RULE_KEY = 'classifier-mismatch';
 const CONFIDENCE_THRESHOLD = 0.7;

-const MUTATING_TOOLS = new Set(['Edit', 'Write', 'MultiEdit', 'NotebookEdit', 'Bash']);
+const MUTATING_TOOLS = new Set(['Edit', 'Write', 'MultiEdit', 'NotebookEdit', 'Bash', 'Task', 'Agent']);

 /** Normalize a node id: strip "superpowers:" / "skill:" prefix; allow #ID. */
 function normalizeNode(s) {
@@ -40,13 +40,22 @@ function nodeMatches(recommendation, toolUse) {
  if (!recommendation || !toolUse) return false;
  const rec = normalizeNode(recommendation);
  if (!rec) return false;
+  // Hole 5 fix: exact match OR matching last segment after ':' / '#'.
+  // No generic substring (would match meta-planning to planning).
+  const matches = (candidate) => {
+    if (!candidate) return false;
+    if (candidate === rec) return true;
+    const recSegs = rec.split(/[:#]/);
+    const canSegs = candidate.split(/[:#]/);
+    const recLast = recSegs[recSegs.length - 1];
+    const canLast = canSegs[canSegs.length - 1];
+    return recLast === canLast;
+  };
  if (toolUse.name === 'Skill') {
-    const s = normalizeNode(String(toolUse.input && toolUse.input.skill || ''));
-    if (s && (s === rec || s.includes(rec) || rec.includes(s))) return true;
+    return matches(normalizeNode(String(toolUse.input && toolUse.input.skill || '')));
  }
-  if (toolUse.name === 'Task') {
-    const sub = String(toolUse.input && toolUse.input.subagent_type || '').toLowerCase();
-    if (sub && rec.includes(sub)) return true;
+  if (toolUse.name === 'Task' || toolUse.name === 'Agent') {
+    return matches(String(toolUse.input && toolUse.input.subagent_type || '').toLowerCase());
  }
  return false;
 }
@@ -63,8 +72,8 @@ export function decide({ toolUses, recommendation, confidence, assistantText, ov
  const matched = toolUses.some((u) => nodeMatches(recommendation, u));
  if (matched) return { block: false };

-  // Allow explicit override: lines like "override: <reason>" in assistant text.
-  if (assistantText && /\boverride:\s+\S/i.test(assistantText)) return { block: false };
+  // NOTE: prior \ self-bypass removed (retro #5 hole 1) - assistant
+  // cannot grant itself an override. User must use a vocabulary phrase.

  return {
    block: true,
@@ -89,8 +98,17 @@ async function main() {

    const state = readRouterState(event.session_id);
    const cls = state && state.classification;
-    const recommendation = cls && (cls.recommended_node || cls.recommendedNode);
+    let recommendation = cls && (cls.recommended_node || cls.recommendedNode);
    const confidence = cls && typeof cls.confidence === 'number' ? cls.confidence : null;
+    // Hole 4 fix: fall back to triggers_matched[0] when classifier silent.
+    // Confidence stays null in fallback path — decide() accepts null (only
+    // numeric confidence < 0.7 blocks the rule).
+    if (!recommendation) {
+      const triggers = (cls && cls.triggers_matched) || [];
+      if (Array.isArray(triggers) && triggers.length > 0 && typeof triggers[0] === 'string' && triggers[0].length > 0) {
+        recommendation = triggers[0];
+      }
+    }
    const toolUses = turnToolUses(transcript);
    const assistantText = lastAssistantText(transcript);

@@ -72,14 +72,26 @@ describe('enforce-classifier-match / decide', () => {
    expect(r.block).toBe(false);
  });

-  it('allows when explicit "override:" in assistant text', () => {
+  it('blocks (not allows) when only "override:" in assistant text — self-override removed (hole 1)', () => {
    const r = decide({
      toolUses: [{ name: 'Edit', input: {} }],
      recommendation: 'foo:bar',
      confidence: 0.9,
      assistantText: 'override: simpler direct edit, foo:bar overkill here\n',
+      override: null,
    });
-    expect(r.block).toBe(false);
+    expect(r.block).toBe(true);
+  });
+
+  it('blocks when assistant text has "override: reason" but user prompt has no override phrase (hole 1)', () => {
+    const r = decide({
+      toolUses: [{ name: 'Edit', input: {} }],
+      recommendation: 'superpowers:writing-plans',
+      confidence: 0.9,
+      assistantText: 'override: just doing it quick',
+      override: null,
+    });
+    expect(r.block).toBe(true);
  });

  it('allows when override phrase present', () => {
@@ -91,4 +103,69 @@ describe('enforce-classifier-match / decide', () => {
    });
    expect(r.block).toBe(false);
  });
+
+  it('blocks when Task subagent is spawned without matching recommendation (hole 2)', () => {
+    const r = decide({
+      toolUses: [{ name: 'Task', input: { subagent_type: 'general-purpose', prompt: 'do stuff' } }],
+      recommendation: 'superpowers:writing-plans',
+      confidence: 0.9,
+      assistantText: '',
+      override: null,
+    });
+    expect(r.block).toBe(true);
+  });
+
+  it('does NOT block when Task subagent matches recommendation (regression — Task should count as match when right type)', () => {
+    const r = decide({
+      toolUses: [{ name: 'Task', input: { subagent_type: 'writing-plans', prompt: '...' } }],
+      recommendation: 'writing-plans',
+      confidence: 0.9,
+      assistantText: '',
+      override: null,
+    });
+    expect(r.block).toBe(false);
+  });
+
+  it('does not match meta-planning to planning recommendation (hole 5)', () => {
+    const r = decide({
+      toolUses: [{ name: 'Skill', input: { skill: 'meta-planning' } }, { name: 'Edit', input: {} }],
+      recommendation: 'planning',
+      confidence: 0.9,
+      assistantText: '',
+      override: null,
+    });
+    expect(r.block).toBe(true);
+  });
+
+  it('matches superpowers:writing-plans to writing-plans recommendation (regression — keep working)', () => {
+    expect(decide({
+      toolUses: [{ name: 'Skill', input: { skill: 'superpowers:writing-plans' } }, { name: 'Edit', input: {} }],
+      recommendation: 'writing-plans',
+      confidence: 0.9,
+      assistantText: '',
+      override: null,
+    }).block).toBe(false);
+  });
+
+  it('matches exact-name skill regression — keep working', () => {
+    expect(decide({
+      toolUses: [{ name: 'Skill', input: { skill: 'brainstorming' } }, { name: 'Edit', input: {} }],
+      recommendation: 'brainstorming',
+      confidence: 0.9,
+      assistantText: '',
+      override: null,
+    }).block).toBe(false);
+  });
+
+  // hole 4: triggers_matched fallback — decide() contract test
+  it('blocks when recommendation comes from triggers_matched fallback (hole 4, null confidence)', () => {
+    const r = decide({
+      toolUses: [{ name: 'Edit', input: {} }],
+      recommendation: 'superpowers:writing-plans',  // would-be from triggers_matched[0]
+      confidence: null,                              // no LLM, but triggers present
+      assistantText: '',
+      override: null,
+    });
+    expect(r.block).toBe(true);
+  });
 });
@@ -200,7 +200,16 @@ export function findOverride(userPrompt, ruleKey, vocab) {
  for (const p of v.phrases || []) {
    if (!p.phrase || !Array.isArray(p.suppresses)) continue;
    if (!lo.includes(p.phrase.toLowerCase())) continue;
-    if (p.suppresses.includes(ruleKey)) return p;
+    if (!p.suppresses.includes(ruleKey)) continue;
+    if (p.requires_justification) {
+      // Hole 7 fix: master overrides require a line "<prefix> <non-empty>"
+      // in the same prompt documenting what is being repaired.
+      const prefix = p.requires_justification.replace(/[.*+?^${}()|[\]\\]/g, '\\$&');
+      const re = new RegExp(prefix + '\\s+(\\S[^\\n]*)', 'i');
+      const m = userPrompt.match(re);
+      if (!m || !m[1] || !m[1].trim()) continue;
+    }
+    return p;
  }
  return null;
 }
@@ -151,6 +151,35 @@ describe('loadOverrideVocab / findOverride', () => {
  });
 });

+describe('findOverride — requires_justification (hole 7)', () => {
+  const testVocab = {
+    phrases: [
+      {
+        phrase: 'ремонт инфраструктуры',
+        suppresses: ['classifier-mismatch'],
+        requires_justification: 'ремонт:',
+        description: 'master kill — requires justification',
+      },
+    ],
+  };
+
+  it('rejects when phrase present but justification line missing (hole 7)', () => {
+    const r = findOverride('ремонт инфраструктуры', 'classifier-mismatch', testVocab);
+    expect(r).toBeNull();
+  });
+
+  it('accepts when justification line provides target', () => {
+    const r = findOverride('ремонт инфраструктуры\nремонт: enforce-hook-helpers.mjs', 'classifier-mismatch', testVocab);
+    expect(r).not.toBeNull();
+    expect(r.phrase).toBe('ремонт инфраструктуры');
+  });
+
+  it('rejects when justification line empty after the prefix', () => {
+    const r = findOverride('ремонт инфраструктуры\nремонт:    ', 'classifier-mismatch', testVocab);
+    expect(r).toBeNull();
+  });
+});
+
 describe('isProductionCodePath', () => {
  it('classifies tools/*.mjs as production', () => {
    expect(isProductionCodePath('tools/router-classifier.mjs')).toBe(true);
@@ -0,0 +1,57 @@
+// Brain-retro #5 candidate C, hole 8: override-usage monitor.
+//
+// Reads override-usage.jsonl (one JSON line per override invocation:
+// {ts, session_id, rule, phrase}) and produces a STATUS.md block with
+// per-phrase totals + today's count. Warns when any phrase exceeds
+// threshold/day (default 5).
+//
+// Pure — takes raw log string + opts, returns markdown.
+
+export function computeOverrideUsageBlock(rawLog, opts = {}) {
+  const now = opts.now ? new Date(opts.now) : new Date();
+  const today = now.toISOString().slice(0, 10);
+  const threshold = opts.threshold ?? 5;
+
+  if (!rawLog || typeof rawLog !== 'string') {
+    return `## Использование override-фраз\n\nНе использовалось.`;
+  }
+
+  const lines = rawLog.split('\n').filter(Boolean);
+  if (lines.length === 0) {
+    return `## Использование override-фраз\n\nНе использовалось.`;
+  }
+
+  const todayCounts = {};
+  const allCounts = {};
+  for (const l of lines) {
+    let e;
+    try { e = JSON.parse(l); } catch { continue; }
+    if (!e || typeof e.phrase !== 'string' || !e.phrase) continue;
+    allCounts[e.phrase] = (allCounts[e.phrase] || 0) + 1;
+    if (typeof e.ts === 'string' && e.ts.slice(0, 10) === today) {
+      todayCounts[e.phrase] = (todayCounts[e.phrase] || 0) + 1;
+    }
+  }
+
+  if (Object.keys(allCounts).length === 0) {
+    return `## Использование override-фраз\n\nНе использовалось.`;
+  }
+
+  const sorted = Object.entries(allCounts).sort((a, b) => b[1] - a[1]);
+  const rows = sorted.map(([phrase, total]) => {
+    const tCount = todayCounts[phrase] || 0;
+    const warn = tCount >= threshold ? ' ⚠️' : '';
+    return `| \`${phrase}\` | ${total} | ${tCount}${warn} |`;
+  }).join('\n');
+
+  const anyWarn = Object.values(todayCounts).some((v) => v >= threshold);
+  const header = anyWarn ? `⚠️ Превышен порог override-использования сегодня (≥${threshold}/день)` : '';
+
+  return `## Использование override-фраз
+
+${header}
+
+| Фраза | За всё время | За сегодня |
+|---|---|---|
+${rows}`;
+}
@@ -0,0 +1,48 @@
+import { describe, it, expect } from 'vitest';
+import { computeOverrideUsageBlock } from './enforce-override-monitor.mjs';
+
+describe('computeOverrideUsageBlock', () => {
+  const today = '2026-05-26';
+  const entry = (phrase, dt = today) => JSON.stringify({ ts: `${dt}T01:00:00Z`, session_id: 'x', rule: 'r', phrase });
+
+  it('returns placeholder when log empty', () => {
+    expect(computeOverrideUsageBlock('')).toContain('Не использовалось');
+    expect(computeOverrideUsageBlock(null)).toContain('Не использовалось');
+  });
+
+  it('lists phrase frequencies and totals', () => {
+    const log = [entry('recovery'), entry('recovery'), entry('без скилов')].join('\n');
+    const out = computeOverrideUsageBlock(log, { now: `${today}T05:00:00Z` });
+    expect(out).toContain('`recovery`');
+    expect(out).toContain('| 2 |');
+    expect(out).toContain('без скилов');
+  });
+
+  it('warns when any phrase exceeds 5/day', () => {
+    const log = Array.from({ length: 7 }, () => entry('recovery')).join('\n');
+    const out = computeOverrideUsageBlock(log, { now: `${today}T05:00:00Z` });
+    expect(out).toContain('⚠️');
+    expect(out).toContain('recovery');
+  });
+
+  it('only counts today for "сегодня" column', () => {
+    const log = [entry('recovery', '2026-05-25'), entry('recovery', today)].join('\n');
+    const out = computeOverrideUsageBlock(log, { now: `${today}T05:00:00Z` });
+    // total=2, today=1
+    expect(out).toMatch(/`recovery`.*\|\s*2\s*\|\s*1/);
+  });
+
+  it('respects custom threshold', () => {
+    const log = Array.from({ length: 3 }, () => entry('recovery')).join('\n');
+    const flagged = computeOverrideUsageBlock(log, { now: `${today}T05:00:00Z`, threshold: 2 });
+    const notFlagged = computeOverrideUsageBlock(log, { now: `${today}T05:00:00Z`, threshold: 10 });
+    expect(flagged).toContain('⚠️');
+    expect(notFlagged).not.toContain('⚠️');
+  });
+
+  it('skips malformed JSON lines silently', () => {
+    const log = ['not-json', entry('recovery'), '{}'].join('\n');
+    const out = computeOverrideUsageBlock(log, { now: `${today}T05:00:00Z` });
+    expect(out).toContain('recovery');
+  });
+});
@@ -35,7 +35,8 @@
    {
      "phrase": "ремонт инфраструктуры",
      "suppresses": ["tdd-gate", "verify-before-commit", "verify-before-push", "writing-plans-required", "skill-required", "memory-sync-coverage", "classifier-mismatch", "coverage-skill-match"],
-      "description": "Bypass all rules (full opt-out). Use only when literally fixing the enforce-infrastructure itself."
+      "requires_justification": "ремонт:",
+      "description": "Bypass all rules (full opt-out). Requires 'ремонт: <what>' line in same prompt."
    }
  ]
 }
@@ -22,6 +22,7 @@ import {
  lastAssistantText,
  turnToolUses,
  appendRationalizationFlag,
+  readRationalizationFlags,
  exitDecision,
  isProductionCodePath,
 } from './enforce-hook-helpers.mjs';
@@ -39,6 +40,12 @@ const RATIONALIZATION_PHRASES = [
  'rationalize',
  'без церемоний',
  'без скила сейчас',
+  // expanded vocabulary
+  'давай разок',
+  'только сейчас',
+  'один раз без правил',
+  'на этот раз без',
+  'я знаю что не надо но',
 ];

 export function findRationalizationPhrases(text) {
@@ -87,14 +94,38 @@ export function audit(transcriptEntries) {
  return flags;
 }

+/**
+ * Pure decision seam — injectable priorFlagCount for testability.
+ * Blocks on 3rd flag of the same session (priorFlagCount >= 2).
+ */
+export function decide({ assistantText, sessionId: _sessionId, override = false, priorFlagCount = 0 }) {
+  const detected = findRationalizationPhrases(assistantText || '');
+  if (override) return { block: false, detected };
+  if (priorFlagCount >= 2 && detected.length > 0) {
+    return {
+      block: true,
+      message: `Rationalization detected (phrase: "${detected[0]}"). This is the ${priorFlagCount + 1}th flag in this session — blocking to prevent pattern escalation.`,
+      detected,
+    };
+  }
+  return { block: false, detected };
+}
+
 async function main() {
  try {
    const raw = await readStdin();
    const event = parseEventJson(raw);
    const transcript = readTranscript(event.transcript_path);
    const flags = audit(transcript);
+
+    // Count prior flags before appending new ones
+    const priorFlagCount = readRationalizationFlags(event.session_id).length;
    for (const f of flags) appendRationalizationFlag(event.session_id, f.kind, f.evidence);
-    exitDecision({ block: false });
+
+    // Check if we should block based on rationalization phrases specifically
+    const text = lastAssistantText(transcript);
+    const decision = decide({ assistantText: text, sessionId: event.session_id, priorFlagCount });
+    exitDecision(decision.block ? { block: true, message: decision.message } : { block: false });
  } catch {
    exitDecision({ block: false });
  }
@@ -1,5 +1,5 @@
 import { describe, it, expect } from 'vitest';
-import { findRationalizationPhrases, detectProdEditWithoutTest, audit } from './enforce-rationalization-audit.mjs';
+import { findRationalizationPhrases, detectProdEditWithoutTest, audit, decide } from './enforce-rationalization-audit.mjs';

 describe('findRationalizationPhrases', () => {
  it('detects "just this once" in mixed case', () => {
@@ -78,3 +78,59 @@ describe('audit', () => {
    expect(audit(entries)).toEqual([]);
  });
 });
+
+describe('vocab — new phrases', () => {
+  it('detects "давай разок"', () => {
+    expect(findRationalizationPhrases('давай разок без тестов')).toContain('давай разок');
+  });
+  it('detects "только сейчас"', () => {
+    expect(findRationalizationPhrases('только сейчас пропустим')).toContain('только сейчас');
+  });
+  it('detects "один раз без правил"', () => {
+    expect(findRationalizationPhrases('один раз без правил сделаем')).toContain('один раз без правил');
+  });
+  it('detects "на этот раз без"', () => {
+    expect(findRationalizationPhrases('на этот раз без скила')).toContain('на этот раз без');
+  });
+  it('detects "я знаю что не надо но"', () => {
+    expect(findRationalizationPhrases('я знаю что не надо но пропустим')).toContain('я знаю что не надо но');
+  });
+});
+
+describe('decide — escalation on 3rd flag', () => {
+  const sessionId = 'test-session';
+  const textWithPhrase = 'just this once';
+
+  it('does NOT block when priorFlagCount=0', () => {
+    const result = decide({ assistantText: textWithPhrase, sessionId, priorFlagCount: 0 });
+    expect(result.block).toBe(false);
+    expect(result.detected.length).toBeGreaterThan(0);
+  });
+
+  it('does NOT block when priorFlagCount=1', () => {
+    const result = decide({ assistantText: textWithPhrase, sessionId, priorFlagCount: 1 });
+    expect(result.block).toBe(false);
+  });
+
+  it('blocks when priorFlagCount=2 (3rd occurrence)', () => {
+    const result = decide({ assistantText: textWithPhrase, sessionId, priorFlagCount: 2 });
+    expect(result.block).toBe(true);
+    expect(result.message).toMatch(/rationali/i);
+  });
+
+  it('blocks when priorFlagCount=5 (subsequent occurrences)', () => {
+    const result = decide({ assistantText: textWithPhrase, sessionId, priorFlagCount: 5 });
+    expect(result.block).toBe(true);
+  });
+
+  it('does NOT block clean text even with priorFlagCount=10', () => {
+    const result = decide({ assistantText: 'coverage: skill:tdd', sessionId, priorFlagCount: 10 });
+    expect(result.block).toBe(false);
+    expect(result.detected).toEqual([]);
+  });
+
+  it('override=true suppresses block even on 3rd flag', () => {
+    const result = decide({ assistantText: textWithPhrase, sessionId, override: true, priorFlagCount: 2 });
+    expect(result.block).toBe(false);
+  });
+});
@@ -59,6 +59,19 @@ describe('enforce-verify-record / extractTestMetrics', () => {
      tests_failed: 1, tests_passed: 631, tests_total: 632,
    });
  });
+  it('parses vitest passed with skipped', () => {
+    // Vitest 4.x summary when some tests are .skip()'ed:
+    //   "Tests  924 passed | 3 skipped (927)"
+    // Previously fell through all regexes → result=fail (false negative).
+    expect(extractTestMetrics('Tests  924 passed | 3 skipped (927)')).toMatchObject({
+      tests_passed: 924, tests_failed: 0, tests_total: 927,
+    });
+  });
+  it('parses vitest failed+passed+skipped triplet', () => {
+    expect(extractTestMetrics('Tests  1 failed | 920 passed | 3 skipped (924)')).toMatchObject({
+      tests_failed: 1, tests_passed: 920, tests_total: 924,
+    });
+  });
 });

 describe('enforce-verify-before-push / decide', () => {
@@ -24,9 +24,17 @@ import {
 export function extractTestMetrics(stdout) {
  const out = { tests_total: null, tests_passed: null, tests_failed: null };
  if (typeof stdout !== 'string') return out;
-  // vitest summary lines: "Tests  3708 passed (3708)" or "Tests  N failed | M passed (TOTAL)"
+  // vitest summary lines:
+  //   "Tests  3708 passed (3708)"
+  //   "Tests  924 passed | 3 skipped (927)"      ← was missed pre-2026-05-26
+  //   "Tests  1 failed | 631 passed (632)"
+  //   "Tests  1 failed | 920 passed | 3 skipped (924)"  ← was missed pre-2026-05-26
  let m = stdout.match(/Tests\s+(\d+)\s+passed\s*\((\d+)\)/);
  if (m) { out.tests_passed = +m[1]; out.tests_total = +m[2]; out.tests_failed = 0; return out; }
+  m = stdout.match(/Tests\s+(\d+)\s+passed\s*\|\s*(\d+)\s+skipped\s*\((\d+)\)/);
+  if (m) { out.tests_passed = +m[1]; out.tests_failed = 0; out.tests_total = +m[3]; return out; }
+  m = stdout.match(/Tests\s+(\d+)\s+failed\s*\|\s*(\d+)\s+passed\s*\|\s*\d+\s+skipped\s*\((\d+)\)/);
+  if (m) { out.tests_failed = +m[1]; out.tests_passed = +m[2]; out.tests_total = +m[3]; return out; }
  m = stdout.match(/Tests\s+(\d+)\s+failed\s*\|\s*(\d+)\s+passed\s*\((\d+)\)/);
  if (m) { out.tests_failed = +m[1]; out.tests_passed = +m[2]; out.tests_total = +m[3]; return out; }
  // Pest: "Tests:  742 passed (1908 assertions)"
@@ -0,0 +1,18 @@
+import { describe, it, expect } from 'vitest';
+import { extractTestMetrics } from './enforce-verify-record.mjs';
+
+describe('enforce-verify-record / extractTestMetrics — Vitest skipped formats', () => {
+  it('parses vitest passed-only with skipped', () => {
+    // Vitest 4.x summary when some tests are .skip()'ed:
+    //   "Tests  924 passed | 3 skipped (927)"
+    // Pre-fix all three regexes fell through → result=fail (false negative).
+    expect(extractTestMetrics('Tests  924 passed | 3 skipped (927)')).toMatchObject({
+      tests_passed: 924, tests_failed: 0, tests_total: 927,
+    });
+  });
+  it('parses vitest failed+passed+skipped triplet', () => {
+    expect(extractTestMetrics('Tests  1 failed | 920 passed | 3 skipped (924)')).toMatchObject({
+      tests_failed: 1, tests_passed: 920, tests_total: 924,
+    });
+  });
+});
@@ -201,6 +201,27 @@ export function buildEpisode({ state = null, transcriptText = null, ctx = {} } =
  return base;
 }

+/**
+ * Resolve the user prompt for downstream consumers (self-assessment API,
+ * embedding). Bug fix 2026-05-26: Claude Code's Stop-event stdin contract is
+ * { session_id, transcript_path, stop_hook_active, hook_event_name } — it
+ * never includes `prompt`. The real text lives in the transcript file. Prior
+ * code blindly read `ctx.prompt`, so self-assessment always received "(пусто)"
+ * and embedding was silently skipped. This helper prefers `ctx.prompt` (test
+ * convenience) and falls back to extracting the last user message from the
+ * transcript. Returns null when neither source has content.
+ */
+export function derivePrompt(ctx, transcriptText) {
+  if (ctx && typeof ctx.prompt === 'string' && ctx.prompt.length > 0) {
+    return ctx.prompt;
+  }
+  if (typeof transcriptText === 'string' && transcriptText.length > 0) {
+    const text = extractLastUserPromptText(transcriptText);
+    return text || null;
+  }
+  return null;
+}
+
 /**
 * Build a self_assessment block (spec §4.5, Phase 3 Task 17). Pure.
 *
@@ -372,6 +393,11 @@ if (process.argv[1] && process.argv[1].replace(/\\/g, '/').endsWith('/observer-s
    try {
      const ep = buildEpisodeFromContext(ctx, transcriptText);

+      // Bug fix 2026-05-26: resolve the real user prompt before calling
+      // downstream consumers. ctx.prompt is never set by Stop-event stdin —
+      // the prompt lives in the transcript. derivePrompt unifies the fallback.
+      const userPrompt = derivePrompt(ctx, transcriptText);
+
      // Step 3.5: self-assessment API call (fail-quiet).
      // Only runs when the runtime flag is 'on' and ROUTER_LLM_KEY is set.
      const saMode = readRuntimeFlag('self-assessment-mode');
@@ -379,7 +405,7 @@ if (process.argv[1] && process.argv[1].replace(/\\/g, '/').endsWith('/observer-s
      if (saMode === 'on' && saApiKey) {
        const rat = ep.primary_rationale ?? {};
        const apiResult = await callSelfAssessmentApi({
-          prompt: ctx.prompt || null,
+          prompt: userPrompt,
          recommendedNode: rat.recommended_node || null,
          actualNode: rat.node_chosen || null,
          chainExecuted: rat.chain_executed || [],
@@ -391,7 +417,7 @@ if (process.argv[1] && process.argv[1].replace(/\\/g, '/').endsWith('/observer-s
      // Step 3.6: embedding async wiring (fail-quiet, 2s timeout).
      // Trivial task types skipped via shouldEmbed. Mirrors Step 3.5 pattern.
      const embMode = readRuntimeFlag('embedding-mode');
-      await computeEmbeddingForEpisode(ep, ctx, { embedMode: embMode });
+      await computeEmbeddingForEpisode(ep, { ...ctx, prompt: userPrompt }, { embedMode: embMode });

      // Always write the episode first — exit-0-safe (spec §5.1 step 1).
      appendEpisode(ep);
@@ -2,7 +2,7 @@ import { describe, it, expect, beforeEach, afterEach } from 'vitest';
 import { writeFileSync, readFileSync, existsSync, mkdtempSync, rmSync, mkdirSync, readdirSync } from 'fs';
 import { join } from 'path';
 import { tmpdir } from 'os';
-import { appendEpisode, buildEpisodeFromContext, buildObserverError, routingGateDecision, buildExecutionTrace, buildEpisode, buildSelfAssessment, computeEmbeddingForEpisode } from './observer-stop-hook.mjs';
+import { appendEpisode, buildEpisodeFromContext, buildObserverError, routingGateDecision, buildExecutionTrace, buildEpisode, buildSelfAssessment, computeEmbeddingForEpisode, derivePrompt } from './observer-stop-hook.mjs';

 let workdir;

@@ -366,3 +366,49 @@ describe('Step 3.6 embedding async wiring', () => {
    expect(ep.environment.embedding_unavailable).toBe(true);
  });
 });
+
+// -----------------------------------------------------------------------------
+// derivePrompt — Bug fix 2026-05-26: ctx.prompt is never set by Claude Code Stop
+// stdin (only session_id / transcript_path / stop_hook_active are sent). The
+// real user prompt lives in the transcript file. Self-assessment and embedding
+// both consumed ctx.prompt blindly → empty string passed to Sonnet ("(пусто)")
+// and embedding was silently skipped. derivePrompt unifies the fallback: prefer
+// ctx.prompt when present (e.g. tests), otherwise extract last user message
+// from transcriptText.
+// -----------------------------------------------------------------------------
+
+describe('derivePrompt — Stop-event prompt resolution', () => {
+  const minimalTranscript = (text) =>
+    JSON.stringify({
+      type: 'user',
+      sessionId: 's1',
+      timestamp: '2026-05-26T03:00:00Z',
+      message: { role: 'user', content: text },
+    }) + '\n';
+
+  it('returns ctx.prompt when explicitly provided (test path)', () => {
+    expect(derivePrompt({ prompt: 'explicit' }, null)).toBe('explicit');
+  });
+
+  it('extracts last user prompt from transcript when ctx.prompt missing (real Stop-event path)', () => {
+    const transcript = minimalTranscript('реальный длинный запрос от заказчика');
+    expect(derivePrompt({}, transcript)).toBe('реальный длинный запрос от заказчика');
+  });
+
+  it('returns null when both ctx.prompt and transcriptText absent', () => {
+    expect(derivePrompt({}, null)).toBeNull();
+    expect(derivePrompt({}, '')).toBeNull();
+  });
+
+  it('prefers ctx.prompt over transcript when both present', () => {
+    const transcript = minimalTranscript('from transcript');
+    expect(derivePrompt({ prompt: 'from ctx' }, transcript)).toBe('from ctx');
+  });
+
+  it('handles ctx=null/undefined gracefully', () => {
+    const transcript = minimalTranscript('из транскрипта');
+    expect(derivePrompt(null, transcript)).toBe('из транскрипта');
+    expect(derivePrompt(undefined, transcript)).toBe('из транскрипта');
+    expect(derivePrompt(null, null)).toBeNull();
+  });
+});
@@ -2,10 +2,12 @@
 import { readFileSync, writeFileSync, existsSync } from 'fs';
 import { join } from 'path';
 import { execFileSync } from 'child_process';
+import { homedir } from 'os';
 import { runCoverageChecker } from './observer-coverage-checker.mjs';
 import { analyze } from './brain-retro-analyzer.mjs';
 import { loadRegistry } from './registry-load.mjs';
 import { buildClassificationMap, buildDormancyMap } from './registry-to-classification-map.mjs';
+import { computeOverrideUsageBlock } from './enforce-override-monitor.mjs';

 const PRICING = {
  sonnet46: { input_per_mtok: 3.0, output_per_mtok: 15.0 },
@@ -118,6 +120,67 @@ Last self-retrospect: never
  }
 }

+/**
+ * Brain-retro #5 candidate B (2026-05-26): session-length warning.
+ *
+ * Long sessions correlate with discipline drift — reviewer pass on retro #5
+ * showed regulated rate dropped 19% → 4.5% during a long session.
+ *
+ * Algorithm: group episodes by task_id (session id), compute MAX
+ * session_turn per session over the current calendar day (UTC), surface
+ * sessions with turn count >= threshold.
+ *
+ * Pure — takes episodes array, returns markdown string. No I/O.
+ */
+export function computeSessionLengthBlock(episodes, opts = {}) {
+  const threshold = opts.threshold ?? 50;
+  const now = opts.now ? new Date(opts.now) : new Date();
+  const todayUtc = now.toISOString().slice(0, 10);
+
+  if (!Array.isArray(episodes) || episodes.length === 0) {
+    return `## Длинные сессии\n\n(нет данных)`;
+  }
+
+  const sessions = new Map();
+  for (const e of episodes) {
+    if (!e || !e.task_id || !e.timestamps?.started_at) continue;
+    if (e.timestamps.started_at.slice(0, 10) !== todayUtc) continue;
+    const turn = Number(e.environment?.session_turn);
+    if (!Number.isFinite(turn)) continue;
+    const id = e.task_id;
+    const cur = sessions.get(id) || { maxTurn: 0, lastSeen: '', regulated: 0, total: 0 };
+    if (turn > cur.maxTurn) cur.maxTurn = turn;
+    if (e.timestamps.started_at > cur.lastSeen) cur.lastSeen = e.timestamps.started_at;
+    cur.total++;
+    if (e.path_type === 'regulated') cur.regulated++;
+    sessions.set(id, cur);
+  }
+
+  const longOnes = [...sessions.entries()]
+    .filter(([, v]) => v.maxTurn >= threshold)
+    .sort((a, b) => b[1].maxTurn - a[1].maxTurn);
+
+  if (longOnes.length === 0) {
+    return `## Длинные сессии\n\nНи одной сессии с >${threshold} ходов сегодня (UTC). ✅`;
+  }
+
+  const rows = longOnes.map(([id, v]) => {
+    const regPct = v.total > 0 ? ((v.regulated / v.total) * 100).toFixed(0) : '—';
+    const shortId = id.slice(0, 8);
+    return `| \`${shortId}\` | ${v.maxTurn} | ${regPct}% | ${v.lastSeen} |`;
+  }).join('\n');
+
+  return `## Длинные сессии
+
+⚠️ Сегодня (${todayUtc} UTC) есть сессии с ≥${threshold} ходов — корреляция с падением дисциплины роутинга (retro #5 candidate B).
+
+| session_id | макс. ход | % regulated | последний эпизод |
+|---|---|---|---|
+${rows}
+
+Long sessions correlate with discipline drift. Если % regulated просел в текущей сессии — рассмотри перезапуск.`;
+}
+
 export function computeReviewerBlock(episodes) {
  const reviewed = episodes.filter(ep => ep.review?.reviewed_at !== null && ep.review?.reviewed_at !== undefined);
  const total = episodes.length;
@@ -213,7 +276,7 @@ Last updated: ${now}
 - Legacy v1 episodes (not in factor analysis): ${observer.v1Episodes || 0}
 - Last /brain-retro: ${retroLine}
 - Использование узлов: см. \`/brain-retro\` (раз в спринт). missed_activations: ${missed.totalMissed}. **Неиспользованные узлы — не алерт, если профильной задачи не было** (Pravila §16.4 v1.36; capability-readiness; см. memory \`feedback_brain_unused_tools_not_problem\` — outside-repo memory store).
-${disciplineBlock}${projectsBlock}${inputs.costBlock ? `\n${inputs.costBlock}\n` : ''}${inputs.anomalyBlock ? `\n${inputs.anomalyBlock}\n` : ''}${inputs.selfRetrospectBlock ? `\n${inputs.selfRetrospectBlock}\n` : ''}${inputs.reviewerBlock ? `\n${inputs.reviewerBlock}\n` : ''}
+${disciplineBlock}${projectsBlock}${inputs.sessionLengthBlock ? `\n${inputs.sessionLengthBlock}\n` : ''}${inputs.costBlock ? `\n${inputs.costBlock}\n` : ''}${inputs.anomalyBlock ? `\n${inputs.anomalyBlock}\n` : ''}${inputs.selfRetrospectBlock ? `\n${inputs.selfRetrospectBlock}\n` : ''}${inputs.reviewerBlock ? `\n${inputs.reviewerBlock}\n` : ''}${inputs.overrideUsageBlock ? `\n${inputs.overrideUsageBlock}\n` : ''}
 ## Алерт-индикаторы

 ✅ — норма ・ ⚠️ — внимание ・ 🔴 — действие требуется ・ ⚪ — не запускалось
@@ -343,15 +406,23 @@ if (process.argv[1] && process.argv[1].replace(/\\/g, '/').endsWith('/status-md-
  };

  const eps = loadCurrentMonthEpisodes();
-  let costBlock = null, anomalyBlock = null, selfRetrospectBlock = null, reviewerBlock = null;
+  let costBlock = null, anomalyBlock = null, selfRetrospectBlock = null, reviewerBlock = null, sessionLengthBlock = null, overrideUsageBlock = null;
  try { costBlock = computeCostBlock(eps, PRICING); } catch (err) { console.warn('[status-md-generator] costBlock skipped:', err.message); costBlock = '(нет данных)'; }
  try { anomalyBlock = computeAnomalyBlock(eps); } catch (err) { console.warn('[status-md-generator] anomalyBlock skipped:', err.message); anomalyBlock = '(нет данных)'; }
  try { selfRetrospectBlock = computeSelfRetrospectBlock(join('docs', 'observer', '.self-retrospect-counter.json')); } catch (err) { console.warn('[status-md-generator] selfRetrospectBlock skipped:', err.message); selfRetrospectBlock = '(нет данных)'; }
  try { reviewerBlock = computeReviewerBlock(eps); } catch (err) { console.warn('[status-md-generator] reviewerBlock skipped:', err.message); reviewerBlock = '(нет данных)'; }
+  try { sessionLengthBlock = computeSessionLengthBlock(eps); } catch (err) { console.warn('[status-md-generator] sessionLengthBlock skipped:', err.message); sessionLengthBlock = '(нет данных)'; }
+  try {
+    const logPath = join(homedir(), '.claude', 'runtime', 'override-usage.jsonl');
+    const raw = existsSync(logPath) ? readFileSync(logPath, 'utf-8') : '';
+    overrideUsageBlock = computeOverrideUsageBlock(raw);
+  } catch (err) { console.warn('[status-md-generator] overrideUsageBlock skipped:', err.message); overrideUsageBlock = '(нет данных)'; }
  inputs.costBlock = costBlock;
  inputs.anomalyBlock = anomalyBlock;
  inputs.selfRetrospectBlock = selfRetrospectBlock;
  inputs.reviewerBlock = reviewerBlock;
+  inputs.sessionLengthBlock = sessionLengthBlock;
+  inputs.overrideUsageBlock = overrideUsageBlock;

  const md = renderStatus(inputs);
  writeFileSync('docs/observer/STATUS.md', md);
@@ -1,5 +1,5 @@
 import { describe, it, expect } from 'vitest';
-import { renderStatus, computeCostBlock, computeAnomalyBlock, computeSelfRetrospectBlock, computeReviewerBlock } from './status-md-generator.mjs';
+import { renderStatus, computeCostBlock, computeAnomalyBlock, computeSelfRetrospectBlock, computeReviewerBlock, computeSessionLengthBlock } from './status-md-generator.mjs';

 const baseInputs = (overrides = {}) => ({
  now: '2026-05-19T10:00:00+03:00',
@@ -149,6 +149,16 @@ describe('renderStatus — discipline block (stage 2)', () => {
    const md = renderStatus(baseInputs);
    expect(md).not.toMatch(/## Метрики дисциплины/);
  });
+
+  it('coexists: both sessionLengthBlock (brain-retro candidate B) and overrideUsageBlock (enforce hole 8) appear together in template after merge', () => {
+    const md = renderStatus({
+      ...baseInputs,
+      sessionLengthBlock: '## Длинные сессии\n\nflagged content',
+      overrideUsageBlock: '## Использование override-фраз\n\nflagged content',
+    });
+    expect(md).toContain('## Длинные сессии');
+    expect(md).toContain('## Использование override-фраз');
+  });
 });

 // ── Phase 3 deferred #3: 4 new helper blocks ─────────────────────────────────
@@ -312,3 +322,70 @@ describe('renderStatus — 4 new optional blocks integration', () => {
    expect(md).not.toContain('## Reviewer: субагент vs fallback');
  });
 });
+
+// -----------------------------------------------------------------------------
+// computeSessionLengthBlock — brain-retro #5 candidate B (2026-05-26)
+// Long sessions correlate with discipline drift; surface a warning when any
+// session today (UTC) has ≥50 turns.
+// -----------------------------------------------------------------------------
+
+describe('computeSessionLengthBlock', () => {
+  const day = '2026-05-26';
+  const ep = (turn, opts = {}) => ({
+    task_id: opts.id ?? 'sess-1',
+    timestamps: { started_at: `${opts.day ?? day}T01:00:0${turn % 10}Z`, ended_at: `${opts.day ?? day}T01:00:0${turn % 10}Z` },
+    environment: { session_turn: turn },
+    path_type: opts.regulated ? 'regulated' : 'improvised',
+  });
+
+  it('returns "no data" placeholder when episodes empty', () => {
+    expect(computeSessionLengthBlock([])).toContain('(нет данных)');
+  });
+
+  it('returns OK (✅) when no session reaches threshold', () => {
+    const out = computeSessionLengthBlock([ep(1), ep(2), ep(10)], { now: `${day}T05:00:00Z` });
+    expect(out).toContain('✅');
+    expect(out).toContain('Ни одной сессии');
+  });
+
+  it('flags a session that crossed threshold', () => {
+    const eps = Array.from({ length: 55 }, (_, i) => ep(i + 1));
+    const out = computeSessionLengthBlock(eps, { now: `${day}T05:00:00Z` });
+    expect(out).toContain('⚠️');
+    expect(out).toContain('`sess-1');
+    expect(out).toContain('55'); // max turn
+  });
+
+  it('respects custom threshold', () => {
+    const eps = Array.from({ length: 15 }, (_, i) => ep(i + 1));
+    const flagged = computeSessionLengthBlock(eps, { now: `${day}T05:00:00Z`, threshold: 10 });
+    const notFlagged = computeSessionLengthBlock(eps, { now: `${day}T05:00:00Z`, threshold: 20 });
+    expect(flagged).toContain('⚠️');
+    expect(notFlagged).toContain('✅');
+  });
+
+  it('ignores episodes from other UTC days', () => {
+    const eps = Array.from({ length: 55 }, (_, i) => ep(i + 1, { day: '2026-05-25' }));
+    const out = computeSessionLengthBlock(eps, { now: `${day}T05:00:00Z` });
+    expect(out).toContain('✅'); // yesterday's session not counted
+  });
+
+  it('computes regulated % per long session', () => {
+    const eps = Array.from({ length: 50 }, (_, i) => ep(i + 1, { regulated: i < 10 }));
+    const out = computeSessionLengthBlock(eps, { now: `${day}T05:00:00Z`, threshold: 40 });
+    expect(out).toContain('⚠️');
+    expect(out).toContain('20%'); // 10 regulated out of 50 = 20%
+  });
+
+  it('handles missing session_turn / task_id gracefully', () => {
+    const eps = [
+      { task_id: 'x', timestamps: { started_at: `${day}T01:00:00Z` } }, // no session_turn
+      { timestamps: { started_at: `${day}T01:00:00Z` }, environment: { session_turn: 60 } }, // no task_id
+      ep(70, { id: 'real' }),
+    ];
+    const out = computeSessionLengthBlock(eps, { now: `${day}T05:00:00Z` });
+    expect(out).toContain('⚠️');
+    expect(out).toContain('`real');
+    expect(out).toContain('70');
+  });
+});