a3ffaed374
1. HIGH-1: onboarding ↔ kei-model-router связка
До: onboarding мастер писал ~/.claude/config/onboarding.toml,
но router его не читал — выбор провайдера декоративный.
После: lib-onboarding.sh::onboarding_write_config доп. пишет
~/.claude/config/user-model-override.toml; registry.rs::Registry
получил load_user_override() возвращающий UserModelOverride.
Приоритет: --pinned > user-override > agent-profiles default_model_ref.
2 новых теста (round-trip TOML, optional transport).
2. HIGH-2: eval "$install_cmd" → bash -c "$install_cmd"
До: lib-preflight.sh::preflight_offer_install делал eval.
После: bash -c с явным subshell + печать команды юзеру до запуска.
3. HIGH-3: codex.sh regex false-pass
До: grep -qiE "logged.in|active" пропускал "not logged in" как pass.
После: сначала negative-pattern (not logged|signed out|please log in),
потом positive (\blogged in\b|status: active|auth: yes).
4. HIGH-4: path traversal в source preflight
До: lib-preflight.sh::preflight_run делал source без валидации
provider id — `../../../evil` сработал бы.
После: whitelist regex ^[a-z0-9][a-z0-9_-]{0,63}$ + realpath
проверка что resolved путь не вышел за PREFLIGHT_DIR.
5. HIGH-5: curl|sh без verification
ollama-local.sh + google-vertex.sh теперь печатают предупреждение
что Linux-установка тянет shell-скрипт с внешнего сервера без
проверки хэша/подписи, и предлагают альтернативу.
MEDIUM попутно:
- anthropic-bedrock.sh: один вызов aws sts get-caller-identity
вместо двух (экономит 1-3с), различает cred-error от network
по тексту stderr, маскирует account ID в ARN перед печатью.
- mlx-local.sh: pip install --user mlx-lm вместо global pip install
(не требует sudo, не загрязняет system Python).
Тесты: cargo test --lib 80/80, bash -n всех изменённых файлов чисто.
40 lines
1.9 KiB
Bash
40 lines
1.9 KiB
Bash
# shellcheck shell=bash
|
||
# preflight/anthropic-bedrock.sh — AWS CLI + Bedrock региональный доступ.
|
||
|
||
preflight_check_anthropic_bedrock() {
|
||
if ! command -v aws >/dev/null 2>&1; then
|
||
local cmd
|
||
case "$(uname -s)" in
|
||
Darwin) cmd="brew install awscli" ;;
|
||
Linux) cmd="curl 'https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip' -o /tmp/awscliv2.zip && unzip -q /tmp/awscliv2.zip -d /tmp && sudo /tmp/aws/install" ;;
|
||
*) cmd="см. https://aws.amazon.com/cli/" ;;
|
||
esac
|
||
preflight_offer_install "aws CLI" "$cmd" || return 1
|
||
fi
|
||
# Один вызов вместо двух — экономит ~1-3с при success-path.
|
||
local identity_out identity_rc
|
||
identity_out="$(aws sts get-caller-identity --output json 2>&1)"
|
||
identity_rc=$?
|
||
if [ $identity_rc -ne 0 ]; then
|
||
echo "" >&2
|
||
# Различаем cred-ошибку от сетевой/прочей по тексту.
|
||
if echo "$identity_out" | grep -qiE "UnauthorizedAccess|InvalidClientTokenId|ExpiredToken|signature|credential"; then
|
||
echo " ⚠ AWS credentials невалидны." >&2
|
||
echo " Запустите: aws configure" >&2
|
||
echo " Или экспортируйте AWS_ACCESS_KEY_ID + AWS_SECRET_ACCESS_KEY + AWS_REGION." >&2
|
||
else
|
||
echo " ⚠ aws sts get-caller-identity упал (не credentials)." >&2
|
||
echo " raw: $identity_out" >&2
|
||
fi
|
||
echo "" >&2
|
||
return 1
|
||
fi
|
||
echo " ✓ aws CLI: $(aws --version 2>&1 | head -1)" >&2
|
||
# ARN не печатаем полностью — может содержать account-id (sensitive enum target).
|
||
# Показываем только тип identity (user/role/assumed-role) и user-name.
|
||
local arn_short
|
||
arn_short="$(echo "$identity_out" | sed -n 's/.*"Arn": *"\(arn:aws:[^:]*::\)[0-9]*\(:[^"]*\)".*/\1***\2/p')"
|
||
[ -z "$arn_short" ] && arn_short="<masked>"
|
||
echo " ✓ identity: $arn_short" >&2
|
||
return 0
|
||
}
|