a3ffaed374
1. HIGH-1: onboarding ↔ kei-model-router связка
До: onboarding мастер писал ~/.claude/config/onboarding.toml,
но router его не читал — выбор провайдера декоративный.
После: lib-onboarding.sh::onboarding_write_config доп. пишет
~/.claude/config/user-model-override.toml; registry.rs::Registry
получил load_user_override() возвращающий UserModelOverride.
Приоритет: --pinned > user-override > agent-profiles default_model_ref.
2 новых теста (round-trip TOML, optional transport).
2. HIGH-2: eval "$install_cmd" → bash -c "$install_cmd"
До: lib-preflight.sh::preflight_offer_install делал eval.
После: bash -c с явным subshell + печать команды юзеру до запуска.
3. HIGH-3: codex.sh regex false-pass
До: grep -qiE "logged.in|active" пропускал "not logged in" как pass.
После: сначала negative-pattern (not logged|signed out|please log in),
потом positive (\blogged in\b|status: active|auth: yes).
4. HIGH-4: path traversal в source preflight
До: lib-preflight.sh::preflight_run делал source без валидации
provider id — `../../../evil` сработал бы.
После: whitelist regex ^[a-z0-9][a-z0-9_-]{0,63}$ + realpath
проверка что resolved путь не вышел за PREFLIGHT_DIR.
5. HIGH-5: curl|sh без verification
ollama-local.sh + google-vertex.sh теперь печатают предупреждение
что Linux-установка тянет shell-скрипт с внешнего сервера без
проверки хэша/подписи, и предлагают альтернативу.
MEDIUM попутно:
- anthropic-bedrock.sh: один вызов aws sts get-caller-identity
вместо двух (экономит 1-3с), различает cred-error от network
по тексту stderr, маскирует account ID в ARN перед печатью.
- mlx-local.sh: pip install --user mlx-lm вместо global pip install
(не требует sudo, не загрязняет system Python).
Тесты: cargo test --lib 80/80, bash -n всех изменённых файлов чисто.
41 lines
1.7 KiB
Bash
41 lines
1.7 KiB
Bash
# shellcheck shell=bash
|
|
# preflight/codex.sh — OpenAI Codex CLI через ChatGPT OAuth.
|
|
|
|
preflight_check_codex() {
|
|
if ! command -v codex >/dev/null 2>&1; then
|
|
if ! command -v npm >/dev/null 2>&1; then
|
|
echo "" >&2
|
|
echo " ⚠ npm требуется для установки codex." >&2
|
|
echo " Сначала: brew install node (macOS) или apt install nodejs npm (Linux)" >&2
|
|
echo "" >&2
|
|
return 1
|
|
fi
|
|
preflight_offer_install "codex CLI" "npm install -g @openai/codex" || return 1
|
|
fi
|
|
# Проверяем что OAuth активен.
|
|
# Regex'ы: позитивные паттерны (logged-in / signed-in / active) И
|
|
# негативные (not logged in / logged out / sign in required) — иначе
|
|
# фраза "you are not logged in" проходит через `logged.in` regex
|
|
# как false-pass.
|
|
local status
|
|
status="$(codex login status 2>&1 || true)"
|
|
if echo "$status" | grep -qiE 'not (logged|signed) (in|on)|logged out|signed out|please.*log\s*in|sign[[:space:]]*in[[:space:]]*required'; then
|
|
echo "" >&2
|
|
echo " ⚠ codex не залогинен в ChatGPT." >&2
|
|
echo " Запустите: codex login" >&2
|
|
echo " (требуется ChatGPT Plus/Pro/Team подписка)" >&2
|
|
echo "" >&2
|
|
return 1
|
|
fi
|
|
if ! echo "$status" | grep -qiE '\b(logged|signed) in\b|status:[[:space:]]*active|auth(enticated)?[[:space:]]*:[[:space:]]*(yes|true|ok)'; then
|
|
echo "" >&2
|
|
echo " ⚠ codex auth-статус неопределён:" >&2
|
|
echo " $status" >&2
|
|
echo " Запустите: codex login" >&2
|
|
echo "" >&2
|
|
return 1
|
|
fi
|
|
echo " ✓ codex CLI: $(codex --version 2>&1 | head -1)" >&2
|
|
echo " ✓ OAuth: active" >&2
|
|
return 0
|
|
}
|