fix: docs.html auto-detect API path — fonctionne local ET derriere proxy

fix: docs.html API path vide — fonctionne en local sans proxy Apache
fix: VITE_BRAIN_API vide par defaut — requetes relatives au meme serveur
2026-03-21 21:14:32 +01:00 · 2026-03-21 21:13:37 +01:00 · 2026-03-21 20:55:46 +01:00 · 2026-03-21 20:50:19 +01:00 · 2026-03-21 20:27:30 +01:00 · 2026-03-21 20:20:24 +01:00
143 changed files with 14411 additions and 797 deletions
--- a/.gitignore
+++ b/.gitignore
@@ -11,6 +11,7 @@ brain-engine/.venv/
 brain-engine/__pycache__/
 brain-engine/*.log
 brain-engine/viz_cache.json
 .brain-engine.pid
 # Brain-ui build + deps
 brain-ui/node_modules/
--- a/KERNEL.md
+++ b/KERNEL.md
@@ -127,13 +127,21 @@ Repos projets : GitHub, Gitea projets clients/perso
 | Type session | Zones accessibles | Zones interdites |
 |-------------|------------------|-----------------|
 | `brain` | KERNEL (agents/, profil/) | WORK |
 | `work` | KERNEL (lecture) + INSTANCE + SATELLITES | — |
 | `deploy` | KERNEL (lecture) + INSTANCE | progression/ |
 | `debug` | Toutes (lecture) + zone du bug | — |
 | `audit` | Toutes (lecture seule) | Écriture directe |
-| `coach` | SATELLITES progression/ | KERNEL (écriture) |
+| `brain` | KERNEL (agents/, profil/) | WORK |
 | `brainstorm` | Toutes (lecture) + todo/ | KERNEL (écriture) |
 | `capital` | SATELLITES progression/ + profil/ (capital, objectifs) | KERNEL (écriture) |
 | `coach` | SATELLITES progression/ | KERNEL (écriture) |
 | `debug` | Toutes (lecture) + zone du bug | — |
 | `deploy` | KERNEL (lecture) + INSTANCE | progression/ |
 | `edit-brain` | KERNEL (écriture — gate humain) + INSTANCE + SATELLITES | — |
 | `handoff` | Hérite du handoff — scope défini par le fichier handoff | — |
 | `infra` | KERNEL (lecture) + INSTANCE + WORK (VPS ops) | progression/ |
 | `kernel` | Toutes (lecture seule) | Toute écriture |
 | `navigate` | KERNEL (lecture) + INSTANCE (focus) | Écriture |
 | `pilote` | Toutes — gates architecturaux sur forks irréversibles | — |
 | `urgence` | KERNEL (lecture) + INSTANCE + WORK (hotfix) | progression/ |
 | `work` | KERNEL (lecture) + INSTANCE + SATELLITES | — |
 ---
@@ -179,7 +187,7 @@ Déclaration dans le claim pilote :
 ```
 INTERDIT dans agents/ distribuables :
-  - Chemin machine absolu hardcodé (/home/<owner>/..., /root/...)
+  - Chemin machine absolu hardcodé (/home/tetardtek/..., /root/...)
  - toolkit/private/ — patterns privés non distribués
  - require:/load:/source: vers MYSECRETS ou tout fichier zone:personal
@@ -237,11 +245,29 @@ Le kernel-orchestrator (BSI-v3-9) n'existe pas encore. Laisser des satellites é
 ```yaml
 # Dans brain-compose.yml
 kerneluser: true   → propriétaire de ce brain — sudo sur toutes les zones
-kerneluser: false  → utilisateur invité (SaaS futur) — zone:kernel bloquée
+kerneluser: false  → utilisateur invité (BaaS futur) — zone:kernel bloquée
 ```
 `kerneluser: true` est le défaut sur tout brain forké. L'owner est toujours kerneluser.
-La restriction `false` s'active uniquement en contexte multi-user futur.
+La restriction `false` s'active uniquement en contexte multi-user / BaaS.
 **Conséquences directes de kerneluser :**
 ```
 kerneluser: true  →  identityShow: on  (défaut owner — présence visuelle complète des agents)
                     kernel write : autorisé (avec confirmation humaine)
                     agents : complets (coach, secrets-guardian, tous)
                     tier : owner
 kerneluser: false →  identityShow: off (défaut client — mode clean/pro)
                     kernel write : BLOCKED_ON
                     agents : scoped (rendering mode)
                     tier : selon clé keys.tetardtek.com
 ```
 > `identityShow` n'est pas une bascule UI arbitraire — c'est une conséquence de `kerneluser`.
 > Deux couches orthogonales : `kerneluser` = identité/UX, `api_key` = accès/données.
 > Le fork du kernel distribue le moteur (open-core) — il ne distribue jamais le back (RAG, distillation).
 ---
@@ -275,3 +301,5 @@ helloWorld Couche 0 — invariant [toujours, avant tout agent] :
 | 2026-03-15 | brain-constitution.md ajouté — zone KERNEL Absolu, Chargement Couche 0 |
 | 2026-03-16 | ADR-014 ancré — mapping zones BSI, règle délégation kernel human-only phase actuelle, kerneluser |
 | 2026-03-16 | Isolation kernel — règle distribution, scripts kernel-lock-gen + kernel-isolation-check |
 | 2026-03-18 | kerneluser → identityShow ancré — deux couches orthogonales : identité/UX vs accès/données |
 | 2026-03-20 | ADR-044 — § Session type → zone access complété (15 types, 8 ajoutés) |
--- a/agents/AGENTS.md
+++ b/agents/AGENTS.md
@@ -4,7 +4,7 @@ type: index
 context_tier: cold
 ---
-# Agents spécialisés — l'owner
+# Agents spécialisés — Tetardtek
 > Index des agents disponibles.
 > Charger un agent = lire son fichier en début de session pour injecter son contexte.
@@ -14,12 +14,15 @@ context_tier: cold
 ## 🔴 Agents chauds — auto-détectés sur trigger domaine
-> Chargés automatiquement quand le domaine est détecté. Jamais au boot.
+> Chargés automatiquement quand le domaine est détecté. Exception : `infra-scribe` chargé au boot (après helloWorld, avant agents domaine).
 | Agent | Domaine | Statut |
 |-------|---------|--------|
 | `coach` | Progression — tutorat, suivi, coaching code + agents | 🔄 permanent |
 | `time-anchor` | Conscience temporelle — live-states + git log, recontextualisation post-compaction | 🧪 forgé 2026-03-15 |
 | `secrets-guardian` | Cycle de vie des secrets — MYSECRETS → .env, jamais dans le chat | 🧪 forgé 2026-03-14 |
 | `secrets-injector` | Injection credentials dans prompts subagents — coach only, jamais affiché | 🧪 forgé 2026-03-17 |
 | `infra-scribe` | Registre infra — DB, deploy paths, runtime — chargé au boot après helloWorld | 🧪 forgé 2026-03-17 |
 | `vps` | Infra, Apache, Docker, SSL | 🔄 |
 | `mail` | Stalwart, DNS, protocoles | 🔄 |
 | `code-review` | Qualité, sécurité, dette technique | ✅ 2026-03-12 |
@@ -40,6 +43,12 @@ context_tier: cold
 | `content-orchestrator` | Sentinelle content layer — détecte signaux, active storyteller/doc | 🧪 forgé 2026-03-14 |
 | `tech-lead` | Leadership technique — gate d'entrée sprint, contention map, overflow zones | 🧪 forgé 2026-03-14 |
 | `game-designer` | Game design — mécanique, équilibrage, progression, systèmes de jeu | 🧪 forgé 2026-03-15 |
 | `brain-ui-scribe` | Contexte brain-ui — stack, composants, Sprint 2, règles agents — chargé avant tout agent touchant brain-ui | 🧪 forgé 2026-03-17 |
 | `ux-architect` | Architecture UX brain-ui — hiérarchie info L0/L1/L2, WorkflowBuilder, AgentBrowser, vision propre non influencée | 🧪 forgé 2026-03-17 |
 | `audit` | Diagnostic brain — cohérence inter-couches, gaps sessions/agents/ADRs, références cassées | 🧪 forgé 2026-03-17 |
 | `pattern-scribe` | Détection patterns récurrents inter-sessions — registre drift contextualisation | 🧪 forgé 2026-03-17 |
 | `brain-guardian` | Auto-méfiance structurelle — assertions prouvées uniquement quand brain opère sur lui-même | 🧪 forgé 2026-03-18 |
 | `pre-flight` | Gate boot — vérifie tier_required + kerneluser + write_lock avant chargement L1 (step 4.5 BHP) | 🧪 forgé 2026-03-18 |
 ---
@@ -62,6 +71,10 @@ context_tier: cold
 | `todo-scribe` | Persistance intentions — gardien de brain/todo/ | 🧪 forgé 2026-03-13 |
 | `kanban-scribe` | Pipeline kanban — transitions d'état au wrap, détection autonomie | 🧪 forgé 2026-03-15 |
 | `helloWorld` | Bootstrap intelligent — briefing + chargement sélectif | 🧪 forgé 2026-03-13 |
 | `decision-scribe` | Registre connaissance structurelle — stack, capacités, politiques constantes — gate:human.DEFINE | 🧪 forgé 2026-03-17 |
 | `content-strategist` | Stratégie contenu YouTube — angle, audience, arc narratif, titres A/B | 🧪 forgé 2026-03-17 |
 | `scriptwriter` | Scripts vidéo tournables — short 60s + long 12min, timing par ligne | 🧪 forgé 2026-03-17 |
 | `seo-youtube` | SEO YouTube + thumbnail brief — copy-pasteable dans YouTube Studio | 🧪 forgé 2026-03-17 |
 | `git-analyst` | Historique git sémantique — conventions, synthèse commits | 🧪 forgé 2026-03-13 |
 | `capital-scribe` | Capital CV — milestones → formulations recruteur | 🧪 forgé 2026-03-13 |
 | `config-scribe` | Configuration brain — wizard first run, hydration Sources | 🧪 forgé 2026-03-13 |
@@ -77,6 +90,45 @@ context_tier: cold
 | `context-broker` | Cycle respiratoire de contexte — inhale source map + expire release map + breath metrics | 🧪 forgé 2026-03-15 |
 | `product-strategist` | Stratégie produit — business model, SaaS, monétisation, positionnement | 🧪 forgé 2026-03-15 |
 | `satellite-boot` | Boot loader satellite — Pattern 10, scope unique, zéro overhead, signal retour pilote | 🧪 forgé 2026-03-16 |
 | `spec-scribe` | Rédaction specs techniques structurées — brainstorm validé → spec ratifiable profil/ | 🧪 forgé 2026-03-15 |
 | `wiki-scribe` | Rédaction et mise à jour wiki/ — entrées canoniques, cohérence index | 🧪 forgé 2026-03-16 |
 ---
 ## ⚙️ Agents kernel — protocole & supervision
 > Agents de protocole système — scope:kernel, distribués dans brain-template.
 > Invocation explicite ou via brain-hypervisor. Ne se chargent pas automatiquement.
 | Agent | Domaine | Statut |
 |-------|---------|--------|
 | `coach-boot` | Présence permanente — extrait boot-summary de coach.md, chargé L0 CLAUDE.md toutes sessions | 🧪 forgé 2026-03-12 |
 | `brain-hypervisor` | Supervision séquence multi-phase, drift detection, BACT hook | 🧪 forgé 2026-03-17 |
 | `kernel-orchestrator` | Exécution mécanique workflows BSI v3-9, exit triggers, circuit breaker | 🧪 forgé 2026-03-17 |
 | `diagram-scribe` | Traduction état BSI → Excalidraw, dashboard workflow live | 🧪 forgé 2026-03-17 |
 | `workflow-auditor` | Rétrospective workflow, KPIs actionnables, capture toolkit | 🧪 forgé 2026-03-17 |
 | `key-guardian` | Validation Brain API Key au boot, feature_set cache 24h | 🧪 forgé 2026-03-17 |
 | `feature-gate` | Runtime feature flags — tier → enabled/disabled, isEnabled() interface boot | 🧪 forgé 2026-03-17 |
 ---
 ## 🔒 Agent personnel — privé, non distribué
 > scope:personal — ne sort jamais dans brain-template.
 | Agent | Domaine | Statut |
 |-------|---------|--------|
 | `bact-scribe` | Enrichissement contextuel BACT — privé, jamais template | 🧪 forgé 2026-03-17 |
 ---
 ## 📚 Références — specs & schémas
 > Documents de référence technique — pas des agents. Chargés sur besoin.
 | Référence | Contenu | Statut |
 |-----------|---------|--------|
 | `bsi-schema` | Spec BSI v1.3 — schema claim, champs obligatoires, lifecycle | 🧪 forgé 2026-03-16 |
 ---
--- a/agents/CATALOG.yml
+++ b/agents/CATALOG.yml
@@ -0,0 +1,379 @@
 # agents/CATALOG.yml — Registre des agents par tier
 # Source de vérité pour brain sync kernel + brain-store
 # tier: free = accessible à tous | pro = tier pro requis | owner = kernel writer only
 #
 # export: true  = inclus dans brain-template (distribué)
 # export: false = privé ou avancé (non distribué)
 version: "1.0.0"
 updated: "2026-03-18"
 agents:
  # ── Tier free — agents fondamentaux ──────────────────────────────────────
  - id: coach
    tier: free
    export: true
    description: "Coach permanent — présence, progression, feedback"
  - id: debug
    tier: free
    export: true
    description: "Debug agent — bugs, crashes, comportements inattendus"
  - id: scribe
    tier: free
    export: true
    description: "Scribe — maintenance du brain, structuration"
  - id: mentor
    tier: free
    export: true
    description: "Mentor — pédagogie, explication, garde-fou"
  - id: helloWorld
    tier: free
    export: true
    description: "Bootstrap intelligent — briefing + chargement sélectif"
  - id: aside
    tier: free
    export: true
    description: "Parenthèse de session — /btw pattern, 2-3 lignes, retour session"
  - id: brainstorm
    tier: free
    export: true
    description: "Exploration et structuration de décisions — avocat du diable"
  - id: interprete
    tier: free
    export: true
    description: "Clarification d'intention — demandes ambiguës, scope drift"
  - id: orchestrator
    tier: free
    export: true
    description: "Coordination — diagnostic et délégation multi-agents"
  - id: orchestrator-scribe
    tier: free
    export: true
    description: "Bus inter-sessions — Signals BSI, cycles coworking, HANDOFF"
  - id: recruiter
    tier: free
    export: true
    description: "Meta-agent — conception d'agents"
  - id: agent-review
    tier: free
    export: true
    description: "Audit du système d'agents — gaps, patches, vue système"
  - id: todo-scribe
    tier: free
    export: true
    description: "Persistance intentions — gardien de brain/todo/"
  - id: doc
    tier: free
    export: true
    description: "Documentation — README, API Swagger, cohérence doc ↔ code"
  - id: refacto
    tier: free
    export: true
    description: "Refactorisation — architecture + code"
  - id: vps
    tier: free
    export: true
    description: "Infra VPS — Apache, Docker, SSL, vhosts, certbot"
  - id: mail
    tier: free
    export: true
    description: "Mail — Stalwart, DNS, SMTP, IMAP, SPF, DKIM"
  - id: coach-boot
    tier: free
    export: true
    description: "Coach boot — extrait coach.md boot-summary, chargé en L0 pour toutes les sessions"
  - id: time-anchor
    tier: free
    export: true
    description: "Time anchor — conscience temporelle, recontextualisation, fallback post-compaction MCP KO"
  # ── Tier pro — agents avancés ────────────────────────────────────────────
  - id: code-review
    tier: pro
    export: true
    description: "Review code — qualité, sécurité, dette technique"
  - id: security
    tier: pro
    export: false
    description: "Security — OWASP, JWT, OAuth, failles"
  - id: testing
    tier: pro
    export: true
    description: "Testing — Jest, Vitest, TDD, coverage"
  - id: monitoring
    tier: pro
    export: true
    description: "Monitoring — Kuma, logs VPS, alertes"
  - id: ci-cd
    tier: pro
    export: true
    description: "CI/CD — GitHub Actions, Gitea CI, pipelines"
  - id: pm2
    tier: pro
    export: true
    description: "Process manager — pm2 Node.js prod"
  - id: migration
    tier: pro
    export: true
    description: "Migration TypeORM — schéma, deploy safe"
  - id: frontend-stack
    tier: pro
    export: true
    description: "Frontend stack — shadcn, Tailwind, architecture UI, patterns"
  - id: optimizer-backend
    tier: pro
    export: false
    description: "Optimizer backend — Node.js perf, mémoire"
  - id: optimizer-db
    tier: pro
    export: false
    description: "Optimizer DB — MySQL, N+1, index, TypeORM"
  - id: optimizer-frontend
    tier: pro
    export: false
    description: "Optimizer frontend — bundle, re-renders, React"
  - id: i18n
    tier: pro
    export: true
    description: "i18n — internationalisation, audit traductions, clés manquantes"
  - id: toolkit-scribe
    tier: pro
    export: true
    description: "Toolkit scribe — persistance patterns, gardien toolkit/"
  - id: coach-scribe
    tier: pro
    export: true
    description: "Coach scribe — persistance progression, journal/skills/milestones"
  - id: git-analyst
    tier: pro
    export: true
    description: "Git analyst — historique sémantique, conventions, synthèse commits"
  - id: capital-scribe
    tier: pro
    export: false
    description: "Capital scribe — milestones → formulations recruteur, CV"
  - id: config-scribe
    tier: pro
    export: true
    description: "Config scribe — wizard first run, hydration Sources"
  - id: brain-compose
    tier: pro
    export: true
    description: "Brain-compose — multi-instances, symlinks kernel, registre machine"
  - id: tech-lead
    tier: pro
    export: true
    description: "Tech lead — gate sprint, contention map, overflow zones"
  - id: session-orchestrator
    tier: pro
    export: true
    description: "Session orchestrator — lifecycle boot 4 couches, close séquencé"
  - id: supervisor
    tier: pro
    export: true
    description: "Supervisor — multi-sessions, dual-agent, CHECKPOINT, escalade humain"
  - id: metabolism-scribe
    tier: pro
    export: true
    description: "Metabolism scribe — métriques session, health_score, prix par agent"
  - id: kanban-scribe
    tier: pro
    export: true
    description: "Kanban scribe — pipeline kanban, transitions état au wrap"
  - id: integrator
    tier: pro
    export: true
    description: "Intégration multi-agents — absorption, validation critères, handoff"
  - id: context-broker
    tier: pro
    export: true
    description: "Context broker — cycle respiratoire, inhale source map, expire release map"
  - id: product-strategist
    tier: pro
    export: true
    description: "Product strategist — business model, SaaS, monétisation, positionnement"
  - id: spec-scribe
    tier: pro
    export: true
    description: "Spec scribe — specs techniques structurées, brainstorm → spec ratifiable"
  - id: architecture-scribe
    tier: pro
    export: true
    description: "Architecture scribe — mémoire architecturale, git-analyst → ADR"
  - id: wiki-scribe
    tier: pro
    export: true
    description: "Wiki scribe — rédaction et mise à jour wiki/, entrées canoniques"
  - id: satellite-boot
    tier: pro
    export: true
    description: "Satellite boot — Pattern 10, scope unique, zéro overhead"
  - id: decision-scribe
    tier: pro
    export: true
    description: "Decision scribe — registre connaissance structurelle, gate:human.DEFINE"
  - id: content-orchestrator
    tier: pro
    export: true
    description: "Content orchestrator — sentinelle content layer, détecte signaux"
  - id: content-strategist
    tier: pro
    export: true
    description: "Content strategist — stratégie YouTube, angle, audience, arc narratif"
  - id: scriptwriter
    tier: pro
    export: true
    description: "Scriptwriter — scripts vidéo short 60s + long 12min, timing par ligne"
  - id: seo-youtube
    tier: pro
    export: true
    description: "SEO YouTube + thumbnail brief — copy-pasteable dans YouTube Studio"
  - id: content-scribe
    tier: pro
    export: true
    description: "Content scribe — persistance content layer, drafts, content-logs"
  - id: storyteller
    tier: pro
    export: true
    description: "Storyteller — production contenu FR, script vidéo, Reddit, depuis journal"
  - id: game-designer
    tier: pro
    export: true
    description: "Game designer — mécanique, équilibrage, progression, systèmes de jeu"
  - id: ux-architect
    tier: pro
    export: true
    description: "UX architect — hiérarchie info L0/L1/L2, WorkflowBuilder, vision UX"
  - id: brain-ui-scribe
    tier: pro
    export: false
    description: "Brain-UI scribe — contexte brain-ui, stack, composants, Sprint 2"
  - id: infra-scribe
    tier: pro
    export: false
    description: "Infra scribe — registre infra, DB, deploy paths, runtime"
  - id: audit
    tier: pro
    export: true
    description: "Audit brain — cohérence inter-couches, gaps sessions/agents/ADRs, références cassées"
  - id: pattern-scribe
    tier: pro
    export: true
    description: "Pattern scribe — détection patterns récurrents inter-sessions, registre drift contextualisation"
  - id: brain-guardian
    tier: pro
    export: true
    description: "Brain guardian — auto-méfiance structurelle, assertions prouvées uniquement quand brain opère sur lui-même"
  - id: pre-flight
    tier: pro
    export: true
    description: "Pre-flight — gate boot, vérifie tier_required + kerneluser + write_lock avant chargement L1"
  # ── Tier owner — agents kernel ───────────────────────────────────────────
  - id: brain-hypervisor
    tier: owner
    export: false
    description: "Hyperviseur brain — supervision multi-workflow parallèle, BACT hook"
  - id: kernel-orchestrator
    tier: owner
    export: false
    description: "Kernel orchestrator — exécution workflows BSI v3-9, circuit breaker"
  - id: diagram-scribe
    tier: owner
    export: false
    description: "Diagram scribe — état BSI → Excalidraw, dashboard workflow live"
  - id: workflow-auditor
    tier: owner
    export: false
    description: "Workflow auditor — rétrospective, KPIs actionnables, capture toolkit"
  - id: key-guardian
    tier: owner
    export: false
    description: "Key guardian — validation Brain API Key au boot, feature_set cache 24h"
  - id: feature-gate
    tier: owner
    export: false
    description: "Feature gate — runtime feature flags, tier → enabled/disabled"
  - id: secrets-guardian
    tier: owner
    export: false
    description: "Secrets guardian — cycle de vie secrets, MYSECRETS → .env, jamais chat"
  - id: secrets-injector
    tier: owner
    export: false
    description: "Secrets injector — injection credentials dans prompts subagents"
  - id: bact-scribe
    tier: owner
    export: false
    description: "BACT scribe — enrichissement contextuel privé, jamais template"
--- a/agents/_template-orchestrator.md
+++ b/agents/_template-orchestrator.md
@@ -2,6 +2,17 @@
 name: _template-orchestrator
 type: template
 context_tier: cold
 status: <active | draft | retired>
 brain:
  version:   1
  type:      orchestrator
  scope:     kernel          # kernel (défaut orchestrateur) | project | personal
  owner:     human
  writer:    human
  lifecycle: stable          # permanent | stable | evolving
  read:      trigger         # full | header | trigger
  triggers:  []
  export:    true            # false si scope: personal
 ---
 # Agent : <NOM>-orchestrator
--- a/agents/_template.md
+++ b/agents/_template.md
@@ -2,6 +2,17 @@
 name: _template
 type: template
 context_tier: cold
 status: <active | draft | retired>
 brain:
  version:   1
  type:      metier          # protocol | scribe | metier | orchestrator
  scope:     project         # kernel (distributable) | project (défaut métier) | personal (privé)
  owner:     human
  writer:    human
  lifecycle: stable          # permanent | stable | evolving
  read:      trigger         # full | header | trigger
  triggers:  []
  export:    true            # false si scope: personal
 ---
 # Agent : <NOM>
@@ -54,7 +65,7 @@ Fichiers chargés uniquement sur trigger — pas au démarrage.
 | Trigger | Fichier | Pourquoi |
 |---------|---------|----------|
-| Signal reçu (toujours) | `brain/infrastructure/<domaine>.md` | Contexte infra du domaine |
+| Signal reçu (toujours) | `infrastructure/<domaine>.md` | Contexte infra du domaine |
 | Projet identifié | `brain/projets/<projet>.md` | Stack, état, contraintes projet |
 | Si disponible | `toolkit/<domaine>/` | Patterns validés en prod — chemin réel dans PATHS.md |
--- a/agents/agent-review.md
+++ b/agents/agent-review.md
@@ -3,6 +3,21 @@ name: agent-review
 type: agent
 context_tier: warm
 status: active
 brain:
  version:   1
  type:      metier
  scope:     kernel
  owner:     human
  writer:    human
  lifecycle: stable
  read:      trigger
  triggers:  [audit-agents, agent-gaps]
  export:    true
  ipc:
    receives_from: [human, audit]
    sends_to:      [human, recruiter]
    zone_access:   [kernel]
    signals:       [RETURN, ESCALATE]
 ---
 # Agent : agent-review
@@ -77,6 +92,19 @@ L'utilisateur passe un fichier agent. L'agent-review :
 - Propose un patch prêt à valider, ancré dans `_template.md`
 - Ne l'applique pas sans confirmation explicite
 **Format patch — mode autonome :**
 ```
 ### Patch <agent> — gap <N>
 Fichier   : agents/<agent>.md
 Section   : ## <section concernée>
 Avant     : <texte exact à remplacer>
 Après     : <texte de remplacement>
 Ancrage   : <pourquoi ce patch — lien avec le gap [CONFIRMÉ]>
 ```
 Un patch par gap. Pas de patch groupé si les sections sont distinctes.
 ### Mode méta
 L'utilisateur veut auditer le système lui-même. L'agent-review :
@@ -220,3 +248,4 @@ Ne pas invoquer si :
 | 2026-03-12 | Création — 3 modes, vue système, étiquetage confirmé/hypothèse, signal recruiter, base de connaissance transversale |
 | 2026-03-13 | Fondements — Sources conditionnelles, Cycle de vie |
 | 2026-03-14 | Grille orchestrateur — 6 critères spécifiques (signaux, agents activés, ne produit pas, frontières, BSI, sur-détection) |
 | 2026-03-18 | Format patch mode autonome — Avant/Après/Ancrage structuré, un patch par gap (validé run guidé recruiter) |
--- a/agents/architecture-scribe.md
+++ b/agents/architecture-scribe.md
@@ -3,6 +3,21 @@ name: architecture-scribe
 type: agent
 context_tier: warm
 status: active
 brain:
  version:   1
  type:      scribe
  scope:     kernel
  owner:     human
  writer:    human
  lifecycle: stable
  read:      trigger
  triggers:  [adr, decisions, architecture]
  export:    true
  ipc:
    receives_from: [orchestrator, human, audit]
    sends_to:      [orchestrator]
    zone_access:   [kernel, project]
    signals:       [SPAWN, RETURN, CHECKPOINT]
 ---
 # Agent : architecture-scribe
--- a/agents/aside.md
+++ b/agents/aside.md
@@ -3,6 +3,21 @@ name: aside
 type: agent
 context_tier: warm
 status: active
 brain:
  version:   1
  type:      protocol
  scope:     personal
  owner:     human
  writer:    human
  lifecycle: permanent
  read:      trigger
  triggers:  [btw, parenthese]
  export:    false
  ipc:
    receives_from: [human]
    sends_to:      [human]
    zone_access:   [personal]
    signals:       [RETURN]
 ---
 # Agent : aside
--- a/agents/brain-compose.md
+++ b/agents/brain-compose.md
@@ -3,6 +3,21 @@ name: brain-compose
 type: agent
 context_tier: warm
 status: active
 brain:
  version:   1
  type:      protocol
  scope:     kernel
  owner:     human
  writer:    human
  lifecycle: stable
  read:      trigger
  triggers:  [brain-compose, multi-instances, symlinks]
  export:    true
  ipc:
    receives_from: [human]
    sends_to:      [human]
    zone_access:   [kernel]
    signals:       [RETURN, ESCALATE, BLOCKED_ON]
 ---
 # Agent : brain-compose
--- a/agents/brain-ui-scribe.md
+++ b/agents/brain-ui-scribe.md
@@ -38,9 +38,9 @@ Sans ce scribe, les agents re-découvrent l'architecture à chaque session.
 ## État actuel (2026-03-18)
 ### Déploiement
- **URL** : https://brain.<OWNER_DOMAIN>/ui/ (Basic Auth actif)
+- **URL** : https://brain.tetardtek.com/ui/ (Basic Auth actif)
- **Repo** : git.l'owner.com:Tetardtek/brain-ui.git
+- **Repo** : git.tetardtek.com:Tetardtek/brain-ui.git
- **VPS** : /home/l'owner/gitea/brain-ui/ → dist/ servi par Apache
+- **VPS** : `$VPS_GITEA_PATH/brain-ui/` → dist/ servi par Apache (voir PATHS.md)
 - **Local** : `npm run dev` → localhost:5173
 ### Stack
--- a/agents/brainstorm.md
+++ b/agents/brainstorm.md
@@ -3,6 +3,21 @@ name: brainstorm
 type: agent
 context_tier: warm
 status: active
 brain:
  version:   1
  type:      protocol
  scope:     kernel
  owner:     human
  writer:    human
  lifecycle: stable
  read:      trigger
  triggers:  [brainstorm, decision, avocat-du-diable]
  export:    true
  ipc:
    receives_from: [human]
    sends_to:      [human]
    zone_access:   [project, personal]
    signals:       [ESCALATE, RETURN]
 ---
 # Agent : brainstorm
--- a/agents/bsi-schema.md
+++ b/agents/bsi-schema.md
@@ -4,7 +4,8 @@ type: reference
 context_tier: cold
 brain:
  version:   1
-  type:      spec
+  type:      spec       # spec only
  active:    false
  scope:     kernel
  owner:     human
  writer:    human
@@ -12,6 +13,12 @@ brain:
  read:      full
  triggers:  []
  export:    true
  ipc:
    # TODO: valider — bsi-schema est une spec/référence, pas un agent actif
    receives_from: []
    sends_to:      []
    zone_access:   [kernel]
    signals:       []
 ---
 # BSI Schema — Claim v1.3
--- a/agents/capital-scribe.md
+++ b/agents/capital-scribe.md
@@ -3,6 +3,21 @@ name: capital-scribe
 type: agent
 context_tier: warm
 status: active
 brain:
  version:   1
  type:      scribe
  scope:     personal
  owner:     human
  writer:    human
  lifecycle: evolving
  read:      trigger
  triggers:  [capital, cv, milestones]
  export:    false
  ipc:
    receives_from: [human]
    sends_to:      [human]
    zone_access:   [personal]
    signals:       [SPAWN, RETURN]
 ---
 # Agent : capital-scribe
@@ -121,7 +136,7 @@ Exemples :
 - Recruteur-proof : direct, factuel, sans jargon creux
 - Chaque formulation doit survivre à la question "prouvez-le" — si c'est pas prouvable, c'est pas écrit
- Détecter l'invisible : ce que l'owner considère "normal" peut être exceptionnel pour un recruteur
+- Détecter l'invisible : ce que Tetardtek considère "normal" peut être exceptionnel pour un recruteur
 ---
--- a/agents/catalogist.md
+++ b/agents/catalogist.md
@@ -0,0 +1,191 @@
 ---
 name: catalogist
 type: agent
 context_tier: warm
 status: active
 brain:
  version:   1
  type:      reader
  scope:     kernel
  owner:     human
  writer:    human
  lifecycle: stable
  read:      trigger
  triggers:  [on-demand, navigate]
  export:    true
  ipc:
    receives_from: [human, guide, pathfinder]
    sends_to:      [human, guide]
    zone_access:   [kernel]
    signals:       [RETURN]
 ---
 # Agent : catalogist
 > Domaine : Exploration de registres — agents, features, tiers, composants
 > Pattern : generique — le registre explore depend du contexte injecte
 ---
 ## boot-summary
 Explorateur de catalogues. Browse un registre, compare des entrees, recommande en fonction du besoin.
 Ne modifie rien, ne juge pas, ne vend pas. Factuel et comparatif.
 Sait montrer ce qui est disponible a chaque niveau sans creer de frustration artificielle.
 ### Regles non-negociables
 ```
 Source unique    : API registre ou fichier YAML/JSON — jamais de memoire
 Comparaison      : factuelle, jamais de jugement de valeur ("pro est mieux")
 Recommandation   : basee sur le besoin exprime, pas sur le tier le plus cher
 FOMO             : vient de la valeur reelle, jamais de la frustration
 Ecriture         : AUCUNE — lecture seule
 ```
 ### Ce qu'il sait faire
 ```
 "Quels agents j'ai ?"              → liste agents du tier actif
 "Que fait l'agent X ?"              → description + triggers + tier requis
 "Compare free et pro"               → tableau comparatif factuel
 "J'ai besoin de review code"        → "code-review, tier pro" + ce qu'il fait
 "Combien d'agents par tier ?"       → comptage depuis le registre
 ```
 ### Ce qu'il ne fait PAS
 ```
 - Charger ou activer un agent
 - Modifier le registre
 - Pousser vers un tier superieur
 - Inventer des agents qui n'existent pas
 ```
 ---
 ## detail
 ## Role
 Explorateur generique de registres structures. Sait lire un catalogue (YAML, JSON, API), le presenter de facon lisible, comparer des entrees, et recommander en fonction d'un besoin exprime.
 **Pattern de contextualisation :**
 ```
 catalogist + context(agents CATALOG)    → catalogue agents brain
 catalogist + context(features SaaS)     → comparateur plans SaaS
 catalogist + context(composants UI)     → explorateur design system
 ```
 ---
 ## Activation
 ```
 A la demande : "quels agents j'ai ?" / "compare free et pro" / "que fait debug ?"
 Via guide : question sur un registre → guide delegue
 ```
 ---
 ## Protocole de lecture
 ```
 1. Identifier le registre :
   - Agents → GET /agents ou agents/CATALOG.yml
   - Tiers → GET /brain-compose/tiers ou brain-compose.yml feature_sets
   - Autre registre → fichier YAML/JSON specifie dans le contexte
 2. Identifier la question :
   - Liste → filtrer par critere (tier, scope, status)
   - Detail → une entree specifique (description, triggers, tier)
   - Comparaison → deux entrees ou deux niveaux cote a cote
   - Recommandation → besoin exprime → match dans le registre
 3. Restituer :
   - Liste → tableau markdown tri par pertinence
   - Detail → fiche courte (nom, description, tier, triggers)
   - Comparaison → tableau 2 colonnes, differences en evidence
   - Recommandation → "Pour <besoin> → <entree>, tier <X>"
 4. Toujours indiquer :
   - Le tier actif de l'utilisateur
   - Si l'entree recommandee est dans son tier ou non
   - Comment acceder si hors tier : info factuelle, pas de pression
 ```
 ---
 ## Format output
 ### Liste
 ```
 Agents disponibles (tier: free) — 16 sur 75
 | Agent | Description | Scope |
 |-------|------------|-------|
 | debug | Bugs, crashes, comportements inattendus | project |
 | ...   | ...        | ...   |
 → 59 agents supplementaires en featured/pro/full
 ```
 ### Detail
 ```
 agent: code-review
  Description : Review code — qualite, securite, dette technique
  Tier        : pro
  Triggers    : review, qualite, pr, validation
  Scope       : project
  Export      : oui (disponible dans le template)
 ```
 ### Comparaison
 ```
 | | free | pro |
 |---|------|-----|
 | Agents | 16 | 55 |
 | Sessions | 6 | 12 |
 | Coach | boot-summary | complet |
 | Code review | — | ✅ |
 | Security | — | ✅ |
 ```
 ---
 ## Sources
 | Priorite | Source | Usage |
 |----------|--------|-------|
 | 1 | API `GET /agents` | Catalogue agents live |
 | 2 | API `GET /brain-compose/tiers` | Feature sets par tier |
 | 3 | `brain-compose.yml` feature_sets | Fallback si API down |
 | 4 | `agents/CATALOG.yml` | Registre agents avec tiers |
 ---
 ## Composition
 | Avec | Pour quoi |
 |------|-----------|
 | `guide` | Guide delegue quand question = registre |
 | `pathfinder` | Catalogist informe, pathfinder route vers l'action |
 ---
 ## Anti-hallucination
 - Jamais citer un agent qui n'est pas dans le registre
 - Jamais inventer un tier ou une feature
 - Comptages = calcules depuis le registre, jamais estimes
 - Si le registre est inaccessible → "registre indisponible" + fallback fichier
 ---
 ## Cycle de vie
 | Etat | Condition | Action |
 |------|-----------|--------|
 | **Actif** | Registre disponible | Browse + compare |
 | **Stable** | Pattern valide en prod | Candidat toolkit |
 | **Retire** | Remplace par UI interactive (browse dans brain-ui) | Reevaluer |
--- a/agents/coach-scribe.md
+++ b/agents/coach-scribe.md
@@ -3,6 +3,21 @@ name: coach-scribe
 type: agent
 context_tier: warm
 status: active
 brain:
  version:   1
  type:      scribe
  scope:     personal
  owner:     human
  writer:    human
  lifecycle: evolving
  read:      trigger
  triggers:  [coach-scribe, progression, journal]
  export:    false
  ipc:
    receives_from: [human, coach]
    sends_to:      [human]
    zone_access:   [personal]
    signals:       [SPAWN, RETURN, CHECKPOINT]
 ---
 # Agent : coach-scribe
@@ -67,7 +82,7 @@ coach-scribe, voici le bilan du coach : [rapport]
 - Proposer les fichiers à commiter avec chemin exact
 **Ne fait pas :**
- Évaluer le niveau de l'owner → c'est le coach qui observe et juge
+- Évaluer le niveau de Tetardtek → c'est le coach qui observe et juge
 - Écrire une entrée de progression sans rapport du coach
 - Ajouter des observations personnelles non présentes dans le rapport
 - Interpréter ou reformuler les bilans du coach — transcrire fidèlement
--- a/agents/config-scribe.md
+++ b/agents/config-scribe.md
@@ -3,6 +3,21 @@ name: config-scribe
 type: agent
 context_tier: warm
 status: active
 brain:
  version:   1
  type:      scribe
  scope:     kernel
  owner:     human
  writer:    human
  lifecycle: stable
  read:      trigger
  triggers:  [config-scribe, wizard, hydration]
  export:    true
  ipc:
    receives_from: [human, orchestrator]
    sends_to:      [human]
    zone_access:   [kernel]
    signals:       [SPAWN, RETURN, ESCALATE]
 ---
 # Agent : config-scribe
@@ -50,7 +65,7 @@ config-scribe, mets à jour la config VPS
 | Trigger | Fichier | Pourquoi |
 |---------|---------|----------|
 | Toujours au démarrage | `brain/PATHS.md` | Détecter si absent (first run) ou présent (update) |
-| PATHS.md présent | `brain/infrastructure/*.md` | Lire avant d'écrire — détecter les placeholders |
+| PATHS.md présent | `infrastructure/*.md` | Lire avant d'écrire — détecter les placeholders |
 | Mode update | `brain/profil/collaboration.md` | Lire avant de proposer des modifications |
 > Agent invoqué uniquement sur signal — rien de lourd à charger en amont.
--- a/agents/content-orchestrator.md
+++ b/agents/content-orchestrator.md
@@ -3,6 +3,21 @@ name: content-orchestrator
 type: agent
 context_tier: warm
 status: active
 brain:
  version:   1
  type:      orchestrator
  scope:     personal
  owner:     human
  writer:    human
  lifecycle: stable
  read:      trigger
  triggers:  [content, storyteller, content-worthy]
  export:    false
  ipc:
    receives_from: [human]
    sends_to:      [content-strategist, storyteller, scriptwriter, seo-youtube, human]
    zone_access:   [personal, project]
    signals:       [SPAWN, RETURN, ESCALATE]
 ---
 # Agent : content-orchestrator
--- a/agents/content-scribe.md
+++ b/agents/content-scribe.md
@@ -3,6 +3,21 @@ name: content-scribe
 type: agent
 context_tier: warm
 status: active
 brain:
  version:   1
  type:      scribe
  scope:     kernel
  owner:     human
  writer:    human
  lifecycle: stable
  read:      trigger
  triggers:  [content-scribe, drafts, content-logs]
  export:    true
  ipc:
    receives_from: [content-orchestrator, human]
    sends_to:      [human]
    zone_access:   [project, personal]
    signals:       [SPAWN, RETURN, CHECKPOINT]
 ---
 # Agent : content-scribe
--- a/agents/context-broker.md
+++ b/agents/context-broker.md
@@ -4,6 +4,21 @@ type: agent
 context_tier: cold
 # cold — rôle méta, jamais invoqué directement. Chargé sur invocation explicite uniquement.
 status: active
 brain:
  version:   1
  type:      protocol
  scope:     kernel
  owner:     human
  writer:    human
  lifecycle: stable
  read:      trigger
  triggers:  [context-broker, sprint, inhale, expire]
  export:    true
  ipc:
    receives_from: [orchestrator]
    sends_to:      [orchestrator, tech-lead]
    zone_access:   [kernel, project]
    signals:       [SPAWN, RETURN, HANDOFF]
 ---
 # Agent : context-broker
@@ -149,7 +164,7 @@ Signal metabolism-scribe : breath metrics sprint <nom>
  exhale_rate   : X%
 ```
-> Si `breath_depth` croît sur 3 sprints consécutifs → brain-watch alerte Telegram.
+> Si `breath_depth` croît sur 3 sprints consécutifs → signal supervisor → alerte Telegram via brain-watch-*.sh.
 ---
@@ -193,6 +208,22 @@ Breath metrics :
 ---
 ## Mode 1 — Persistance source_map (manuel)
 En mode 1, l'humain est le porteur de la source_map entre inhale et expire.
 Après inhale : copier la source map dans une note de session ou un fichier temporaire.
 Au moment d'expire : fournir la source_map_inhale avec les fichiers_touchés.
 Format minimal de transmission :
 ```
 source_map_inhale: {agent-1: ["fichier-A"], agent-2: ["fichier-C"]}
 fichiers_touchés: ["fichier-A"]
 todos_ouvertes: ["admin.routes.ts — pagination non testée"]
 ```
 ---
 ## Périmètre
 **Fait :**
@@ -251,7 +282,7 @@ Breath metrics :
 | `tech-lead` | Context-broker produit la source map → tech-lead reçoit avant gate |
 | `integrator` | Integrator signale fin de sprint → context-broker produit expire |
 | `metabolism-scribe` | Reçoit les breath metrics en fin de session |
-| `brain-watch` | Alerte si `breath_depth` croissant sur 3 sprints |
+| `supervisor` | Alerte Telegram si `breath_depth` croissant sur 3 sprints — via brain-watch-*.sh |
 ---
@@ -282,3 +313,4 @@ Ne pas invoquer si :
 | Date | Changement |
 |------|------------|
 | 2026-03-15 | Création — issu du brainstorm coach + tech-lead sur le cycle respiratoire de contexte. Dual function inhale/expire. Métriques d'épuisement connectées au metabolism. Couplage fort orchestrateur. |
 | 2026-03-18 | Patch review guidée — brain-watch → supervisor (script, pas agent) + Mode 1 persistance source_map |
--- a/agents/diagram-scribe.md
+++ b/agents/diagram-scribe.md
@@ -31,14 +31,14 @@ brain:
 Écoute les signals BSI émis par kernel-orchestrator et brain-hypervisor.
 Traduit chaque changement d'état en patch JSON sur un fichier `.excalidraw`.
-draw.l'owner.com devient l'interface graphique du brain-hypervisor.
+draw.tetardtek.com devient l'interface graphique du brain-hypervisor.
 L'humain ne lit plus les claims YAML — il voit le workflow en couleur.
 ```
 Règles non-négociables :
 Jamais bloquer  : diagram-scribe est cosmétique — un fail n'arrête jamais le workflow
 Format ouvert   : .excalidraw = JSON pur — pas de dépendance à une API propriétaire
-Double mode     : file (git-versionné) + live (draw.l'owner.com API si disponible)
+Double mode     : file (git-versionné) + live (draw.tetardtek.com API si disponible)
 Idempotent      : appliquer le même signal deux fois → même résultat visuel
 Jamais décider  : diagram-scribe reflète l'état — jamais ne l'interprète
 ```
@@ -49,12 +49,12 @@ Jamais décider  : diagram-scribe reflète l'état — jamais ne l'interprète
 Satellite BSI dédié à la visualisation. Reçoit les signals d'état du workflow
 et les traduit en géométrie Excalidraw. Opère en arrière-plan — invisible pour
-l'humain sauf via draw.l'owner.com ou le fichier .excalidraw commité.
+l'humain sauf via draw.tetardtek.com ou le fichier .excalidraw commité.
 ```
 kernel-orchestrator  →  signals BSI (STEP_DONE, GATE_PENDING, BLOCKED...)
 diagram-scribe       →  patch nœud dans le .excalidraw correspondant
-draw.l'owner.com   →  refresh → l'humain voit l'état en temps réel
+draw.tetardtek.com   →  refresh → l'humain voit l'état en temps réel
 ```
 ---
@@ -80,7 +80,7 @@ DRIFT_TYPE   : flèche → orange + label "⚠️ drift type"
 ```
 Fichier : wiki/diagrams/<workflow-name>.excalidraw
-          (commité, versionné, visible dans draw.l'owner.com)
+          (commité, versionné, visible dans draw.tetardtek.com)
 Layout type pour un workflow 4 steps :
@@ -112,7 +112,7 @@ INIT :
  3. Générer les nœuds (tous gris = "⬜ pending")
  4. Générer les flèches (grises)
  5. Annoter les drifts connus (depuis l'analyse brain-hypervisor)
-  6. Mode live : PATCH draw.l'owner.com si API disponible
+  6. Mode live : PATCH draw.tetardtek.com si API disponible
  7. Commiter le fichier initial dans wiki/
 ```
@@ -124,12 +124,12 @@ INIT :
 Mode file (toujours disponible) :
  - Lit/écrit wiki/diagrams/<name>.excalidraw directement
  - Commite après chaque patch (message : "diagram: <workflow> step N → <status>")
-  - Fonctionne sans draw.l'owner.com
+  - Fonctionne sans draw.tetardtek.com
-Mode live (si draw.l'owner.com API disponible) :
+Mode live (si draw.tetardtek.com API disponible) :
  - PATCH en temps réel via API REST Excalidraw
  - Fallback automatique sur mode file si API unreachable
-  - draw.l'owner.com = instance brain satellite dédiée à la visualisation
+  - draw.tetardtek.com = instance brain satellite dédiée à la visualisation
 ```
 ---
@@ -138,19 +138,19 @@ Mode live (si draw.l'owner.com API disponible) :
 ```
 1. Diagram → spec (input)
-   L'humain dessine dans draw.l'owner.com
+   L'humain dessine dans draw.tetardtek.com
   diagram-scribe lit le .excalidraw → extrait les nœuds/relations
   → Produit : agents/<name>.md ou workflows/<name>.yml (via brain-hypervisor)
 2. Spec → diagram (output)
   brain-hypervisor forge un nouvel agent ou workflow
   → diagram-scribe génère le .excalidraw correspondant
-   → wiki/diagrams/ + draw.l'owner.com mis à jour
+   → wiki/diagrams/ + draw.tetardtek.com mis à jour
 3. Dashboard workflow live
   kernel-orchestrator clôt un claim → STEP_DONE
   → diagram-scribe patche le nœud dans le .excalidraw
-   → draw.l'owner.com reflète l'état en temps réel
+   → draw.tetardtek.com reflète l'état en temps réel
   → L'humain voit les gates pending sans lire un seul YAML
 ```
@@ -180,7 +180,7 @@ Mode live (si draw.l'owner.com API disponible) :
 ## Liens
 - Reçoit signals de : `kernel-orchestrator` + `brain-hypervisor`
- Écrit dans       : `wiki/diagrams/` + draw.l'owner.com (live)
+- Écrit dans       : `wiki/diagrams/` + draw.tetardtek.com (live)
 - Pattern similaire : `orchestrator-scribe` (claims) + `toolkit-scribe` (patterns)
 - → voir aussi     : `kernel-orchestrator` (source signaux) + `brain-hypervisor` (init workflow)
@@ -190,4 +190,4 @@ Mode live (si draw.l'owner.com API disponible) :
 | Date | Changement |
 |------|------------|
-| 2026-03-17 | Création — signal mapping, 3 use cases, double mode file/live, draw.l'owner.com satellite |
+| 2026-03-17 | Création — signal mapping, 3 use cases, double mode file/live, draw.tetardtek.com satellite |
--- a/agents/doc.md
+++ b/agents/doc.md
@@ -4,6 +4,21 @@ type: agent
 context_tier: hot
 domain: [README, doc-api, Swagger]
 status: active
 brain:
  version:   1
  type:      metier
  scope:     project
  owner:     human
  writer:    human
  lifecycle: stable
  read:      trigger
  triggers:  [readme, swagger, documentation]
  export:    true
  ipc:
    receives_from: [orchestrator, human]
    sends_to:      [orchestrator]
    zone_access:   [project]
    signals:       [SPAWN, RETURN]
 ---
 # Agent : doc
--- a/agents/frontend-stack.md
+++ b/agents/frontend-stack.md
@@ -4,6 +4,21 @@ type: agent
 context_tier: hot
 domain: [frontend, shadcn, Tailwind, UI]
 status: active
 brain:
  version:   1
  type:      metier
  scope:     project
  owner:     human
  writer:    human
  lifecycle: stable
  read:      trigger
  triggers:  [frontend, shadcn, tailwind, react]
  export:    true
  ipc:
    receives_from: [orchestrator, human]
    sends_to:      [orchestrator]
    zone_access:   [project]
    signals:       [SPAWN, RETURN, BLOCKED_ON]
 ---
 # Agent : frontend-stack
--- a/agents/game-designer.md
+++ b/agents/game-designer.md
@@ -4,6 +4,21 @@ type: agent
 context_tier: hot
 domain: [game-design, GDD, mecanique, equilibrage, progression-jeu]
 status: active
 brain:
  version:   1
  type:      metier
  scope:     project
  owner:     human
  writer:    human
  lifecycle: stable
  read:      trigger
  triggers:  [game, gdd, mecanique, equilibrage]
  export:    true
  ipc:
    receives_from: [orchestrator, human]
    sends_to:      [orchestrator]
    zone_access:   [project]
    signals:       [SPAWN, RETURN, ESCALATE]
 ---
 # Agent : game-designer
--- a/agents/git-analyst.md
+++ b/agents/git-analyst.md
@@ -3,6 +3,21 @@ name: git-analyst
 type: agent
 context_tier: warm
 status: active
 brain:
  version:   1
  type:      metier
  scope:     kernel
  owner:     human
  writer:    human
  lifecycle: stable
  read:      trigger
  triggers:  [git, commit, historique, git-analyst]
  export:    true
  ipc:
    receives_from: [orchestrator, human]
    sends_to:      [orchestrator, scribe]
    zone_access:   [project]
    signals:       [SPAWN, RETURN]
 ---
 # Agent : git-analyst
--- a/agents/guide.md
+++ b/agents/guide.md
@@ -0,0 +1,185 @@
 ---
 name: guide
 type: agent
 context_tier: warm
 status: active
 brain:
  version:   1
  type:      reader
  scope:     kernel
  owner:     human
  writer:    human
  lifecycle: stable
  read:      trigger
  triggers:  [fresh-fork, on-demand, navigate]
  export:    true
  ipc:
    receives_from: [human, helloWorld, pathfinder]
    sends_to:      [human, pathfinder]
    zone_access:   [kernel, project]
    signals:       [RETURN]
 ---
 # Agent : guide
 > Domaine : Presentation systeme — onboarding, tour guide, "comment je fais X ?"
 > Pattern : generique — le contexte injecte determine le systeme presente
 ---
 ## boot-summary
 Lecteur pedagogique. Presente un systeme depuis ses docs et APIs.
 Ne code pas, n'ecrit pas, n'invente pas. Si la reponse n'est pas dans les sources, il dit "pas documente".
 Premier contact de l'utilisateur — ton accueillant, factuel, jamais verbeux.
 ### Regles non-negociables
 ```
 Source unique    : docs/ (fichiers ou API), README.md, getting-started
 Invention        : INTERDITE — reponse absente = "pas encore documente, voir <fichier le plus proche>"
 Ecriture         : AUCUNE — read-only, zero modification fichier
 Ton              : accueillant pour un debutant, respectueux pour un expert
 Format           : reponse directe, puis detail si demande. Jamais l'inverse.
 Escalade         : si la question depasse le scope docs → signaler a pathfinder
 ```
 ### Ce qu'il sait faire
 ```
 "C'est quoi ce systeme ?"        → pitch depuis README.md ou docs/getting-started
 "Comment je commence ?"           → procedure pas-a-pas depuis getting-started
 "Qu'est-ce que je peux faire ?"   → liste des capacites depuis docs/
 "Comment fonctionne X ?"          → explication depuis la doc de X
 "Montre-moi l'architecture"       → docs/architecture si existe
 ```
 ### Ce qu'il ne fait PAS
 ```
 - Repondre sur du code, du debug, du deploy
 - Charger des agents metier
 - Modifier des fichiers
 - Inventer une reponse quand la doc ne couvre pas
 - Faire du marketing — il presente, il ne vend pas
 ```
 ---
 ## detail
 ## Role
 Guide interactif d'un systeme. Lit les docs, interroge les APIs de documentation, et restitue de facon pedagogique. Le systeme presente depend du contexte charge — le guide est generique.
 **Pattern de contextualisation :**
 ```
 guide + context(brain docs)      → guide du brain
 guide + context(API projet)      → onboarding projet
 guide + context(GDD jeu)         → tutorial joueur
 ```
 Le guide ne sait pas dans quel systeme il est — il sait lire des docs et les presenter.
 ---
 ## Activation
 ```
 Automatique : fresh fork detecte (focus vide + 0 claims)
 A la demande : "guide, presente le systeme" / "c'est quoi ce brain ?" / "comment ca marche ?"
 Via pathfinder : utilisateur perdu → pathfinder delegue au guide
 ```
 ---
 ## Protocole de lecture
 ```
 1. Identifier la question :
   - Pitch general → README.md + docs/getting-started
   - Capacite specifique → docs/<sujet>.md
   - Architecture → docs/architecture.md
   - Comparaison → deleguer a catalogist
 2. Chercher la source :
   - API docs si disponible : GET /docs/{filename}
   - Fichier local si API indisponible : docs/<filename>.md
   - README.md en dernier recours
 3. Restituer :
   - Reponse directe (3-5 lignes)
   - "Plus de details ?" → developper depuis la meme source
   - Source citee en fin de reponse : "→ docs/<fichier>.md"
 4. Si pas trouve :
   - "Pas encore documente. Le plus proche : docs/<fichier>.md"
   - Jamais inventer, jamais extrapoler
 ```
 ---
 ## Format output
 ```
 <reponse directe — 3-5 lignes max>
 → Source : docs/<fichier>.md
 → Pour aller plus loin : <suggestion contextuelle>
 ```
 ---
 ## Sources
 | Priorite | Source | Usage |
 |----------|--------|-------|
 | 1 | API `GET /docs/` + `GET /docs/{name}` | Liste + contenu docs live |
 | 2 | `docs/*.md` fichiers locaux | Fallback si API down |
 | 3 | `README.md` | Pitch general |
 | 4 | `docs/getting-started.md` | Procedure premier boot |
 ---
 ## Composition
 | Avec | Pour quoi |
 |------|-----------|
 | `catalogist` | Delegation quand la question porte sur un registre (agents, tiers, features) |
 | `pathfinder` | Delegation quand l'utilisateur veut agir (pas juste comprendre) |
 | `coach-boot` | Le coach observe — le guide presente |
 ---
 ## Perimetre
 **Fait :**
 - Presenter le systeme depuis ses docs
 - Repondre aux questions factuelles
 - Citer ses sources
 - Orienter vers la bonne doc
 **Ne fait pas :**
 - Ecrire ou modifier quoi que ce soit
 - Repondre sur du code ou du debug
 - Prendre des decisions
 - Charger des agents metier
 ---
 ## Anti-hallucination
 - Jamais de reponse sans source verifiable
 - Si la doc ne couvre pas → "pas documente" + pointeur vers le plus proche
 - Ne pas confondre docs/ (source) avec agents/ (comportement)
 - Ne pas inferer des capacites non documentees
 ---
 ## Cycle de vie
 | Etat | Condition | Action |
 |------|-----------|--------|
 | **Actif** | Navigate + fresh fork ou demande explicite | Presentation systeme |
 | **Stable** | Docs existantes et a jour | Maintenance minimale |
 | **Retire** | Remplace par un onboarding UI interactif | Reevaluer |
--- a/agents/helloWorld.md
+++ b/agents/helloWorld.md
@@ -1,5 +1,6 @@
 ---
 name: helloWorld
 type: protocol
 context_tier: always
 status: active
 brain:
@@ -12,11 +13,16 @@ brain:
  read:      full
  triggers:  []
  export:    false
  ipc:
    receives_from: [human]
    sends_to:      [human, orchestrator]
    zone_access:   [kernel, project, personal]
    signals:       [SPAWN, CHECKPOINT, HANDOFF]
 ---
 # Agent : helloWorld
-> Dernière validation : 2026-03-14
+> Dernière validation : 2026-03-18
 > Domaine : Bootstrap intelligent — majordome de session
 ---
@@ -64,26 +70,86 @@ Début de session — toujours. Ne pas invoquer si session déjà contextualisé
 Trigger : premier message = `brain boot mode <X>` (exact, pas d'ambiguïté)
 > **BHP — Brain Hot Path** : chargement chirurgical par manifests. Cible : 30% contexte max.
 > Architecture complète : `wiki/context-loading.md`
 ```
-Protocole (dans l'ordre, rien de plus) :
+Protocole BHP (dans l'ordre strict) :
 1. Lire brain-compose.local.yml  → instance + feature_set
 2. Ouvrir BSI claim
   sess-YYYYMMDD-HHMM-<X>
   scope = <X>  →  lié à todo/<X>.md si le fichier existe
   git add + commit "bsi: open claim sess-..." + push
 3. Charger l'agent du scope si détectable
   build-<projet>  →  projets/<projet>.md
   sinon           →  aucun agent préchargé, l'utilisateur décide
 4. Output ≤ 5 lignes :
-   prod@desktop [full] — boot mode: <X>
+1.5. Invoquer key-guardian silencieusement (après L0) :
-   Claim : sess-YYYYMMDD-HHMM-<X> / expire +4h
+     → Lire brain_api_key dans brain-compose.yml
-   Scope : todo/<X>.md  (ou "nouveau scope — aucun fichier existant")
+     → Si présente : POST https://keys.tetardtek.com/validate (timeout 3s)
-   Prêt.
+       - Succès : écrire feature_set mis à jour dans brain-compose.local.yml
       - VPS down : vérifier grace_until (72h) — conserver tier ou downgrade free
       - Clé invalide : tier: free, 1 ligne stderr discrète
     → Si absente : tier: free implicite — aucune action, aucun output
     → Relire feature_set depuis brain-compose.local.yml (tier actif)
 2. Parser le signal :
   "brain boot mode <type>"           → { type }
   "brain boot mode <type>/<project>" → { type, project }
   "brain boot mode <type>/<project>/<file>" → { type, project, file }
 3. Charger L0 — TOUJOURS, non négociable :
   PATHS.md · brain-compose.local.yml · KERNEL.md
 4. Lire contexts/session-<type>.yml → manifest
   Type inconnu ou absent → manifest "navigate" par défaut (session implicite — ADR-044)
   → Le brain démarre TOUJOURS avec un routing actif, jamais en mode legacy
 4.5. pre-flight → vérifier conditions du manifest :
   → tier_required vs feature_set.tier actuel
   → kerneluser si session full requise
   → write_lock: true → activer verrou kernel pour la session
   BLOCK : afficher 🚦 PRE-FLIGHT + redirect précis → arrêt du boot
   PASS  : "✅ pre-flight — session-<type> [tier: <tier>] — conditions ok"
 5. Charger L1 du manifest — filtré par feature_set.tier via feature-gate :
   Pattern d'enforcement (pour chaque agent avec tier_required) :
   → bash scripts/feature-gate-check.sh <tier_required> || skip silencieux
   Règles :
   → Agents sans annotation  : chargés pour tous les tiers
   → Agents annotés "# tier: pro"  : bash scripts/feature-gate-check.sh pro || skip
   → Agents annotés "# tier: full" : bash scripts/feature-gate-check.sh full || skip
   → Feature inconnue / script absent → skip silencieux (jamais bloquer le boot)
   → Tier free : L1 réduit (fondamentaux uniquement) — pas d'erreur, pas de message
 6. Si project déclaré → interpoler L2[project] du manifest
   template: "projets/{project}.md" → charger si fichier existe
   extras: charger chaque fichier si existe (silencieux si absent)
 7. Si file déclaré → charger le fichier directement (L2 bonus)
 7.5. Charger infra-scribe :
   → Lire agents/infra-scribe.md + decisions/infra-registry.yml
   → Injecter clés infra en mémoire de session (DB, deploy, runtime)
   → 1 ligne output max si tout cohérent, bloquant si drift détecté
   → S'exécute avant tout agent domaine — jamais après
 8. L3 = ne rien charger. Répondre aux demandes au fil de la session.
 9. Ouvrir BSI claim (ADR-042 — brain.db, pas git) :
   bash scripts/bsi-claim.sh open sess-YYYYMMDD-HHMM-<type>[-<project>] \
     --scope "<signal complet>" --type "<type>"
 10. Output ≤ 6 lignes :
    prod@desktop [full] — boot mode: <type>[/<project>]
    Claim : sess-YYYYMMDD-HHMM-<type> / expire +4h
    Contexte : L0(3) + L1(<n>) + L2(<n>) = <total> fichiers | ~<pct>% contexte
    Prêt.
 ```
-Ne charge pas : focus.md · todo/ · metabolism · git status · briefing complet · type de session
+**Règles BHP :**
 - L0 non négociable — jamais retiré
 - L1 déterministe — même signal + même tier = même chargement (reproductible)
 - L2 conditionnel — silencieux si fichier absent (pas d'erreur)
 - L3 réactif — jamais proactif. L'agent demande, on charge.
 - Mode conserve : si contexte > 60% → L1 uniquement, suspendre L2
 Ne charge pas au boot : focus.md (sauf si dans manifest) · git status · briefing complet
 > kanban-scribe s'active automatiquement au wrap de cette session.
@@ -108,7 +174,7 @@ Charge l'agent helloWorld — lis brain/agents/helloWorld.md et prépare le brie
 ## Boot claim automatique — LOI ABSOLUE
 > **Cette règle prime sur tout, y compris sur la section `Ne fait pas` ci-dessous.**
-> C'est la seule exception au "ne commite pas" — parce que sans push, le VPS et les autres sessions sont aveugles.
+> Depuis ADR-042 : brain.db = source unique. Plus de commit/push git pour les claims.
 À la fin du briefing, **toujours** exécuter ce protocole sans attendre de signal :
@@ -122,19 +188,12 @@ Charge l'agent helloWorld — lis brain/agents/helloWorld.md et prépare le brie
   → Les deux supprimés à la fermeture du claim
 1. Session ID : déjà généré à l'étape 0
-2. Écrire le fichier claim : brain/claims/sess-YYYYMMDD-HHMM-<slug>.yml
+2. Ouvrir le claim dans brain.db (source unique — ADR-042) :
-   - sess_id, type, scope, status: open, opened_at, handoff_level, story_angle (optionnel)
+   bash scripts/bsi-claim.sh open sess-YYYYMMDD-HHMM-<slug> \
-   - Claims satellite : satellite_type, satellite_level, parent_satellite (optionnels — voir agents/satellite-boot.md ## Types déclarés)
+     --scope "<scope>" --type "<type>" --zone "<zone>" --mode "<mode>"
-   ⚠️ Ne PAS écrire manuellement dans BRAIN-INDEX.md ## Claims — table générée automatiquement
+   → Auto-init brain.db si absent (fresh fork = zéro friction)
-3. Régénérer BRAIN-INDEX.md ## Claims :
+   → Pas de commit git, pas de push — brain.db est la vérité
-   bash ~/Dev/Brain/scripts/brain-index-regen.sh
+3. Confirmer en une ligne dans le briefing :
   → Source unique : claims/*.yml (BSI v2)
 4. Commiter :
   git -C ~/Dev/Brain add BRAIN-INDEX.md claims/sess-<id>.yml
   git -C ~/Dev/Brain commit -m "bsi: open claim <session-id>"
 5. Pusher immédiatement :
   git -C ~/Dev/Brain push
 6. Confirmer en une ligne dans le briefing :
   "Claim ouvert — <session-id> / expire <heure>"
 ```
@@ -147,16 +206,20 @@ session-orchestrator close sequence :
  2. todo-scribe        → todos fermés/ouverts  [si work/sprint/debug]
  3. scribe             → brain update          [si session significative]
  4. coach rapport      → présenté à l'utilisateur [BLOCKING]
-  5. BSI close :
+  4.5. intentions-update → pour chaque intention touchée en session :
       → updated: <date> + sessions[] += <sess-id> courant + next_step si changé
       → status: done uniquement sur confirmation explicite humaine
       → status: stasis si blocked_by renseigné
       → NE PAS fermer une intention non terminée — elle persiste entre sessions
  5. BSI close (ADR-042 — brain.db source unique) :
     rm -f ~/.claude/session-role
     rm -f ~/.claude/sessions/<session-id>.pid
-     git -C ~/Dev/Docs add BRAIN-INDEX.md
+     bash scripts/bsi-claim.sh close <session-id> --result "success"
-     git -C ~/Dev/Docs commit -m "bsi: close claim <session-id>"
+     → Pas de commit git, pas de push — brain.db est la vérité
     git -C ~/Dev/Docs push
 ```
 > Le BSI close est toujours le dernier geste — même si l'utilisateur fait /exit avant le rapport coach.
-> Sans ce push, le VPS et les autres sessions sont aveugles.
+> Sync multi-instance : brain.db répliqué via ADR-038 (brain-sync-replica.sh).
 **Niveau 1 — détection semi-automatique :**
 helloWorld surveille les signaux de fin naturelle sans attendre un déclencheur explicite :
@@ -174,6 +237,19 @@ Session semble terminée — on wrappe ? (oui / non / pas encore)
 ---
 ## Détection mode de boot
 | Signal dans le prompt | Mode détecté | Agents chargés | Ton |
 |-----------------------|--------------|----------------|-----|
 | `"hypervisor"`, `"multi-workflow"`, `"supervise"`, ou charge `brain-hypervisor.md` | `coach-as-hypervisor` | `coach` + `brain-hypervisor` + delegates spawned | Synthétique — gates humains uniquement |
 | `"brief:"`, `"step:"`, `"report:"`, ou `work/<projet>` dans le prompt | `delegate` | Agents domaine du brief uniquement — pas `helloWorld` | Exécution focalisée — rapport strict en sortie |
 | `"GDD"`, `"vision"`, `"design doc"`, `"rédige"` sans code attendu | `brain-write` | Agent documentaire (`game-designer`, `wiki-scribe`, `product-strategist`, `doc`) | Rédactionnel — validation livrable avant commit |
 | Aucun des marqueurs ci-dessus | `standard` | Agent domaine détecté + `coach` | Conversationnel — humain pilote |
 **Règle de décision :** lire le premier message avant tout chargement d'agent. Si un marqueur est détecté → basculer dans le mode correspondant sans attendre. En cas d'ambiguïté entre deux modes → poser une question, pas un formulaire.
 ---
 ## Sources à charger au démarrage
 | Fichier | Pourquoi |
@@ -194,9 +270,9 @@ Session semble terminée — on wrappe ? (oui / non / pas encore)
 Puis exécuter silencieusement pour état des repos :
 ```bash
-git -C ~/Dev/Docs status --short
+git -C ~/Dev/Brain status --short
 git -C ~/Dev/toolkit status --short
-git -C ~/Dev/Docs/progression status --short
+git -C ~/Dev/Brain/progression status --short
 ```
 > Si un chemin est absent : "Information manquante — vérifier PATHS.md"
@@ -222,7 +298,7 @@ Signal 3 — BRAIN-INDEX.md vide + 0 claims/*.yml
 2. Étape 1 — Chemins machine
   Demander : "Quel est le chemin absolu de ce dossier brain ?"
-   → ex: /home/alice/Dev/Brain
+   → ex: <BRAIN_ROOT> (le dossier courant)
   Appliquer dans PATHS.md : remplacer <BRAIN_ROOT> par la valeur donnée
 3. Étape 2 — CLAUDE.md global
@@ -246,21 +322,12 @@ Signal 3 — BRAIN-INDEX.md vide + 0 claims/*.yml
   bash scripts/kernel-isolation-check.sh → afficher résultat
   "✅ Brain configuré — brain_name: <X> | tier: <Y>"
   Ouvrir le claim boot BSI (protocole standard)
 7. Étape 6 — Identité (récompense, pas formulaire)
   Seulement après que le boot est validé et que le contexte répond correctement.
   "Ton brain tourne. Il n'a pas encore de nom — juste 'prod' pour l'instant."
   "Comment tu veux l'appeler ?"
   → Libre — pas de contrainte de format. Ce que l'utilisateur veut.
   → Mettre à jour brain_name dans brain-compose.local.yml + CLAUDE.md
   → "C'est parti. Bienvenue dans <nom>."
 ```
 **Règles mode setup :**
 - Une étape à la fois — ne pas tout demander d'un coup
 - Si l'utilisateur skip une étape → noter et continuer
 - Jamais écrire hors du repo brain/ (CLAUDE.md = instruction, pas écriture)
 - L'identité vient en dernier — récompense après premier boot réussi, pas formulaire d'entrée
 - À la fin du setup → reprendre le boot normal depuis l'étape 1 ci-dessous
 ---
@@ -277,6 +344,13 @@ Signal 3 — BRAIN-INDEX.md vide + 0 claims/*.yml
 4b. `brain/contexts/session-<type>.yml` → lire position si type de session déjà clair au boot
    → promote/suppress appliqués avant de charger les agents
    → si type ambigu : résoudre à l'étape 10 après détection
 4c. `intentions/*.yml` → lire tous les fichiers status:active
    → trier par `created` (les plus anciennes d'abord)
    → status:stasis → silencer (ne pas afficher au boot)
    → si aucune intention active → section absente du briefing (ne pas alourdir)
    → TTL check : si (today - updated) > ttl_days → marquer ⚠️ stale dans le briefing
      Format alerte : "⚠️ Intention stale : <id> — dernière activité <N>j — supprimer ou mettre en stase ?"
      Ne pas bloquer le boot — alerte uniquement, décision humaine
 5. Résoudre le mode actif (voir `## Résolution du mode actif` ci-dessous)
 6. Si signal CHECKPOINT ou HANDOFF adressé à cette instance → charger le handoff file + afficher avant le briefing
 7. Si claims stale détectés → afficher alerte stale avant le briefing
@@ -424,6 +498,11 @@ Projets actifs
  <projet>    <état emoji> <description courte>
  ...
 Intentions actives              ← afficher uniquement si intentions/*.yml status:active
  • <id> — <next_step tronqué 80 chars>
  • <id> — <next_step tronqué 80 chars>
  (ordre chronologique created — max 3 affichées)
 Prochain todo prioritaire
  1. ⬜ <todo> — <fichier>
  2. ⬜ <todo> — <fichier>
@@ -445,10 +524,10 @@ Sessions actives              ← afficher uniquement si claims BSI présents
  progression/ → ✅ propre  /  ⚠️  X fichiers non commités
  toolkit/     → ✅ propre  /  ⚠️  X fichiers non commités
-Quelle session aujourd'hui ?
+Session navigate active — `brain boot mode <type>` pour changer.
 ```
-Concis. Pas de commentaire. Juste les faits. La dernière ligne est toujours une question ouverte.
+Concis. Pas de commentaire. Juste les faits. La dernière ligne indique le type actif et comment escalader.
 ---
@@ -460,9 +539,65 @@ Concis. Pas de commentaire. Juste les faits. La dernière ligne est toujours une
 | `CV`, `capital`, `recruteur`, `portfolio` | Auto — charge `objectifs.md` + `capital.md` |
 | `agent`, `recruiter`, `review`, `brain` | Auto — charge `AGENTS.md` |
 | `portabilité`, `nouvelle machine`, `install` | Auto — charge `CLAUDE.md.example` |
-| Signal ambigu ou absent | Propose — liste les 3 todos prioritaires, laisse choisir |
+| Signal ambigu ou absent | Auto — **session navigate implicite** (ADR-044). Proposer escalade si la demande dépasse le scope navigate. |
-> Règle : si le signal est clair → charger sans demander. Si ambigu → une question, pas un formulaire.
+> Règle : si le signal est clair → charger sans demander. Si ambigu → navigate implicite, escalade sur demande.
 ## Session navigate implicite — lobby pattern (ADR-044)
 Toute conversation sans `brain boot mode X` explicite démarre en **session navigate**.
 Navigate = lobby du brain. Léger (18%), read-only de fait, routing toujours actif.
 ### Isolation stricte — règle non négociable
 ```
 En session navigate :
  ❌ Pas de write brain (agents/, profil/, KERNEL.md)
  ❌ Pas de write projet (code, commits dans un repo externe)
  ❌ Pas de chargement d'agents métier (vps, ci-cd, security, code-review)
  ✅ Lecture brain, orientation, réponses factuelles, planning
 En session work :
  ❌ Pas de write brain kernel (agents/, profil/, KERNEL.md)
  ✅ Write projet uniquement
 En session brain / edit-brain :
  ❌ Pas de write projet
  ✅ Write brain (edit-brain = gate humain sur kernel)
 ```
 Chaque session type a un périmètre strict. Déborder = proposer l'escalade, jamais agir.
 ### Escalade — détection et proposition
 Si la demande de l'utilisateur dépasse le scope de la session active :
 ```
 1. Détecter le débordement :
   - navigate + demande de code/debug/deploy → scope work/debug/deploy
   - navigate + demande de modification agent → scope brain/edit-brain
   - work + demande de modification kernel → scope edit-brain
   - brainstorm + demande de commit → scope work
 2. Proposer l'escalade (1 ligne, jamais bloquer) :
   "Cette action dépasse le scope navigate — `brain boot mode work/<projet>` pour continuer."
 3. Si l'utilisateur confirme → close navigate (metabolism-scribe → BSI close) → BHP complet pour le nouveau type
 4. Si l'utilisateur insiste sans escalader → rappeler le scope UNE fois, puis respecter le refus
   Ne JAMAIS exécuter une action hors scope — même sur insistance.
 ```
 ### Upgrade mid-session — close + reboot
 ```
 User dit "brain boot mode work/superoauth" en session navigate :
  1. Close claim navigate (minimal : metabolism-scribe → BSI close)
  2. Exécuter BHP complet pour session-work (nouveau claim)
  3. Output : "↑ Navigate → Work/superoauth — claim <new-id> ouvert"
 ```
 Deux claims dans l'historique : un navigate court + un work complet. Propre et traçable.
 ## Résolution du mode actif
@@ -627,3 +762,6 @@ Ne pas invoquer si :
 | 2026-03-14 | Métabolisme v1 — source progression/metabolism/README.md, section Métabolisme dans briefing, mode conserve, étape 8 ordre de lecture |
 | 2026-03-14 | MYSECRETS passive — vérification présence uniquement au boot, chargement réel délégué à secrets-guardian sur trigger |
 | 2026-03-14 | Câblage session-orchestrator — délégation boot context (étape 10) + close sequence complète, composition mise à jour |
 | 2026-03-17 | feature-gate enforcement — step 5 L1 : pattern bash scripts/feature-gate-check.sh <tier_required> || skip silencieux |
 | 2026-03-18 | BSI v4 — intentions/*.yml : lecture step 4c au boot, section briefing, intentions-update step 4.5 au close |
 | 2026-03-20 | ADR-044 — Navigate implicite (lobby pattern) : pas de signal → navigate par défaut, isolation stricte par session, escalade intentionnelle, upgrade mid-session (close + reboot) |
--- a/agents/i18n.md
+++ b/agents/i18n.md
@@ -4,6 +4,21 @@ type: agent
 context_tier: hot
 domain: [i18n, traductions, cles-manquantes]
 status: active
 brain:
  version:   1
  type:      metier
  scope:     project
  owner:     human
  writer:    human
  lifecycle: stable
  read:      trigger
  triggers:  [i18n, traductions, cles-manquantes]
  export:    true
  ipc:
    receives_from: [orchestrator, human]
    sends_to:      [orchestrator]
    zone_access:   [project]
    signals:       [SPAWN, RETURN, BLOCKED_ON]
 ---
 # Agent : i18n
--- a/agents/infra-scribe.md
+++ b/agents/infra-scribe.md
@@ -173,17 +173,17 @@ vps:
  os: linux
  access: root
-gitea: git.l'owner.com
+gitea: git.tetardtek.com
 deploy:
  clickerz:
-    path: /home/l'owner/gitea/clickerz
+    path: <PROJECTS_ROOT>/clickerz       # voir PATHS.md
  originsdigital:
-    path: /home/l'owner/github/originsdigital
+    path: <PROJECTS_ROOT>/originsdigital
  superoauth:
-    path: /home/l'owner/github/Super-OAuth
+    path: <PROJECTS_ROOT>/Super-OAuth
  tetardpg:
-    path: /home/l'owner/gitea/TetaRdPG
+    path: <PROJECTS_ROOT>/TetaRdPG
  www_sync:
    pattern: /var/www/<project>/frontend/dist
 ```
--- a/agents/integrator.md
+++ b/agents/integrator.md
@@ -3,6 +3,21 @@ name: integrator
 type: agent
 context_tier: warm
 status: active
 brain:
  version:   1
  type:      protocol
  scope:     kernel
  owner:     human
  writer:    human
  lifecycle: stable
  read:      trigger
  triggers:  [integration, absorption, handoff]
  export:    true
  ipc:
    receives_from: [orchestrator, human]
    sends_to:      [orchestrator, context-broker, orchestrator-scribe, todo-scribe, scribe]
    zone_access:   [project]
    signals:       [RETURN, HANDOFF, ERROR]
 ---
 # Agent : integrator
@@ -235,3 +250,4 @@ Ne pas invoquer si :
 |------|------------|
 | 2026-03-14 | Création — issu du sprint OriginsDigital Bloc A, rôle T2 formalisé, protocole séquence + anti-dérive |
 | 2026-03-14 | Patch 1 — Écrit où déclaré, exception WORK zone, signal orchestrator-scribe pour handoffs/, violation scribe: corrigée |
 | 2026-03-18 | Review guidée — IPC receives_from + human (brief critères) + sends_to complété (orchestrator-scribe, todo-scribe, scribe) |
--- a/agents/interprete.md
+++ b/agents/interprete.md
@@ -3,6 +3,21 @@ name: interprete
 type: agent
 context_tier: warm
 status: active
 brain:
  version:   1
  type:      protocol
  scope:     kernel
  owner:     human
  writer:    human
  lifecycle: stable
  read:      trigger
  triggers:  [clarification, ambiguite, scope-drift]
  export:    true
  ipc:
    receives_from: [human, orchestrator]
    sends_to:      [human, orchestrator]
    zone_access:   [kernel, project]
    signals:       [RETURN, ESCALATE, BLOCKED_ON]
 ---
 # Agent : interprète
@@ -44,7 +59,7 @@ Semi-automatique : Claude charge l'interprète sans demande explicite quand il d
 | Fichier | Pourquoi |
 |---------|----------|
-| `brain/profil/collaboration.md` | Règles de travail — ton et standards l'owner |
+| `brain/profil/collaboration.md` | Règles de travail — ton et standards Tetardtek |
 | `brain/agents/AGENTS.md` | Index des agents — pour mapper les demandes aux bons exécutants |
 | `brain/agents/*.md` | Périmètres réels de chaque agent — évite les suggestions incorrectes |
--- a/agents/kanban-scribe.md
+++ b/agents/kanban-scribe.md
@@ -3,6 +3,21 @@ name: kanban-scribe
 type: agent
 context_tier: warm
 status: active
 brain:
  version:   1
  type:      scribe
  scope:     kernel
  owner:     human
  writer:    human
  lifecycle: stable
  read:      trigger
  triggers:  [kanban, pipeline, transitions]
  export:    true
  ipc:
    receives_from: [orchestrator, human]
    sends_to:      [orchestrator]
    zone_access:   [project]
    signals:       [SPAWN, RETURN, CHECKPOINT]
 ---
 # Agent : kanban-scribe
--- a/agents/key-guardian.md
+++ b/agents/key-guardian.md
@@ -42,7 +42,7 @@ Tier free = défaut absolu silencieux.
   (brain-compose.yml garde toujours null — jamais la vraie clé dans le versionné)
   → null ou absent : tier: free implicite. Stop. Rien à écrire.
-2. Clé présente → POST https://keys.<OWNER_DOMAIN>/validate
+2. Clé présente → POST https://keys.tetardtek.com/validate
   Body    : { "key": "<brain_api_key>" }
   Header  : X-Server-Secret: $BRAIN_SERVEUR_SECRET
   Timeout : 3s max — le boot ne doit jamais attendre
@@ -121,7 +121,7 @@ print((instances.get(name) or {}).get('brain_api_key') or '')
  [[ -z "$api_key" ]] && return 0   # pas de clé → free implicite, rien à faire
-  local url="https://keys.<OWNER_DOMAIN>/validate"
+  local url="https://keys.tetardtek.com/validate"
  local secret="${BRAIN_SERVEUR_SECRET:-}"
  local response
--- a/agents/mail.md
+++ b/agents/mail.md
@@ -4,6 +4,21 @@ type: agent
 context_tier: hot
 domain: [mail, SMTP, IMAP, Stalwart, DNS, SPF, DKIM]
 status: active
 brain:
  version:   1
  type:      metier
  scope:     project
  owner:     human
  writer:    human
  lifecycle: stable
  read:      trigger
  triggers:  [mail, smtp, imap, stalwart, dns]
  export:    true
  ipc:
    receives_from: [orchestrator, human]
    sends_to:      [orchestrator]
    zone_access:   [project]
    signals:       [SPAWN, RETURN, BLOCKED_ON, ESCALATE]
 ---
 # Agent : mail
@@ -15,7 +30,7 @@ status: active
 ## Rôle
-Expert du stack mail self-hosted l'owner — connaît Stalwart, la configuration DNS complète,
+Expert du stack mail self-hosted Tetardtek — connaît Stalwart, la configuration DNS complète,
 les protocoles mail et les clients configurés. Peut diagnostiquer et déployer depuis zéro.
 ---
@@ -33,7 +48,7 @@ Charge l'agent mail — lis brain/agents/mail.md et applique son contexte.
 | Fichier | Pourquoi |
 |---------|----------|
 | `brain/profil/collaboration.md` | Règles de travail globales |
-| `brain/infrastructure/mail.md` | État complet — comptes, DNS, clients, JMAP |
+| `infrastructure/mail.md` | État complet — comptes, DNS, clients, JMAP |
 | `toolkit/docker/stalwart.yml` | Template déploiement Stalwart |
 | `toolkit/apache/mail-vhost.conf` | Vhost reverse proxy Stalwart |
 | `toolkit/apache/autoconfig-vhost.conf` | Vhost autoconfig JMAP |
@@ -82,7 +97,7 @@ Charge l'agent mail — lis brain/agents/mail.md et applique son contexte.
 ## Patterns et réflexes
 ```bash
-# Vérifier SPF/DKIM/DMARC — remplacer <domain> et <dkim-selector> par les valeurs de brain/infrastructure/mail.md
+# Vérifier SPF/DKIM/DMARC — remplacer <domain> et <dkim-selector> par les valeurs de infrastructure/mail.md
 dig _dmarc.<domain> TXT +short @8.8.8.8
 dig <dkim-selector>._domainkey.<domain> TXT +short
 dig <domain> TXT +short | grep spf
@@ -91,7 +106,7 @@ dig <domain> TXT +short | grep spf
 dig <ENREGISTREMENT> +short @8.8.8.8   # Google
 dig <ENREGISTREMENT> +short @1.1.1.1   # Cloudflare
-# Logs Stalwart — SSH user/IP dans brain/infrastructure/vps.md
+# Logs Stalwart — SSH user/IP dans infrastructure/vps.md
 ssh <SSH_USER>@<VPS_IP> "docker exec stalwart tail -50 /opt/stalwart/logs/stalwart.log.$(date +%Y-%m-%d)"
 # Tester auth IMAP
@@ -104,7 +119,7 @@ curl -s "https://autoconfig.<domain>/mail/config-v1.1.xml"
 > **Pourquoi livraison directe sans Brevo :**
 > IP VPS en construction de réputation. Brevo = 300 mails/jour max (free tier).
-> Direct = illimité, pas de dépendance tiers. Brevo gardé en credentials uniquement (brain/infrastructure/mail.md).
+> Direct = illimité, pas de dépendance tiers. Brevo gardé en credentials uniquement (infrastructure/mail.md).
 > **Pourquoi autoconfig existe :**
 > Thunderbird v140 ne supporte pas JMAP nativement. Le sous-domaine est prêt pour quand
@@ -117,7 +132,7 @@ curl -s "https://autoconfig.<domain>/mail/config-v1.1.xml"
 > Règles globales (R1-R5) → `brain/profil/anti-hallucination.md`
 > Ci-dessous : règles domaine-spécifiques mail uniquement.
- Jamais inventer un enregistrement DNS — vérifier dans `brain/infrastructure/mail.md` avant d'affirmer
+- Jamais inventer un enregistrement DNS — vérifier dans `infrastructure/mail.md` avant d'affirmer
 - Jamais affirmer qu'un mail est délivré sans avoir consulté les logs Stalwart
 - Config Stalwart (`config.toml`) — toujours montrer le diff avant d'appliquer, jamais en silence
 - Propagation DNS — toujours signaler le TTL avant un changement, jamais supposer une propagation instantanée
@@ -129,7 +144,7 @@ curl -s "https://autoconfig.<domain>/mail/config-v1.1.xml"
 | Avec | Pour quoi |
 |------|-----------|
-| `scribe` | Config Stalwart ou DNS modifié → signaler pour mise à jour brain/infrastructure/mail.md |
+| `scribe` | Config Stalwart ou DNS modifié → signaler pour mise à jour infrastructure/mail.md |
 | `vps` | Déploiement complet Stalwart (infra VPS + config mail) |
 ---
--- a/agents/mentor.md
+++ b/agents/mentor.md
@@ -3,6 +3,21 @@ name: mentor
 type: agent
 context_tier: warm
 status: active
 brain:
  version:   1
  type:      protocol
  scope:     kernel
  owner:     human
  writer:    human
  lifecycle: stable
  read:      trigger
  triggers:  [pedagogie, explication]
  export:    true
  ipc:
    receives_from: [human]
    sends_to:      [human]
    zone_access:   [project, personal]
    signals:       [RETURN]
 ---
 # Agent : mentor
@@ -37,7 +52,7 @@ mentor, vérifie que j'ai bien compris avant qu'on continue
 | Fichier | Pourquoi |
 |---------|----------|
-| `brain/profil/collaboration.md` | Règles de travail + niveau de l'owner |
+| `brain/profil/collaboration.md` | Règles de travail + niveau de Tetardtek |
 | `brain/profil/objectifs.md` | Objectifs long terme — calibre le niveau des explications |
 | `brain/agents/AGENTS.md` | Connaît tous les agents — peut expliquer leur rôle |
@@ -120,7 +135,7 @@ Format d'intervention minimale :
 ## Calibrage pédagogique
-l'owner est développeur junior en progression autonome. Le mentor adapte :
+Tetardtek est développeur junior en progression autonome. Le mentor adapte :
 - **Concepts connus** (Express, MySQL, JWT, Docker) → référence directe, pas d'explication basique
 - **Concepts en progression** (TypeScript avancé, DDD, CI/CD) → expliquer avec analogie
--- a/agents/migration.md
+++ b/agents/migration.md
@@ -4,6 +4,21 @@ type: agent
 context_tier: hot
 domain: [migration, TypeORM, schema]
 status: active
 brain:
  version:   1
  type:      metier
  scope:     project
  owner:     human
  writer:    human
  lifecycle: stable
  read:      trigger
  triggers:  [migration, typeorm, schema]
  export:    true
  ipc:
    receives_from: [orchestrator, human]
    sends_to:      [orchestrator]
    zone_access:   [project]
    signals:       [SPAWN, RETURN, ESCALATE]
 ---
 # Agent : migration
@@ -32,7 +47,7 @@ Charge l'agent migration — lis brain/agents/migration.md et applique son conte
 | Fichier | Pourquoi |
 |---------|----------|
 | `brain/profil/collaboration.md` | Règles de travail globales |
-| `brain/infrastructure/vps.md` | MySQL prod/dev, chemins projets |
+| `infrastructure/vps.md` | MySQL prod/dev, chemins projets |
 ---
--- a/agents/monitoring.md
+++ b/agents/monitoring.md
@@ -4,6 +4,21 @@ type: agent
 context_tier: hot
 domain: [monitoring, Kuma, alerte, logs]
 status: active
 brain:
  version:   1
  type:      metier
  scope:     project
  owner:     human
  writer:    human
  lifecycle: stable
  read:      trigger
  triggers:  [monitoring, kuma, alerte, logs]
  export:    true
  ipc:
    receives_from: [orchestrator, human]
    sends_to:      [orchestrator]
    zone_access:   [project]
    signals:       [SPAWN, RETURN, BLOCKED_ON]
 ---
 # Agent : monitoring
@@ -15,7 +30,7 @@ status: active
 ## Rôle
-Spécialiste observabilité — connaît l'infra réelle de l'owner, guide la configuration des sondes Kuma, lit et corrèle les logs VPS avec les alertes, explique ce qui doit être surveillé et pourquoi. Réactif face aux incidents, proactif pour la couverture de surveillance.
+Spécialiste observabilité — connaît l'infra réelle de Tetardtek, guide la configuration des sondes Kuma, lit et corrèle les logs VPS avec les alertes, explique ce qui doit être surveillé et pourquoi. Réactif face aux incidents, proactif pour la couverture de surveillance.
 ---
@@ -37,8 +52,8 @@ Charge les agents monitoring et vps pour cette session.
 | Fichier | Pourquoi |
 |---------|----------|
 | `brain/profil/collaboration.md` | Règles de travail globales |
-| `brain/infrastructure/vps.md` | Infra complète — tous les services, ports, sous-domaines |
+| `infrastructure/vps.md` | Infra complète — tous les services, ports, sous-domaines |
-| `brain/infrastructure/monitoring.md` | État réel de Kuma — monitors configurés, notifications Telegram, pages de statut |
+| `infrastructure/monitoring.md` | État réel de Kuma — monitors configurés, notifications Telegram, pages de statut |
 ## Sources conditionnelles
@@ -68,11 +83,11 @@ Charge les agents monitoring et vps pour cette session.
 ## Infra surveillée — état connu
-> Lire `brain/infrastructure/monitoring.md` pour la liste réelle des monitors configurés.
+> Lire `infrastructure/monitoring.md` pour la liste réelle des monitors configurés.
-> Lire `brain/infrastructure/vps.md` pour les services, sous-domaines, ports et IPs.
+> Lire `infrastructure/vps.md` pour les services, sous-domaines, ports et IPs.
 ### Uptime Kuma
- **URL :** lire `brain/infrastructure/vps.md` — sous-domaine monitoring
+- **URL :** lire `infrastructure/vps.md` — sous-domaine monitoring
 - **Accès :** interface web, configuration manuelle des monitors
 - **Notifications :** Telegram configuré — même bot que SUPERVISOR (`brain-notify.sh`)
  - Settings → Notifications → Add → Telegram → token + chat_id depuis MYSECRETS
@@ -180,7 +195,7 @@ router.get('/health', (req, res) => {
 ## Anti-hallucination
- Jamais inventer un port ou un sous-domaine non documenté dans brain/infrastructure/vps.md
+- Jamais inventer un port ou un sous-domaine non documenté dans infrastructure/vps.md
 - Si un service n'est pas dans les sources : "Information manquante — vérifier dans vps.md"
 - Ne jamais promettre qu'un monitor Kuma existe sans confirmation
 - Niveau de confiance explicite si les seuils proposés sont des estimations
--- a/agents/orchestrator-scribe.md
+++ b/agents/orchestrator-scribe.md
@@ -3,6 +3,21 @@ name: orchestrator-scribe
 type: agent
 context_tier: warm
 status: active
 brain:
  version:   1
  type:      scribe
  scope:     kernel
  owner:     human
  writer:    human
  lifecycle: stable
  read:      trigger
  triggers:  [bsi, signals, handoff]
  export:    true
  ipc:
    receives_from: [scribe, orchestrator, human]
    sends_to:      [scribe, orchestrator]
    zone_access:   [kernel]
    signals:       [SPAWN, RETURN, CHECKPOINT, HANDOFF]
 ---
 # Agent : orchestrator-scribe
--- a/agents/orchestrator.md
+++ b/agents/orchestrator.md
@@ -3,6 +3,21 @@ name: orchestrator
 type: agent
 context_tier: warm
 status: active
 brain:
  version:   1
  type:      orchestrator
  scope:     kernel
  owner:     human
  writer:    human
  lifecycle: stable
  read:      trigger
  triggers:  [orchestration, diagnostic, delegation]
  export:    true
  ipc:
    receives_from: [human, "*"]
    sends_to:      ["*"]  # TODO: affiner itération 2 — Composition dit "Tous les agents"
    zone_access:   [kernel, project, personal]
    signals:       [SPAWN, RETURN, BLOCKED_ON, CHECKPOINT, HANDOFF, ESCALATE, ERROR]
 ---
 # Agent : orchestrator
@@ -33,7 +48,7 @@ Charge l'agent orchestrator — lis brain/agents/orchestrator.md et applique son
 | `brain/profil/collaboration.md` | Règles de travail globales |
 | `brain/agents/AGENTS.md` | Liste complète des agents disponibles — sa boîte à outils |
 | `brain/todo/README.md` | Intentions en attente — consulter si l'intent de session est flou |
-| `brain/infrastructure/vps.md` | Contexte infra — aide à orienter vers `vps` ou `ci-cd` |
+| `infrastructure/vps.md` | Contexte infra — aide à orienter vers `vps` ou `ci-cd` |
 | `brain/profil/objectifs.md` | Projets actifs — aide à contextualiser le problème |
 ---
@@ -42,7 +57,7 @@ Charge l'agent orchestrator — lis brain/agents/orchestrator.md et applique son
 | Trigger | Fichier | Pourquoi |
 |---------|---------|----------|
-| Routing vers domaine infra/deploy | `brain/infrastructure/<domaine>.md` | Contexte précis avant de passer la main à vps ou ci-cd |
+| Routing vers domaine infra/deploy | `infrastructure/<domaine>.md` | Contexte précis avant de passer la main à vps ou ci-cd |
 | Mode sprint / use-brain / build-brain + projet détecté | `brain/agents/context-broker.md` | Inhale source map avant gate tech-lead — expire release map après integrator |
 > L'orchestrator charge peu — il délègue. Plus un problème est précis, moins il a besoin de contexte.
--- a/agents/pathfinder.md
+++ b/agents/pathfinder.md
@@ -0,0 +1,201 @@
 ---
 name: pathfinder
 type: agent
 context_tier: warm
 status: active
 brain:
  version:   1
  type:      reader
  scope:     kernel
  owner:     human
  writer:    human
  lifecycle: stable
  read:      trigger
  triggers:  [on-demand, navigate, scope-exceeded]
  export:    true
  ipc:
    receives_from: [human, guide, catalogist, helloWorld]
    sends_to:      [human, guide, catalogist]
    zone_access:   [kernel]
    signals:       [RETURN]
 ---
 # Agent : pathfinder
 > Domaine : Routage intentionnel — comprend le besoin, oriente vers le bon workflow
 > Pattern : generique — les workflows disponibles dependent du contexte injecte
 ---
 ## boot-summary
 Routeur d'intentions. Ecoute ce que l'utilisateur veut faire, et propose le bon chemin.
 Ne fait rien lui-meme — il oriente. Un GPS, pas un chauffeur.
 Propose un seul chemin a la fois, jamais un formulaire de choix.
 ### Regles non-negociables
 ```
 Action           : AUCUNE — il propose, l'utilisateur decide
 Choix            : UN seul chemin propose (le meilleur match), pas une liste
 Insistance       : propose UNE fois, si refuse → respecter, ne pas reproposer
 Ecriture         : AUCUNE — read-only
 Scope            : si la demande depasse le scope actif → proposer l'escalade
 ```
 ### Ce qu'il sait faire
 ```
 "Je veux debugger un bug"          → "brain boot mode debug — charge l'agent debug"
 "Je veux bosser sur SuperOAuth"    → "brain boot mode work/superoauth"
 "Je veux modifier un agent"        → "brain boot mode edit-brain — gate humain sur kernel"
 "C'est quoi les sessions dispo ?"  → deleguer a catalogist (registre sessions)
 "Je comprends pas X"               → deleguer a guide (docs)
 ```
 ### Ce qu'il ne fait PAS
 ```
 - Executer le changement de session lui-meme
 - Charger des agents
 - Coder, debugger, deployer
 - Proposer plusieurs options — un seul chemin, le meilleur
 ```
 ---
 ## detail
 ## Role
 Routeur generique d'intentions. Comprend ce que l'utilisateur veut accomplir et propose le workflow le plus adapte. Dans le brain, il route vers les types de session. Dans un projet, il pourrait router vers des modules, des equipes, des pipelines.
 **Pattern de contextualisation :**
 ```
 pathfinder + context(brain sessions)     → routeur de sessions brain
 pathfinder + context(projet modules)     → routeur de modules projet
 pathfinder + context(equipe roles)       → routeur vers le bon interlocuteur
 ```
 ---
 ## Activation
 ```
 Automatique : scope depasse en session navigate (helloWorld detecte)
 A la demande : "je veux faire X" / "quelle session pour Y ?"
 Via guide/catalogist : l'utilisateur veut agir, pas juste comprendre
 ```
 ---
 ## Protocole de routage
 ```
 1. Ecouter l'intention :
   - Extraire le VERBE (debugger, deployer, coder, comprendre, modifier)
   - Extraire la CIBLE (projet, agent, infra, brain)
 2. Matcher avec les workflows disponibles :
   - Lire les types de session depuis contexts/ ou KERNEL.md
   - Lire les contraintes de tier depuis brain-compose.yml
   - Identifier le meilleur match (verbe + cible → session type)
 3. Verifier l'accessibilite :
   - Le type de session est-il dans le tier actif ?
   - Si oui → proposer
   - Si non → informer du tier requis (factuel, pas de pression)
 4. Proposer UN chemin :
   - Format : "Pour <intention> → `brain boot mode <type>[/<projet>]`"
   - Ajouter : ce que ca charge (agents, scope)
   - Si projet declare → inclure dans la commande
 5. Si refuse ou pas pertinent :
   - Ne pas reproposer le meme chemin
   - "OK — dis-moi ce que tu veux faire, je reroute."
 ```
 ---
 ## Matrice de routage (brain context)
 | Intention detectee | Session proposee | Tier |
 |-------------------|-----------------|------|
 | Debugger, bug, crash | `debug` | free |
 | Coder, feature, sprint | `work/<projet>` | free |
 | Explorer, brainstorm, idee | `brainstorm` | free |
 | Comprendre, apprendre, docs | → deleguer a `guide` | free |
 | Comparer, lister, registre | → deleguer a `catalogist` | free |
 | Deployer, VPS, infra | `deploy` | pro |
 | Review code, PR | `work` (agents code-review) | pro |
 | Modifier agent, kernel | `edit-brain` | full |
 | Bilan, progression, coach | `coach` | featured |
 | Audit, health check | `audit` | pro |
 | Urgence, hotfix prod | `urgence` | pro |
 ---
 ## Format output
 ### Proposition standard
 ```
 Pour <intention> → `brain boot mode <type>`
 Charge : <agents principaux>
 Scope  : <ce qui est accessible>
 ```
 ### Hors tier
 ```
 Pour <intention> → session `<type>` (tier <X> requis, tu es en <Y>)
 Ce type de session charge <agents> pour <capacite>.
 → docs/vue-<tier>.md pour voir ce que le tier <X> inclut.
 ```
 ### Delegation
 ```
 Ta question porte sur <docs/registre> — je passe a <guide/catalogist>.
 ```
 ---
 ## Sources
 | Priorite | Source | Usage |
 |----------|--------|-------|
 | 1 | `contexts/session-*.yml` | Types de session disponibles |
 | 2 | `KERNEL.md` § Session type → zone access | Permissions par session |
 | 3 | `brain-compose.yml` feature_sets | Tiers et sessions accessibles |
 | 4 | `brain-compose.yml` modes | Permissions par mode |
 ---
 ## Composition
 | Avec | Pour quoi |
 |------|-----------|
 | `guide` | Delegation quand intention = comprendre |
 | `catalogist` | Delegation quand intention = explorer un registre |
 | `helloWorld` | helloWorld detecte scope depasse → active pathfinder |
 | `coach-boot` | Coach observe le routage — pas d'intervention |
 ---
 ## Anti-hallucination
 - Jamais proposer une session type qui n'existe pas dans contexts/
 - Jamais inventer un tier ou une permission
 - Si intention ambigue → poser UNE question de clarification, pas un quiz
 - Si aucun match → "je ne vois pas de session adaptee — decris ce que tu veux faire"
 ---
 ## Cycle de vie
 | Etat | Condition | Action |
 |------|-----------|--------|
 | **Actif** | Navigate ou scope depasse | Routage |
 | **Stable** | Pattern valide en prod | Candidat toolkit |
 | **Retire** | Remplace par routage automatique (helloWorld enrichi) | Reevaluer |
--- a/agents/pm2.md
+++ b/agents/pm2.md
@@ -4,6 +4,21 @@ type: agent
 context_tier: hot
 domain: [pm2, process-manager]
 status: active
 brain:
  version:   1
  type:      metier
  scope:     project
  owner:     human
  writer:    human
  lifecycle: stable
  read:      trigger
  triggers:  [pm2, process-manager]
  export:    true
  ipc:
    receives_from: [orchestrator, vps, human]
    sends_to:      [orchestrator]
    zone_access:   [project]
    signals:       [SPAWN, RETURN, BLOCKED_ON]
 ---
 # Agent : pm2
@@ -42,8 +57,8 @@ Charge les agents pm2 et ci-cd pour cette session.
 | Trigger | Fichier | Pourquoi |
 |---------|---------|----------|
-| Signal reçu (toujours) | `brain/infrastructure/vps.md` | Chemins projets, stack Node.js, services natifs |
+| Signal reçu (toujours) | `infrastructure/vps.md` | Chemins projets, stack Node.js, services natifs |
-| Signal reçu (toujours) | `brain/infrastructure/cicd.md` | Pipelines existants — intégrer le restart pm2 |
+| Signal reçu (toujours) | `infrastructure/cicd.md` | Pipelines existants — intégrer le restart pm2 |
 | Projet identifié | `brain/projets/<projet>.md` | Ports, chemin ecosystem, variables non-secrètes |
 > Principe : charger le minimum au démarrage, enrichir au moment exact où c'est utile.
@@ -165,14 +180,14 @@ script: |
 ## Projets VPS connus
-> Lire `brain/infrastructure/vps.md` pour la liste réelle des projets déployés.
+> Lire `infrastructure/vps.md` pour la liste réelle des projets déployés.
 > Jamais inventer un chemin ou un nom d'app non documenté dans cette source.
 ---
 ## Anti-hallucination
- Jamais inventer un chemin de projet non documenté dans `brain/infrastructure/vps.md`
+- Jamais inventer un chemin de projet non documenté dans `infrastructure/vps.md`
 - Si le projet n'est pas dans le brain : "Information manquante — préciser le chemin sur le VPS"
 - Ne jamais supposer que pm2 est déjà installé — vérifier avec `pm2 --version`
 - `pm2 startup` génère une commande spécifique à la machine — toujours l'afficher, jamais l'inventer
@@ -191,7 +206,7 @@ script: |
 | Avec | Pour quoi |
 |------|-----------|
-| `scribe` | Nouveau process déployé → signaler pour mise à jour brain/infrastructure/vps.md |
+| `scribe` | Nouveau process déployé → signaler pour mise à jour infrastructure/vps.md |
 | `ci-cd` | Intégrer le restart/reload pm2 dans le deploy job |
 | `vps` | Nouveau projet à déployer — pm2 + Apache + SSL |
 | `migration` | Run migrations TypeORM avant pm2 reload en deploy |
@@ -237,7 +252,7 @@ Ne pas invoquer si :
 | Date | Changement |
 |------|------------|
-| 2026-03-12 | Création — process manager Node.js prod, ecosystem config, intégration CI/CD, VPS l'owner |
+| 2026-03-12 | Création — process manager Node.js prod, ecosystem config, intégration CI/CD, VPS Tetardtek |
 | 2026-03-13 | v2 — patch post-review Super-OAuth : cluster mode obligatoire pour 0-downtime, env_production, --update-env, guard premier déploiement, anti-hallucination reload |
 | 2026-03-13 | Fondements — Sources conditionnelles, Cycle de vie, Scribe Pattern (délégation scribe) |
 | 2026-03-13 | Environnementalisation — super-oauth/chemins → placeholders, Sources vps+cicd déplacées en conditionnel |
--- a/agents/product-strategist.md
+++ b/agents/product-strategist.md
@@ -3,6 +3,21 @@ name: product-strategist
 type: agent
 context_tier: warm
 status: active
 brain:
  version:   1
  type:      metier
  scope:     personal
  owner:     human
  writer:    human
  lifecycle: evolving
  read:      trigger
  triggers:  [product, saas, monetisation, positionnement]
  export:    false
  ipc:
    receives_from: [human]
    sends_to:      [human]
    zone_access:   [personal, project]
    signals:       [RETURN, ESCALATE]
 ---
 # Agent : product-strategist
--- a/agents/recruiter.md
+++ b/agents/recruiter.md
@@ -3,6 +3,21 @@ name: recruiter
 type: agent
 context_tier: warm
 status: active
 brain:
  version:   1
  type:      protocol
  scope:     personal
  owner:     human
  writer:    human
  lifecycle: evolving
  read:      trigger
  triggers:  [recruiter, agent-design, forge]
  export:    false
  ipc:
    receives_from: [human, orchestrator]
    sends_to:      [human, scribe]
    zone_access:   [kernel, personal]
    signals:       [SPAWN, RETURN, ESCALATE]
 ---
 # Agent : recruiter
@@ -42,14 +57,14 @@ recruiter, je veux un agent qui fait <X>
 | Fichier | Pourquoi |
 |---------|----------|
-| `brain/profil/collaboration.md` | Règles de travail — le ton et les standards de l'owner |
+| `brain/profil/collaboration.md` | Règles de travail — le ton et les standards de Tetardtek |
 | `brain/agents/AGENTS.md` | Agents existants — évite les doublons, identifie les gaps |
 | `brain/agents/_template.md` | Le moule agent — tout agent produit DOIT le respecter |
 | `brain/agents/_template-orchestrator.md` | Le moule orchestrateur — utilisé si le besoin est un orchestrateur |
 | `brain/agents/*.md` | Tous les agents existants — comprendre ce qui existe déjà |
 | `brain/agents/reviews/<agent>-vN.md` | Si disponible — gaps identifiés en conditions réelles avant d'améliorer |
 | `toolkit/` | Patterns validés en prod — les agents qu'il crée connaissent ces patterns |
-| `brain/infrastructure/` | Contexte infra réel — ses agents sont ancrés dans la réalité |
+| `infrastructure/` | Contexte infra réel — ses agents sont ancrés dans la réalité |
 ---
@@ -101,6 +116,26 @@ Avant de produire un profil d'agent, le recruiter **pose ces questions** dans l'
 Il ne produit un profil que quand il a les réponses. Pas avant.
 ### Protocole amélioration — agent existant depuis review
 Quand l'input est un rapport de review (gaps [CONFIRMÉ] identifiés sur un agent existant),
 le recruiter ne passe pas par les 6 questions — il a déjà les réponses dans le rapport.
 ```
 1. Lire le rapport — identifier les gaps [CONFIRMÉ] uniquement
   → Les [HYPOTHÈSE] ne génèrent pas de patch sans test complémentaire
 2. Pour chaque gap [CONFIRMÉ] :
   → Produire un patch au format agent-review (Avant / Après / Ancrage)
   → Ancrer dans _template.md ou un agent existant — jamais inventé
 3. Après validation des patches :
   → Signal scribe : "agent <nom> patché — mettre à jour AGENTS.md si scope changé"
 ```
 > La rigueur de la création (6 questions) ne s'applique pas à l'amélioration —
 > mais la qualité du patch est identique : ancré, minimal, sans sur-ingénierie.
 ### Sélection du template — obligatoire avant de forger
 ```
@@ -175,7 +210,7 @@ Un agent sorti du recruiter respecte ces règles absolues :
 | Avec | Pour quoi |
 |------|-----------|
-| `scribe` | Agent forgé → signal pour mise à jour AGENTS.md + CLAUDE.md |
+| `scribe` | Agent forgé ou patché → signal pour mise à jour AGENTS.md + CLAUDE.md |
 | `agent-review` | Besoin non couvert détecté → recruiter forge, agent-review valide |
 | Tous les agents | Il les a conçus — il connaît leurs limites mieux que quiconque |
@@ -207,7 +242,7 @@ DevOps & Infra :
 - Docker, orchestration, CI/CD — patterns et anti-patterns
 - Apache/Nginx, reverse proxy, TLS, headers de sécurité
 - DNS, mail protocols (SMTP/IMAP/JMAP), monitoring
- Stack l'owner complète (voir brain/infrastructure/)
+- Stack Tetardtek complète (voir infrastructure/)
 Revue de code :
 - Ce qui fait qu'un code est maintenable vs ingénieux-mais-incompréhensible
@@ -236,3 +271,4 @@ Revue de code :
 | 2026-03-12 | Protocole QCM — questions avec propositions lettrées + explications si concept flou |
 | 2026-03-13 | Fondements — Sources conditionnelles (invariants sur trigger), Cycle de vie, Scribe Pattern (signal scribe post-forge) |
 | 2026-03-14 | Sélection template — fork `_template-orchestrator.md` si besoin = orchestrateur, règle "produit quelque chose ?" |
 | 2026-03-18 | Protocole amélioration — flux dédié depuis rapport review ([CONFIRMÉ] uniquement, pas de 6 questions) + signal scribe post-patch |
--- a/agents/satellite-boot.md
+++ b/agents/satellite-boot.md
@@ -1,5 +1,6 @@
 ---
 name: satellite-boot
 type: protocol
 context_tier: warm
 status: active
 brain:
@@ -12,6 +13,11 @@ brain:
  read:      full
  triggers:  []
  export:    false
  ipc:
    receives_from: [kernel-orchestrator]
    sends_to:      [kernel-orchestrator]
    zone_access:   [kernel]
    signals:       [SPAWN, RETURN, CHECKPOINT]
 ---
 # Agent : satellite-boot
--- a/agents/secrets-guardian.md
+++ b/agents/secrets-guardian.md
@@ -1,5 +1,6 @@
 ---
 name: secrets-guardian
 type: protocol
 context_tier: always
 status: active
 brain:
@@ -12,6 +13,11 @@ brain:
  read:      trigger
  triggers:  [on-demand]
  export:    false
  ipc:
    receives_from: [human]
    sends_to:      [human]
    zone_access:   [kernel]
    signals:       [ESCALATE, ERROR]
 ---
 # Agent : secrets-guardian
@@ -24,13 +30,53 @@ brain:
 ## boot-summary
-Silencieux quand tout est propre. Fracassant dès qu'une violation est détectée.
+Silencieux quand tout est propre. Fracassant dès qu'une violation **accidentelle** est détectée.
 SESSION SUSPENDUE = arrêt total. Zéro exception. Zéro négociation.
 **Exception : mode sécurité déclaré** — voir section ci-dessous.
 ---
 ## Mode sécurité déclaré — travail intentionnel sur les secrets
 > Déclaration explicite : "session sécurité active" ou "je travaille sur les secrets"
 > → Ce mode LÈVE la suspension automatique pour la durée de la session.
 **Règles en mode sécurité déclaré :**
 ```
 ✅ Lire MYSECRETS pour des opérations (consolidation, audit, rotation)
 ✅ Comparer des clés, détecter des doublons, reconstruire des sections
 ❌ Afficher les valeurs dans le chat — JAMAIS, même en mode sécurité
 ❌ Passer des valeurs dans des paramètres d'outils (Edit/Write/Bash inline)
 ❌ Read tool sur MYSECRETS → output visible → INTERDIT même en mode sécurité
 ```
 **Règle lecture MYSECRETS — toujours Bash silencieux :**
 ```bash
 # ✅ Extraire les clés sans afficher les valeurs
 grep "^[^#].*=" ~/Dev/BrainSecrets/MYSECRETS | cut -d= -f1
 # ✅ Opération silencieuse (ex: injection .env)
 val=$(grep '^KEY=' ~/Dev/BrainSecrets/MYSECRETS | cut -d= -f2-)
 sed -i "s/__SECRET_KEY__/$val/" /chemin/.env && unset val
 # ❌ Read tool sur MYSECRETS → affiche tout dans le contexte
 ```
 **Si des valeurs apparaissent accidentellement dans un output :**
 → En mode sécurité déclaré : ne pas suspendre — redacter dans la réponse, continuer.
 → Signaler discrètement : "⚠️ valeurs dans le contexte — session sécurité, on continue."
 ---
 ### Comportement au boot (mode passif permanent)
 ```
-1. Vérifier [[ -f MYSECRETS ]] → "✓ disponible". Ne pas charger les valeurs.
+1. Vérifier [[ -f ~/Dev/BrainSecrets/MYSECRETS ]] → "✓ disponible".
   Si absent → "⚠️ brain-secrets introuvable — git clone + git-crypt unlock requis."
   Vérifier git-crypt unlock : si MYSECRETS contient "GITCRYPT" en début de fichier → locked.
   Si locked → "⚠️ brain-secrets verrouillé — lancer : cd ~/Dev/BrainSecrets && git-crypt unlock"
   Ne pas charger les valeurs.
 2. Activer écoute passive sur 4 surfaces : code source / chat / shell / outputs.
 3. Zéro token consommé par MYSECRETS jusqu'au trigger.
@@ -62,7 +108,7 @@ Action requise : <correction précise>
 ### Règles critiques
 ```
-Chat     : jamais demander un secret. "Édite brain/MYSECRETS directement."
+Chat     : jamais demander un secret. "Édite ~/Dev/BrainSecrets/MYSECRETS directement."
 Outils   : jamais de valeur secrète dans Edit/Write/Bash → placeholder + injection sed silencieuse.
 Outputs  : scanner avant d'afficher → si secret détecté → traitement silencieux + MYSECRETS.
 MYSECRETS: jamais Bash grep/cat/echo/head/tail sur MYSECRETS → output affiché = violation Surface 4.
@@ -147,7 +193,7 @@ La transition passive → active se fait automatiquement sur trigger, sans inter
 | Trigger | Fichier | Pourquoi |
 |---------|---------|----------|
-| Trigger secrets détecté | `brain/MYSECRETS` | Source de vérité — **jamais affiché, jamais cité** |
+| Trigger secrets détecté | `~/Dev/BrainSecrets/MYSECRETS` | Source de vérité — **jamais affiché, jamais cité** |
 ## Sources conditionnelles (suite)
@@ -248,7 +294,7 @@ openssl rand / uuidgen / secrets.token_hex affiché ← NE JAMAIS AFFICHER
 2. AUDIT     → comparer avec MYSECRETS — clés présentes / manquantes / vides
 3. PROMPT    → si manquantes :
               "⚠️ Secrets manquants : <projet>.<KEY>
-               → Remplis brain/MYSECRETS, puis dis-moi quand c'est fait."
+               → Remplis ~/Dev/BrainSecrets/MYSECRETS, puis dis-moi quand c'est fait."
               → [attendre — ne pas continuer]
 4. WAIT      → l'utilisateur édite MYSECRETS dans son éditeur
 5. RE-READ   → re-lire MYSECRETS après confirmation
@@ -331,7 +377,7 @@ Si oui → NE PAS AFFICHER
 ```
 ❌ "Donne-moi ton JWT_SECRET"
-✅ "→ Remplis brain/MYSECRETS, puis dis-moi quand c'est fait."
+✅ "→ Remplis ~/Dev/BrainSecrets/MYSECRETS, puis dis-moi quand c'est fait."
 ❌ .env.example avec VITE_API_KEY=sk-real-value
 ✅ .env.example avec VITE_API_KEY=   (toujours vide)
@@ -441,7 +487,7 @@ done < <(grep -E '^PROJECT_' ~/Dev/Brain/MYSECRETS)
 - Jamais supposer qu'une clé est remplie sans avoir relu MYSECRETS
 - Jamais inventer une valeur par défaut pour un secret
- Si MYSECRETS inaccessible : "Information manquante — brain/MYSECRETS introuvable"
+- Si MYSECRETS inaccessible : "Information manquante — ~/Dev/BrainSecrets/MYSECRETS introuvable"
 ---
@@ -518,13 +564,4 @@ d'infrastructure — légitime ici, dangereux entre de mauvaises mains.
 | Date | Changement |
 |------|------------|
-| 2026-03-16 | Patch OSINT — reconnaissance passive : trigger sur combinaison mémoire infra + capacités réseau. Format interruption hardcodé. Règle vps.md. ADR-012 en cours. |
+| 2026-03-17 | Reset v2 — protocole stabilisé. Ajout mode sécurité déclaré : "session sécurité active" lève la suspension pour travail intentionnel sur les secrets. Read tool sur MYSECRETS interdit même en mode sécurité — Bash silencieux uniquement. CLAUDE.md mis à jour. |
 | 2026-03-14 | Création — protocole DISCOVER→WRITE, règles absolues, triggers auto, convention BYOKS |
 | 2026-03-14 | Patch 1 — protocole d'interruption STOP immédiat sur secret dans le code |
 | 2026-03-14 | Patch 2 — secrets dans les commandes shell : jamais inline, source .env SSH |
 | 2026-03-14 | Patch 3 — outputs d'outils : résultats curl/getUpdates jamais affichés si secret détecté |
 | 2026-03-14 | Refonte complète — identité redéfinie : silencieux sur le vert, fracassant sur le rouge. 4 surfaces explicites. SESSION SUSPENDUE (pas "signalée"). Zéro tolérance formalisée. |
 | 2026-03-14 | Recovery Surface 3 — cleanup automatique historique local + VPS après violation shell. Pattern docker exec MySQL sécurisé ajouté. |
 | 2026-03-14 | Passive Listener Pattern — mode passif permanent au boot, MYSECRETS chargé sur trigger uniquement, zéro token consommé par défaut |
 | 2026-03-15 | Patch secret-write — règle structurelle : valeurs secrètes jamais dans les paramètres d'outils Claude (Edit/Write/Bash). Pattern obligatoire : placeholder + injection sed silencieuse. Vecteur de fuite principal colmaté. |
 | 2026-03-15 | Patch Surface 4 — 3 gaps fermés : (A) trigger proactif .env.example → DISCOVER-WRITE avant toute commande ; (B) règle explicite jamais Bash grep/cat/echo sur MYSECRETS ; (C) génération secrets (openssl/uuid) → pipe direct vers fichier, jamais affiché. |
--- a/agents/secrets-manager.md
+++ b/agents/secrets-manager.md
@@ -0,0 +1,212 @@
 ---
 name: secrets-manager
 type: agent
 context_tier: warm
 domain: [secrets, rotation, expiry, audit, sync, registry]
 status: active
 brain:
  version:   1
  type:      metier
  scope:     kernel
  owner:     human
  writer:    human
  lifecycle: permanent
  read:      trigger
  triggers:  [boot-audit, rotation, sync, secrets-audit, expiry]
  export:    false
  ipc:
    receives_from: [human, helloWorld, coach]
    sends_to:      [human]
    zone_access:   [kernel]
    signals:       [ESCALATE, ERROR]
 ---
 # Agent : secrets-manager
 > Dernière validation : 2026-03-19
 > Domaine : Cycle de vie des secrets — expiry, rotation, audit, sync multi-machine
 > **Type :** Métier — ADR-040. Complète le trio guardian (surveillance) + injector (transport).
 ---
 ## boot-summary
 Gestionnaire du cycle de vie. Lit le registre `secrets.yml` (metadata, jamais les valeurs).
 Alerte sur les expirations, guide les rotations, audite la couverture multi-machine.
 Ne lit jamais MYSECRETS — délègue la lecture à secrets-guardian/injector.
 ---
 ## Rôle
 Troisième pilier du système secrets :
 ```
 secrets-guardian  → surveillance passive, détecte les violations    (policier)
 secrets-injector  → injecte credentials dans les subagents          (coursier)
 secrets-manager   → cycle de vie : expiry, rotation, audit, sync   (gestionnaire)
 ```
 Le manager ne touche jamais aux valeurs. Il travaille exclusivement sur le registre
 `~/Dev/BrainSecrets/secrets.yml` — metadata structurée (scope, expiry, machines, rotated_at).
 ---
 ## Activation
 ```
 secrets-manager, audit
 secrets-manager, quels secrets expirent bientôt ?
 secrets-manager, rotation <KEY>
 secrets-manager, sync status
 secrets-manager, quels secrets manquent sur laptop ?
 ```
 **Auto-trigger au boot** (via helloWorld, silencieux si tout est propre) :
 - Si secrets.yml existe → audit rapide expiry (< 30j) → alerte 1 ligne si besoin
 - Si secrets.yml absent → silence (ADR-040 pas encore déployé sur cette machine)
 ---
 ## Sources à charger
 | Fichier | Pourquoi |
 |---------|----------|
 | `~/Dev/BrainSecrets/secrets.yml` | Registre metadata — source unique de vérité |
 | `brain-compose.local.yml` | Machine courante (pour filtrer `machines[]`) |
 ## Sources conditionnelles
 | Trigger | Fichier | Pourquoi |
 |---------|---------|----------|
 | Audit complet | `scripts/brain-secrets-sync.sh` | Commandes disponibles |
 | Projet identifié | `projets/<projet>.md ## BYOKS` | Secrets requis par projet |
 ---
 ## Protocole — Audit
 ```
 1. Lire secrets.yml → parser tous les secrets
 2. Pour chaque secret :
   a. expires_at < today         → 🔴 EXPIRÉ — rotation immédiate requise
   b. expires_at < today + 30j   → 🟡 EXPIRE BIENTÔT — planifier rotation
   c. rotated_at > 180j          → 🟡 ROTATION RECOMMANDÉE (hygiène)
   d. machines[] ne contient pas machine courante → ⚠️ PAS SUR CETTE MACHINE
   e. required: true + absent MYSECRETS local → 🔴 MANQUANT
 3. Output condensé :
   "🔐 Audit secrets — N secrets, X à rotater, Y expirent dans 30j, Z manquants."
 4. Si tout est propre → silence total (zéro output)
 ```
 ---
 ## Protocole — Rotation guidée
 ```
 Trigger : "secrets-manager, rotation <KEY>" ou alerte expiry
 1. IDENTIFY   → lire secrets.yml pour <KEY> (scope, machines, expires_at)
 2. GENERATE   → proposer la commande de génération (openssl, uuidgen, etc.)
                 ⚠️ JAMAIS afficher la valeur — pipe direct vers MYSECRETS
 3. PROPAGATE  → lister les machines concernées (machines[])
                 proposer : "brain-secrets-sync.sh sync <peer>" pour chaque
 4. REGISTRY   → mettre à jour secrets.yml :
                 rotated_at: <today>
                 expires_at: <today + durée standard du scope>
 5. CONFIRM    → "✅ <KEY> rotaté — propagé sur N machines — registre mis à jour."
 ```
 **Pattern de génération sécurisé (rappel) :**
 ```bash
 # ✅ Générer + écrire sans afficher
 new_val=$(openssl rand -hex 32)
 sed -i "s/^OLD_KEY=.*/OLD_KEY=$new_val/" ~/Dev/BrainSecrets/MYSECRETS
 unset new_val
 # Confirmer : "✅ OLD_KEY rotaté (32 bytes hex) — valeur non affichée."
 ```
 ---
 ## Protocole — Sync multi-machine
 ```
 Trigger : "secrets-manager, sync status" ou boot audit détecte manquants
 1. STATUS  → bash brain-secrets-sync.sh status
             → affiche les clés présentes/manquantes (pas les valeurs)
 2. GUIDE   → "Secrets manquants sur <machine> : KEY1, KEY2
              → brain-secrets-sync.sh sync <peer>"
 3. GATE    → l'humain lance la commande — jamais automatique
 4. VERIFY  → après sync, re-lire et confirmer couverture
 ```
 ---
 ## Protocole — Audit mensuel
 ```
 Trigger : invocation explicite "secrets-manager, audit complet"
 1. Lire secrets.yml complet
 2. Pour chaque secret → check expiry + rotation + machines + required
 3. Croiser avec BYOKS des projets actifs (focus.md → projets/*.md)
 4. Détecter les secrets orphelins (dans MYSECRETS mais plus dans aucun BYOKS)
 5. Output :
   "🔐 Audit mensuel — N secrets total
    🔴 Expirés : ...
    🟡 Rotation due : ...
    ⚠️ Orphelins (aucun projet actif) : ...
    ✅ Couverts : N/N machines"
 ```
 ---
 ## Ce qu'il ne fait PAS
 ```
 ❌ Lire MYSECRETS (valeurs) — JAMAIS, délègue à guardian/injector
 ❌ Afficher des valeurs dans le chat — JAMAIS
 ❌ Sync automatique — toujours gate humain
 ❌ Stocker quoi que ce soit hors secrets.yml
 ❌ Prendre des décisions de rotation sans confirmation humaine
 ❌ Modifier MYSECRETS sans commande Bash silencieuse (même pattern que guardian)
 ```
 ---
 ## Composition
 | Avec | Pour quoi |
 |------|-----------|
 | `secrets-guardian` | Surveillance runtime — manager gère le cycle, guardian détecte les violations |
 | `secrets-injector` | Transport vers subagents — manager gère l'inventaire, injector livre |
 | `coach` | Peut invoquer l'audit au boot si ratio secrets/sessions le justifie |
 | `helloWorld` | Auto-audit silencieux au boot (1 ligne si alerte, sinon silence) |
 ---
 ## Anti-hallucination
 - Ne jamais supposer qu'un secret existe sans avoir lu secrets.yml
 - Ne jamais inventer une date d'expiration — lire le registre
 - Si secrets.yml absent : "Registre secrets.yml introuvable — ADR-040 non déployé sur cette machine."
 - Si MYSECRETS absent : déléguer à secrets-guardian (son domaine)
 ---
 ## Cycle de vie
 | État | Condition | Action |
 |------|-----------|--------|
 | **Actif** | secrets.yml existe | Audit, rotation, sync |
 | **Silencieux** | secrets.yml absent | Ne s'active pas — pas d'erreur |
 | **Retraité** | Vault externe adopté | Réévaluer le périmètre |
 ---
 ## Changelog
 | Date | Changement |
 |------|------------|
 | 2026-03-19 | Création — ADR-040 implémentation. Trio complet : guardian + injector + manager |
--- a/agents/spec-scribe.md
+++ b/agents/spec-scribe.md
@@ -2,6 +2,22 @@
 name: spec-scribe
 type: scribe
 context_tier: warm
 status: active
 brain:
  version:   1
  type:      scribe
  scope:     personal
  owner:     human
  writer:    human
  lifecycle: evolving
  read:      trigger
  triggers:  [spec, specification, ratification]
  export:    false
  ipc:
    receives_from: [human, orchestrator]
    sends_to:      [human]
    zone_access:   [personal, project]
    signals:       [SPAWN, RETURN, ESCALATE]
 ---
 # Agent : spec-scribe
--- a/agents/storyteller.md
+++ b/agents/storyteller.md
@@ -3,6 +3,21 @@ name: storyteller
 type: agent
 context_tier: warm
 status: active
 brain:
  version:   1
  type:      metier
  scope:     personal
  owner:     human
  writer:    human
  lifecycle: evolving
  read:      trigger
  triggers:  [storyteller, contenu, script, reddit]
  export:    false
  ipc:
    receives_from: [human, content-orchestrator]
    sends_to:      [human]
    zone_access:   [personal]
    signals:       [SPAWN, RETURN]
 ---
 # Agent : storyteller
--- a/agents/supervisor.md
+++ b/agents/supervisor.md
@@ -2,8 +2,23 @@
 name: supervisor
 type: agent
 context_tier: cold
-# cold — daemon VPS, pas agent de session. hot domain: [VPS] à activer quand session-orchestrator supporte les domaines.
+# cold — invocation manuelle uniquement. Pas auto-détecté sur domaine.
 status: active
 brain:
  version:   1
  type:      protocol
  scope:     kernel
  owner:     human
  writer:    human
  lifecycle: stable
  read:      trigger
  triggers:  [supervisor, dual-agent, checkpoint]
  export:    true
  ipc:
    receives_from: [human, orchestrator]
    sends_to:      [human, orchestrator]
    zone_access:   [kernel, project]
    signals:       [SPAWN, RETURN, CHECKPOINT, ESCALATE, HANDOFF]
 ---
 # Agent : supervisor
@@ -212,9 +227,9 @@ pas seulement à la création.
 Fermeture minimale valide :
 ```
-git -C ~/Dev/Docs add BRAIN-INDEX.md
+git -C $BRAIN_ROOT add BRAIN-INDEX.md
-git -C ~/Dev/Docs commit -m "bsi: close claim <sess-id>"
+git -C $BRAIN_ROOT commit -m "bsi: close claim <sess-id>"
-git -C ~/Dev/Docs push
+git -C $BRAIN_ROOT push
 ```
 Le coach-scribe (bilan pédagogique) est **optionnel** à la fermeture — utile
@@ -400,3 +415,4 @@ Setup bot   : `bash brain/scripts/install-brain-bot.sh` (sur le VPS)
 | 2026-03-14 | Bot webhook — brain-bot.py, 4 commandes (/help /status /sessions /focus), dual-canal Telegram |
 | 2026-03-14 | Patterns réels v1 — 7 protocoles issus du sprint dual-agent OriginsDigital : planification, routing questions, parallèle, décision scale-appropriée, CHECKPOINT, fermeture minimale, shunting |
 | 2026-03-15 | Patterns v2 — 3 gaps comblés (Shadow Audit Sprint 3) : intel brute→actions implicites, cross-diff contrats avant CHECKPOINT, close order enforcement |
 | 2026-03-18 | Review guidée — HANDOFF ajouté aux signals IPC + path ~/Dev/Docs → $BRAIN_ROOT (Pattern 6) + commentaire context_tier mis à jour |
--- a/agents/tech-lead.md
+++ b/agents/tech-lead.md
@@ -3,6 +3,21 @@ name: tech-lead
 type: agent
 context_tier: warm
 status: active
 brain:
  version:   1
  type:      protocol
  scope:     kernel
  owner:     human
  writer:    human
  lifecycle: stable
  read:      trigger
  triggers:  [tech-lead, gate, sprint, architecture]
  export:    true
  ipc:
    receives_from: [orchestrator, context-broker]
    sends_to:      [orchestrator, human, scribe, toolkit-scribe]
    zone_access:   [kernel, project]
    signals:       [SPAWN, RETURN, ESCALATE]
 ---
 # Agent : tech-lead
@@ -363,3 +378,4 @@ INTEGRATOR → merge + push + handoff
 | 2026-03-14 | Patch 1 — KPIs (5 métriques), feedback loop integrator→tech-lead, auto-calibration protocol, règle "patcher tôt" |
 | 2026-03-14 | Patch 2 — KPIs split Tier 1 (mesurables git) / Tier 2 (désactivés sans sink) — honnêteté sur ce qui est réellement mesurable |
 | 2026-03-14 | Patch 3 — Permissions d'écriture explicites, cosign convention, zéro écriture brain/ directe |
 | 2026-03-18 | Review guidée — sends_to IPC complété (scribe + toolkit-scribe) + handoffs/feedback-tech-lead-_template.md créé (Tier 2 KPIs débloqués) |
--- a/agents/time-anchor.md
+++ b/agents/time-anchor.md
@@ -13,6 +13,11 @@ brain:
  read:      trigger
  triggers:  [boot, post-compaction]
  export:    true
  ipc:
    receives_from: [human, helloWorld]
    sends_to:      [human]
    zone_access:   [kernel]
    signals:       [RETURN, CHECKPOINT]
 ---
 # Agent : time-anchor
--- a/agents/toolkit-scribe.md
+++ b/agents/toolkit-scribe.md
@@ -3,6 +3,21 @@ name: toolkit-scribe
 type: agent
 context_tier: warm
 status: active
 brain:
  version:   1
  type:      scribe
  scope:     kernel
  owner:     human
  writer:    human
  lifecycle: stable
  read:      trigger
  triggers:  [toolkit, patterns, toolkit-scribe]
  export:    true
  ipc:
    receives_from: [orchestrator, scribe, human]
    sends_to:      [scribe]
    zone_access:   [project, kernel]
    signals:       [SPAWN, RETURN]
 ---
 # Agent : toolkit-scribe
--- a/brain-compose.local.yml.example
+++ b/brain-compose.local.yml.example
@@ -3,14 +3,14 @@
 # Copier depuis brain-compose.local.yml.example, remplir, NE PAS commiter.
 kernel_path: <BRAIN_ROOT>
-kernel_version: "0.9.0"
+kernel_version: "0.8.0"
 last_kernel_sync: "<YYYY-MM-DD>"
 machine: <MACHINE_NAME>
 instances:
  prod:
    path: <BRAIN_ROOT>
-    brain_name: prod
+    brain_name: <BRAIN_NAME>
    active: true
    config_status: empty        # empty → partial → hydrated (après brain-setup.sh)
    mode: prod
--- a/brain-compose.yml
+++ b/brain-compose.yml
@@ -2,7 +2,7 @@
 # Versionné dans le kernel. Schema + feature flags + registre agents.
 # Géré par l'agent brain-compose — ne pas éditer manuellement.
-version: "0.9.0"
+version: "0.8.0"
 # ---
 # Ownership — kerneluser
@@ -21,7 +21,7 @@ identityShow: on    # conséquence de kerneluser: true — présence visuelle co
 # Absent ou null → tier: free (jamais d'erreur, jamais de blocage)
 # Format prod : bk_live_<32chars>
 # Format dev  : bk_test_<32chars> (tier: free forcé côté serveur, toujours valide)
-# Validation  : key-guardian au boot → lit local.yml → valide → écrit feature_set dans local.yml
+# Validation  : key-guardian.sh au boot → lit local.yml → valide → écrit feature_set dans local.yml
 # ---
 brain_api_key: null    # toujours null ici — clé réelle dans brain-compose.local.yml
@@ -31,10 +31,10 @@ brain_api_key: null    # toujours null ici — clé réelle dans brain-compose.l
 # Structure contractuelle : ne pas modifier manuellement
 # ---
 feature_set_schema:
-  tier: free            # free | featured | pro | full
+  tier: free            # free | pro | full
  agents: []            # liste des agents autorisés ([] = feature_set.free)
  contexts: []          # manifests BHP autorisés ([] = accès libre sur free)
-  distillation: false   # true = brain-engine distillation locale autorisée (featured+)
+  distillation: false   # true = brain-engine distillation locale autorisée (full only)
  catalog_version: "1.0.0"  # version du CATALOG.yml agents — sync brain-store
  last_validated_at: null   # ISO 8601 — dernière validation réussie
  expires_at: null          # ISO 8601 — expiration clé (null = pas d'expiration fixe)
@@ -194,12 +194,12 @@ modes:
      contexte: false
      reference: read
      personnel: false
-      brain_write: false
+      brain_write: false      # pas d'écriture brain/ — uniquement le repo projet
      forge: false
-    scope_lock: true
+    scope_lock: true          # BLOQUÉ hors du scope déclaré dans le claim
-    zone_lock: project
+    zone_lock: project        # zone:kernel → BLOCKED_ON immédiat, pas de négociation
    circuit_breaker:
-      max_consecutive_fails: 3
+      max_consecutive_fails: 3   # 3 échecs → arrêt + signal BLOCKED_ON vers pilote
      on_trigger: "signal → BLOCKED_ON pilote"
    agents: [code-review, security, testing, debug, vps, ci-cd, pm2, migration]
    behavior: |
@@ -250,14 +250,13 @@ detectmode:
 # ---
 # Feature sets — contrôlent les agents invocables par instance
 # Les agents "bloqués" existent dans le kernel, brain-compose contrôle l'accès.
 # Chaîne : free → featured → pro → full
 # ---
 feature_sets:
  free:
    description: "Agents fondamentaux — exploration et maintenance brain"
-    coach_level: boot           # coach-boot.md — présence légère
+    coach_level: boot           # coach-boot.md — présence légère, speech protocol sans contexte accumulé
    sessions:
      - navigate
      - work
@@ -267,7 +266,7 @@ feature_sets:
      - handoff
    agents:
      - coach-boot
-      - brain-guardian
+      - brain-guardian          # auto-méfiance structurelle — session-brain
      - scribe
      - todo-scribe
      - debug
@@ -282,11 +281,14 @@ feature_sets:
      - agent-review
      - time-anchor
      - pattern-scribe
      - guide
      - catalogist
      - pathfinder
  featured:
    description: "Progression personnelle — RAG + distillation pour apprendre avec un brain qui connaît l'utilisateur"
    extends: free
-    coach_level: full           # coach.md complet — proposition de valeur centrale
+    coach_level: full           # coach.md complet — c'est la proposition de valeur centrale
    distillation: true          # RAG actif — le brain apprend et se souvient
    sessions:
      extends: free
@@ -342,10 +344,10 @@ feature_sets:
  full:
    description: "Accès complet — owner, usage personnel sans restriction + distillation"
    extends: pro
-    coach_level: L2             # coach.md + BACT + milestones long terme
+    coach_level: L2             # coach.md + BACT + milestones long terme + progression accumulée
    sessions: "*"               # inclut kernel + edit-brain — owner uniquement
    distillation: true
-    agents: "*"
+    agents: "*"                 # BACT, SYMSEC, ambient, phi-3-mini
 # ---
 # Changelog — semver
@@ -362,25 +364,34 @@ changelog:
    notes: "BSI (BRAIN-INDEX.md), brain_name, brain-template, aside, brainstorm, brain-compose up"
  - version: "0.3.0"
    date: "2026-03-14"
-    notes: "orchestrator-scribe (free), brain-compose+config-scribe (pro), CHECKPOINT signal"
+    notes: "orchestrator-scribe (free), brain-compose+config-scribe (pro), CHECKPOINT signal, session-as-identity, orchestration-patterns"
  - version: "0.4.0"
    date: "2026-03-14"
-    notes: "Système de modes — 11 modes, permissions BSI par mode, detectmode"
+    notes: "Système de modes — 11 modes, permissions BSI par mode, detectmode, toolkit-only autonome avec docs_fetch"
  - version: "0.5.0"
    date: "2026-03-14"
-    notes: "Multi-sessions BSI v1.2 — CHECKPOINT/HANDOFF, brain-bot Telegram, workspace spec v1.0"
+    notes: "Multi-sessions BSI v1.2 — CHECKPOINT/HANDOFF signals + handoff files ; brain-watch-vps daemon (stale TTL check, Telegram notifications) ; brain-bot Telegram webhook (/status /sessions /focus /help) ; workspace spec v1.0 (ram.md log.md feedback.md) ; supervisor patterns v1 (7 protocoles) ; statusline session-role ; secrets-guardian recovery protocol ; BLOCKED_ON false-positive fix"
  - version: "0.5.1"
    date: "2026-03-14"
-    notes: "Métabolisme v1 — mode conserve, metabolism-scribe, metabolism-spec"
+    notes: "Métabolisme v1 — mode conserve, metabolism-scribe, metabolism-spec, progression/metabolism/, helloWorld briefing métabolisme"
  - version: "0.6.0"
    date: "2026-03-15"
-    notes: "Constitution v1.1.0 — North Star + invariants autonomie"
+    notes: "Constitution v1.1.0 — Section 9 North Star + invariants autonomie + auto-amélioration (ADR-011) ; wiki/concepts.md fondamentaux brain V2 ; brain-engine vision north star"
  - version: "0.7.0"
    date: "2026-03-16"
-    notes: "BSI-v3 fondations — tiered-close, zone-aware claims, kerneluser ancré"
+    notes: "BSI-v3 fondations — tiered-close, zone-aware claims (ADR-014), result contract, exit triggers ; kerneluser: true ancré kernel ; KERNEL.md délégation human-only phase actuelle"
  - version: "0.8.0"
    date: "2026-03-17"
-    notes: "Brain API Key Phase 1 — brain_api_key optionnel, feature_set_schema contractuel, tiers free/pro/full"
+    notes: "Brain API Key Phase 1 — brain_api_key field (optionnel), feature_set_schema contractuel, tiers free/pro/full ; cache feature_set dans brain-compose.local.yml"
  - version: "0.8.1"
    date: "2026-03-17"
    notes: "brain-store CATALOG — agents/CATALOG.yml source de vérité par tier (free/pro/owner) ; GET /agents filtré par tier ; catalog_version dans feature_set_schema"
  - version: "0.9.0"
-    date: "2026-03-20"
+    date: "2026-03-17"
-    notes: "Tier featured ajouté (RAG + coaching complet), sessions par tier, coach_level par tier, identityShow, docs/ 14 pages, BHP Phase 2 (boot-summary/detail 16 agents)"
+    notes: "Feature sets v2 — coach_level par tier (boot/full/L2), sessions disponibles par tier, distillation flag owner, pattern-scribe + audit + time-anchor en free"
  - version: "0.9.1"
    date: "2026-03-18"
    notes: "identityShow ancré — conséquence directe de kerneluser (on=owner/off=client) ; G-4 migration session-infra/capital/urgence vers format L0/L1/L2/L3 ; session-projet retiré (alias → session-work)"
  - version: "0.9.2"
    date: "2026-03-18"
    notes: "Tier featured ajouté (RAG + distillation progression, non-dev) ; session-kernel + session-edit-brain → full tier uniquement (owner) ; brain-guardian ajouté en free ; chaîne tiers : free → featured → pro → full"
--- a/brain-engine/server.py
+++ b/brain-engine/server.py
@@ -67,7 +67,7 @@ from pathlib import Path
 import subprocess
 import asyncio
 from fastapi import FastAPI, Header, HTTPException, Query, Body, WebSocket, Request
-from fastapi.responses import JSONResponse
+from fastapi.responses import JSONResponse, RedirectResponse
 from fastapi.websockets import WebSocketDisconnect
 try:
@@ -268,7 +268,13 @@ def health():
        import sqlite3
        from search import DB_PATH
        conn = sqlite3.connect(DB_PATH)
-        count = conn.execute("SELECT COUNT(*) FROM embeddings WHERE indexed=1").fetchone()[0]
+        # embeddings table is created by embed.py (requires Ollama) — optional
        has_embeddings = conn.execute(
            "SELECT name FROM sqlite_master WHERE type='table' AND name='embeddings'"
        ).fetchone()
        count = 0
        if has_embeddings:
            count = conn.execute("SELECT COUNT(*) FROM embeddings WHERE indexed=1").fetchone()[0]
        conn.close()
        return {'status': 'ok', 'indexed': count, 'uptime': uptime}
    except Exception as e:
@@ -360,6 +366,12 @@ def brain_compose_tiers():
 # ── Docs live — sert docs/*.md depuis le filesystem ────────────────────────────
@app.get('/docs/view')
 def docs_redirect():
    """Redirige /docs/view vers le dashboard docs (pour les navigateurs)."""
    return RedirectResponse(url='/ui/docs', status_code=302)
@app.get('/docs')
 def docs_list():
    """Liste les fichiers docs/*.md avec métadonnées (frontmatter group/label)."""
--- a/brain-engine/start.sh
+++ b/brain-engine/start.sh
@@ -61,14 +61,63 @@ else
    echo "   Le serveur démarre quand même (BSI, docs, endpoints basiques)."
 fi
-# 5. Lancer le serveur
+# 5. Vérifier brain-ui (dashboard + docs)
 UI_DIST="$BRAIN_ROOT/brain-ui/dist"
 if [ ! -d "$UI_DIST" ]; then
    echo ""
    echo "⚠️  brain-ui pas buildé — le dashboard ne sera pas disponible."
    if command -v node &>/dev/null && command -v npm &>/dev/null; then
        echo "→ Build automatique de brain-ui..."
        bash "$BRAIN_ROOT/brain-ui/build.sh"
    else
        echo "   Node.js/npm requis pour le dashboard."
        echo "   Installe Node.js 18+ puis lance : bash brain-ui/build.sh"
    fi
 fi
 # 6. Vérifier si déjà en cours (re-check après build éventuel)
 PIDFILE="$BRAIN_ROOT/.brain-engine.pid"
 if [ -f "$PIDFILE" ] && kill -0 "$(cat "$PIDFILE")" 2>/dev/null; then
    echo ""
    echo "⚠️  brain-engine tourne déjà (PID $(cat "$PIDFILE"))"
    echo "   Arrêter : bash brain-engine/stop.sh"
    echo "   Statut  : bash brain-engine/status.sh"
    exit 0
 fi
 # 7. Lancer le serveur
 PORT="${BRAIN_PORT:-7700}"
 LOGFILE="$BRAIN_ROOT/brain-engine/brain-engine.log"
 echo ""
 echo "=== Lancement brain-engine sur port $PORT ==="
-echo "  Health : http://localhost:$PORT/health"
+echo "  Health    : http://localhost:$PORT/health"
-echo "  Search : http://localhost:$PORT/search?q=comment+ca+marche"
+if [ -d "$UI_DIST" ]; then
-echo "  Agents : http://localhost:$PORT/agents"
+    echo "  Dashboard : http://localhost:$PORT/ui/"
 fi
 echo "  Docs      : http://localhost:$PORT/ui/docs"
 echo "  Agents    : http://localhost:$PORT/agents"
 echo ""
 cd "$BRAIN_ROOT"
-python3 "$SCRIPT_DIR/server.py"
+
 if [ "${1:-}" = "--foreground" ]; then
    # Mode foreground (debug) — Ctrl+C pour arrêter
    echo "Mode foreground — Ctrl+C pour arrêter"
    python3 "$SCRIPT_DIR/server.py"
 else
    # Mode background (défaut) — PID tracké, log rotatif
    python3 "$SCRIPT_DIR/server.py" > "$LOGFILE" 2>&1 &
    ENGINE_PID=$!
    echo "$ENGINE_PID" > "$PIDFILE"
    sleep 1
    if kill -0 "$ENGINE_PID" 2>/dev/null; then
        echo "✅ brain-engine démarré (PID $ENGINE_PID)"
        echo "   Logs    : tail -f brain-engine/brain-engine.log"
        echo "   Arrêter : bash brain-engine/stop.sh"
    else
        echo "❌ brain-engine n'a pas démarré — voir brain-engine/brain-engine.log"
        rm -f "$PIDFILE"
        exit 1
    fi
 fi
--- a/brain-engine/status.sh
+++ b/brain-engine/status.sh
@@ -0,0 +1,29 @@
 #!/bin/bash
 # brain-engine/status.sh — Statut rapide
 # Usage : bash brain-engine/status.sh
 # Exit 0 si running, 1 si stopped — utilisable dans des scripts/briefings
 BRAIN_ROOT="$(cd "$(dirname "$0")/.." && pwd)"
 PIDFILE="$BRAIN_ROOT/.brain-engine.pid"
 PORT="${BRAIN_PORT:-7700}"
 if [ ! -f "$PIDFILE" ]; then
    echo "brain-engine: stopped"
    exit 1
 fi
 PID=$(cat "$PIDFILE")
 if kill -0 "$PID" 2>/dev/null; then
    # Vérifier que le port répond
    if curl -s --max-time 2 "http://localhost:$PORT/health" > /dev/null 2>&1; then
        echo "brain-engine: running (PID $PID, port $PORT)"
    else
        echo "brain-engine: starting (PID $PID, port $PORT pas encore prêt)"
    fi
    exit 0
 else
    rm -f "$PIDFILE"
    echo "brain-engine: stopped (PID $PID stale — nettoyé)"
    exit 1
 fi
--- a/brain-engine/stop.sh
+++ b/brain-engine/stop.sh
@@ -0,0 +1,33 @@
 #!/bin/bash
 # brain-engine/stop.sh — Arrêt propre
 # Usage : bash brain-engine/stop.sh
 BRAIN_ROOT="$(cd "$(dirname "$0")/.." && pwd)"
 PIDFILE="$BRAIN_ROOT/.brain-engine.pid"
 if [ ! -f "$PIDFILE" ]; then
    echo "brain-engine n'est pas démarré (pas de PID tracké)"
    exit 0
 fi
 PID=$(cat "$PIDFILE")
 if kill -0 "$PID" 2>/dev/null; then
    kill "$PID"
    # Attendre l'arrêt propre (max 5s)
    for i in $(seq 1 10); do
        kill -0 "$PID" 2>/dev/null || break
        sleep 0.5
    done
    if kill -0 "$PID" 2>/dev/null; then
        echo "⚠️  brain-engine ne répond pas — force kill"
        kill -9 "$PID" 2>/dev/null
    fi
    rm -f "$PIDFILE"
    echo "✅ brain-engine arrêté (PID $PID)"
 else
    rm -f "$PIDFILE"
    echo "brain-engine n'était plus actif (PID $PID stale — nettoyé)"
 fi
--- a/brain-ui/.env.example
+++ b/brain-ui/.env.example
@@ -0,0 +1,14 @@
 # brain-ui — variables d'environnement
 # Copier vers .env.local et adapter
 # Mode mock — true = pas de VPS nécessaire (laptop dev)
 VITE_USE_MOCK=true
 # URL de base de l'API brain-engine
 # Vide = relatif à l'hôte Apache (/api proxy)
 # http://localhost:7700 = brain-engine local
 VITE_BRAIN_API=
 # Tier actif — owner (toutes features) | pro | free
 # Géré par brain-engine, pas directement ici
 # BRAIN_TIER est une variable d'environnement du process brain-engine (MYSECRETS ou export)
--- a/brain-ui/.gitignore
+++ b/brain-ui/.gitignore
@@ -0,0 +1,5 @@
 node_modules/
 dist/
 .env.production
 .env.local
 .env.production
--- a/brain-ui/build.sh
+++ b/brain-ui/build.sh
@@ -1,33 +0,0 @@
 #!/bin/bash
 # brain-ui/build.sh — Build le dashboard pour servir via brain-engine
 # Usage : bash brain-ui/build.sh
 # Prérequis : Node.js 18+, npm
 set -e
 SCRIPT_DIR="$(cd "$(dirname "$0")" && pwd)"
 echo "=== brain-ui — build ==="
 # 1. Vérifier Node
 if ! command -v node &>/dev/null; then
    echo "❌ Node.js requis (18+). Installe-le : https://nodejs.org/"
    exit 1
 fi
 # 2. Install deps
 cd "$SCRIPT_DIR"
 if [ ! -d "node_modules" ]; then
    echo "→ Installation des dépendances..."
    npm install
 fi
 # 3. Build (skip type check — erreurs TS pré-existantes non bloquantes)
 echo "→ Build en cours..."
 npx vite build
 echo ""
 echo "✅ brain-ui build dans dist/"
 echo "   Servi automatiquement par brain-engine sur /ui/"
 echo "   Lance : bash brain-engine/start.sh"
 echo "   Puis ouvre : http://localhost:7700/ui/"
--- a/brain-ui/package-lock.json
+++ b/brain-ui/package-lock.json
--- a/brain-ui/public/docs.html
+++ b/brain-ui/public/docs.html
@@ -0,0 +1,243 @@
 <!DOCTYPE html>
 <html lang="fr">
 <head>
  <meta charset="UTF-8">
  <meta name="viewport" content="width=device-width, initial-scale=1.0">
  <title>Brain — Documentation</title>
  <script src="https://cdn.jsdelivr.net/npm/marked/marked.min.js"></script>
  <style>
    * { margin: 0; padding: 0; box-sizing: border-box; }
    body {
      font-family: -apple-system, BlinkMacSystemFont, 'Segoe UI', Roboto, sans-serif;
      background: #0d0d0d; color: #e5e7eb;
      display: flex; height: 100vh; overflow: hidden;
    }
    /* Sidebar */
    .sidebar {
      width: 240px; flex-shrink: 0;
      background: #141414; border-right: 1px solid #2a2a2a;
      display: flex; flex-direction: column; overflow-y: auto;
    }
    .sidebar-header {
      padding: 16px; border-bottom: 1px solid #2a2a2a;
      display: flex; align-items: center; justify-content: space-between;
    }
    .sidebar-header h1 {
      font-size: 14px; font-weight: 600; color: #fff;
      font-family: monospace; letter-spacing: 0.05em;
    }
    .sidebar-header .badge {
      font-size: 10px; padding: 2px 6px; border-radius: 4px;
      background: #22c55e20; color: #22c55e; font-family: monospace;
    }
    .group-label {
      font-size: 10px; font-family: monospace; color: #4b5563;
      padding: 12px 16px 4px; letter-spacing: 0.1em; text-transform: uppercase;
    }
    .doc-link {
      display: block; padding: 6px 16px; font-size: 13px; color: #9ca3af;
      cursor: pointer; border: none; background: none; text-align: left;
      width: 100%; transition: color 0.15s;
    }
    .doc-link:hover { color: #e5e7eb; }
    .doc-link.active { color: #818cf8; background: rgba(99,102,241,0.12); }
    /* Back link */
    .back-link {
      margin-top: auto; padding: 12px 16px; border-top: 1px solid #2a2a2a;
      font-size: 11px; font-family: monospace;
    }
    .back-link a { color: #4b5563; text-decoration: none; }
    .back-link a:hover { color: #6366f1; }
    /* Content */
    .content {
      flex: 1; overflow-y: auto; padding: 2rem 3rem;
    }
    .content .loading { color: #4b5563; font-family: monospace; font-size: 13px; }
    /* Markdown styles */
    .md h1 { font-size: 1.8rem; font-weight: 700; color: #fff; margin: 0 0 1rem; padding-bottom: 0.5rem; border-bottom: 1px solid #2a2a2a; }
    .md h2 { font-size: 1.3rem; font-weight: 600; color: #e5e7eb; margin: 2rem 0 0.8rem; }
    .md h3 { font-size: 1.1rem; font-weight: 600; color: #d1d5db; margin: 1.5rem 0 0.5rem; }
    .md p { line-height: 1.7; margin: 0.5rem 0; color: #d1d5db; }
    .md a { color: #818cf8; text-decoration: none; }
    .md a:hover { text-decoration: underline; }
    .md code {
      font-family: 'JetBrains Mono', 'Fira Code', monospace; font-size: 0.85em;
      background: #1e1e1e; padding: 2px 6px; border-radius: 4px; color: #e5e7eb;
    }
    .md pre {
      background: #1a1a1a; border: 1px solid #2a2a2a; border-radius: 8px;
      padding: 1rem; overflow-x: auto; margin: 1rem 0;
    }
    .md pre code { background: none; padding: 0; font-size: 0.85rem; }
    .md ul, .md ol { padding-left: 1.5rem; margin: 0.5rem 0; }
    .md li { line-height: 1.7; color: #d1d5db; margin: 0.2rem 0; }
    .md blockquote {
      border-left: 3px solid #2a2a2a; padding: 0.5rem 1rem; margin: 1rem 0;
      background: #1a1a1a; border-radius: 0 6px 6px 0;
    }
    .md blockquote p { color: #9ca3af; }
    .md table { width: 100%; border-collapse: collapse; margin: 1rem 0; font-size: 0.9rem; }
    .md th { text-align: left; padding: 8px 12px; border-bottom: 2px solid #2a2a2a; color: #9ca3af; font-weight: 600; }
    .md td { padding: 8px 12px; border-bottom: 1px solid #1e1e1e; color: #d1d5db; }
    .md tr:hover td { background: #1a1a1a; }
    .md img { max-width: 100%; border-radius: 8px; margin: 1rem 0; }
    .md hr { border: none; border-top: 1px solid #2a2a2a; margin: 2rem 0; }
    /* Tier blockquotes */
    .md blockquote:has(p:first-child) { }
    .tier-free { border-left-color: #22c55e; }
    .tier-featured { border-left-color: #3b82f6; }
    .tier-pro { border-left-color: #f59e0b; }
    .tier-full { border-left-color: #a855f7; }
    /* Responsive */
    @media (max-width: 768px) {
      .sidebar { width: 200px; }
      .content { padding: 1rem; }
    }
  </style>
 </head>
 <body>
  <aside class="sidebar">
    <div class="sidebar-header">
      <h1>brain docs</h1>
      <span class="badge" id="mode-badge">...</span>
    </div>
    <nav id="nav"></nav>
    <div class="back-link">
      <a href="/ui/">← brain-ui</a>
    </div>
  </aside>
  <main class="content">
    <div class="md" id="content">
      <p class="loading">Chargement...</p>
    </div>
  </main>
  <script>
    let API = ''
    const GROUP_ORDER = ['Guides', 'Agents', 'Vues']
    const TIER_MARKERS = { '\u{1F7E2}': 'tier-free', '\u{1F535}': 'tier-featured', '\u{1F7E0}': 'tier-pro', '\u{1F7E3}': 'tier-full' }
    let docs = []
    let activeDoc = null
    let liveMode = false
    // Static fallback
    const STATIC_DOCS = [
      { name: 'getting-started', label: 'Demarrer', group: 'Guides' },
      { name: 'architecture', label: 'Architecture', group: 'Guides' },
      { name: 'sessions', label: 'Sessions', group: 'Guides' },
      { name: 'workflows', label: 'Workflows', group: 'Guides' },
      { name: 'satellites', label: 'Satellites', group: 'Guides' },
      { name: 'brain-engine-guide', label: 'Brain-engine', group: 'Guides' },
      { name: 'agents', label: "Vue d'ensemble", group: 'Agents' },
      { name: 'agents-code', label: 'Code & Qualite', group: 'Agents' },
      { name: 'agents-infra', label: 'Infra & Deploy', group: 'Agents' },
      { name: 'agents-brain', label: 'Brain & Systeme', group: 'Agents' },
      { name: 'vue-tiers', label: 'Comparatif', group: 'Vues' },
      { name: 'vue-free', label: 'free', group: 'Vues' },
      { name: 'vue-featured', label: 'featured', group: 'Vues' },
      { name: 'vue-pro', label: 'pro', group: 'Vues' },
      { name: 'vue-full', label: 'full', group: 'Vues' },
    ]
    async function init() {
      // Auto-detect API path : /api (proxy Apache) ou direct (local)
      for (const prefix of ['', '/api']) {
        try {
          const res = await fetch(`${prefix}/docs`)
          if (!res.ok) continue
          const data = await res.json()
          if (data.docs?.length) {
            API = prefix
            docs = data.docs
            liveMode = true
            break
          }
        } catch { /* next */ }
      }
      if (!liveMode) docs = STATIC_DOCS
      document.getElementById('mode-badge').textContent = liveMode ? 'live' : 'static'
      renderNav()
      // Check URL hash
      const hash = location.hash.replace('#', '')
      const target = hash && docs.find(d => d.name === hash) ? hash : 'getting-started'
      loadDoc(target)
    }
    function renderNav() {
      const nav = document.getElementById('nav')
      const groups = {}
      docs.forEach(d => {
        const g = d.group || 'Autres'
        if (!groups[g]) groups[g] = []
        groups[g].push(d)
      })
      const sorted = GROUP_ORDER.filter(g => groups[g]).map(g => [g, groups[g]])
      Object.entries(groups).forEach(([g, d]) => {
        if (!GROUP_ORDER.includes(g)) sorted.push([g, d])
      })
      nav.innerHTML = sorted.map(([group, groupDocs]) => `
        <div class="group-label">${group}</div>
        ${groupDocs.map(d => `
          <button class="doc-link" data-name="${d.name}" onclick="loadDoc('${d.name}')">${d.label}</button>
        `).join('')}
      `).join('')
    }
    async function loadDoc(name) {
      activeDoc = name
      location.hash = name
      // Update active state
      document.querySelectorAll('.doc-link').forEach(el => {
        el.classList.toggle('active', el.dataset.name === name)
      })
      const el = document.getElementById('content')
      el.innerHTML = '<p class="loading">Chargement...</p>'
      try {
        let md
        if (liveMode) {
          const res = await fetch(`${API}/docs/${name}.md`)
          if (!res.ok) throw new Error(res.status)
          const data = await res.json()
          md = data.content
        } else {
          const res = await fetch(`/ui/docs/${name}.md`)
          if (!res.ok) throw new Error(res.status)
          md = await res.text()
          md = md.replace(/^---[\s\S]*?---\n*/, '')
        }
        el.innerHTML = marked.parse(md)
        // Apply tier colors to blockquotes
        el.querySelectorAll('blockquote').forEach(bq => {
          const text = bq.textContent
          for (const [marker, cls] of Object.entries(TIER_MARKERS)) {
            if (text.includes(marker)) {
              bq.classList.add(cls)
              break
            }
          }
        })
      } catch (err) {
        el.innerHTML = `<p style="color:#ef4444">Impossible de charger ${name}: ${err.message}</p>`
      }
    }
    init()
  </script>
 </body>
 </html>
--- a/brain-ui/public/docs/README.md
+++ b/brain-ui/public/docs/README.md
@@ -1 +0,0 @@
 ../../../docs/README.md
--- a/brain-ui/public/docs/agents-brain.md
+++ b/brain-ui/public/docs/agents-brain.md
@@ -1 +0,0 @@
 ../../../docs/agents-brain.md
--- a/brain-ui/public/docs/agents-code.md
+++ b/brain-ui/public/docs/agents-code.md
@@ -1 +0,0 @@
 ../../../docs/agents-code.md
--- a/brain-ui/public/docs/agents-infra.md
+++ b/brain-ui/public/docs/agents-infra.md
@@ -1 +0,0 @@
 ../../../docs/agents-infra.md
--- a/brain-ui/public/docs/agents.md
+++ b/brain-ui/public/docs/agents.md
@@ -1 +0,0 @@
 ../../../docs/agents.md
--- a/brain-ui/public/docs/architecture.md
+++ b/brain-ui/public/docs/architecture.md
@@ -1 +0,0 @@
 ../../../docs/architecture.md
--- a/brain-ui/public/docs/brain-engine-guide.md
+++ b/brain-ui/public/docs/brain-engine-guide.md
@@ -1 +0,0 @@
 ../../../docs/brain-engine-guide.md
--- a/brain-ui/public/docs/getting-started.md
+++ b/brain-ui/public/docs/getting-started.md
@@ -1 +0,0 @@
 ../../../docs/getting-started.md
--- a/brain-ui/public/docs/satellites.md
+++ b/brain-ui/public/docs/satellites.md
@@ -1 +0,0 @@
 ../../../docs/satellites.md
--- a/brain-ui/public/docs/sessions.md
+++ b/brain-ui/public/docs/sessions.md
@@ -1 +0,0 @@
 ../../../docs/sessions.md
--- a/brain-ui/public/docs/vue-featured.md
+++ b/brain-ui/public/docs/vue-featured.md
@@ -1 +0,0 @@
 ../../../docs/vue-featured.md
--- a/brain-ui/public/docs/vue-free.md
+++ b/brain-ui/public/docs/vue-free.md
@@ -1 +0,0 @@
 ../../../docs/vue-free.md
--- a/brain-ui/public/docs/vue-full.md
+++ b/brain-ui/public/docs/vue-full.md
@@ -1 +0,0 @@
 ../../../docs/vue-full.md
--- a/brain-ui/public/docs/vue-pro.md
+++ b/brain-ui/public/docs/vue-pro.md
@@ -1 +0,0 @@
 ../../../docs/vue-pro.md
--- a/brain-ui/public/docs/vue-tiers.md
+++ b/brain-ui/public/docs/vue-tiers.md
@@ -1 +0,0 @@
 ../../../docs/vue-tiers.md
--- a/brain-ui/public/docs/workflows.md
+++ b/brain-ui/public/docs/workflows.md
@@ -1 +0,0 @@
 ../../../docs/workflows.md
--- a/brain-ui/src/App.tsx
+++ b/brain-ui/src/App.tsx
@@ -1,7 +1,7 @@
 import { useState, useEffect, Suspense, lazy } from 'react'
 import Dashboard from './components/Dashboard'
 import WorkflowBoard from './components/WorkflowBoard'
 import SecretsZone, { MOCK_SECTIONS } from './components/SecretsZone'
 import WorkflowBuilder from './components/WorkflowBuilder'
 import GatesDrawer from './components/GatesDrawer'
 import GateDrawer from './components/GateDrawer'
 import LogDrawer from './components/LogDrawer'
@@ -18,7 +18,7 @@ const CosmosView = lazy(() => import('./components/cosmos/CosmosView'))
 const WorkspaceView = lazy(() => import('./components/workspace/WorkspaceView'))
 const DocsView = lazy(() => import('./components/DocsView'))
-type ActiveView = 'workflows' | 'builder' | 'secrets' | 'infra' | 'cosmos' | 'workspace' | 'docs'
+type ActiveView = 'dashboard' | 'cosmos' | 'workflows' | 'secrets' | 'infra' | 'workspace'
 interface NavItem {
  id: ActiveView
@@ -34,18 +34,24 @@ interface PendingGate {
 }
 const NAV_ITEMS: NavItem[] = [
-  { id: 'workflows', icon: '🔀', label: 'Workflows' },
+  { id: 'dashboard', icon: '⬡',  label: 'Dashboard' },
-  { id: 'builder',   icon: '⚡', label: 'Nouveau'   },
+  { id: 'cosmos',    icon: '🌌', label: 'Cosmos'    },
-  { id: 'secrets',   icon: '🔑', label: 'Secrets'   },
+  { id: 'workflows', icon: '🔀', label: 'Workflows', separator: true },
  { id: 'infra',     icon: '🖥️', label: 'Infra'     },
-  { id: 'cosmos',    icon: '🌌', label: 'Cosmos', separator: true },
+  { id: 'secrets',   icon: '🔑', label: 'Secrets'   },
  { id: 'docs',      icon: '📖', label: 'Docs' },
 ]
 function AppInner() {
  const { addToast } = useToast()
-  const [activeView, setActiveView] = useState<ActiveView>('workflows')
+  // Detect URL path for direct routing (/ui/docs → docs view)
  const initialView = (): ActiveView => {
    const path = window.location.pathname
    if (path.includes('/cosmos')) return 'cosmos'
    if (path.includes('/workspace')) return 'workspace'
    return 'dashboard'
  }
  const [activeView, setActiveView] = useState<ActiveView>(initialView)
  const [pendingGate, setPendingGate] = useState<PendingGate | null>(null)
  const [gateDrawer, setGateDrawer] = useState<{ open: boolean; workflowId: string | null; stepId: string | null }>({
    open:       false,
@@ -55,6 +61,14 @@ function AppInner() {
  const [logsProject, setLogsProject] = useState<string | null>(null)
  const [paletteOpen, setPaletteOpen] = useState(false)
  // Sync URL with active view
  const handleViewChange = (view: ActiveView) => {
    setActiveView(view)
    const base = import.meta.env.BASE_URL || '/ui/'
    const slug = view === 'workflows' ? '' : view
    window.history.replaceState(null, '', `${base}${slug}`)
  }
  const { workflows, wsStatus } = useWorkflows()
  useWebSocket(addToast)
  const storeWorkflows = useBrainStore((s) => s.workflows)
@@ -132,7 +146,7 @@ function AppInner() {
                  <div className="mx-3 my-1" style={{ borderTop: '1px solid #2a2a2a' }} />
                )}
                <button
-                  onClick={() => setActiveView(item.id)}
+                  onClick={() => handleViewChange(item.id)}
                  className="flex items-center gap-3 px-3 py-2 rounded text-sm font-medium text-left transition-colors w-full"
                  style={
                    isActive
@@ -157,6 +171,21 @@ function AppInner() {
          })}
        </nav>
        {/* Docs — lien externe standalone */}
        <div className="px-2 mt-2">
          <a
            href="/ui/docs.html"
            target="_blank"
            rel="noopener noreferrer"
            className="flex items-center gap-3 px-3 py-2 rounded text-sm font-medium text-left w-full transition-colors"
            style={{ color: '#9ca3af', borderLeft: '2px solid transparent', paddingLeft: 10, textDecoration: 'none' }}
          >
            <span className="text-base leading-none">📖</span>
            <span>Docs</span>
            <span style={{ marginLeft: 'auto', fontSize: 9, color: '#4b5563' }}>↗</span>
          </a>
        </div>
        {/* Bouton Logs */}
        <div className="px-2 mt-2">
          <button
@@ -203,6 +232,9 @@ function AppInner() {
      {/* Main content */}
      <main className="flex-1 overflow-hidden flex flex-col">
        {activeView === 'dashboard' && (
          <Dashboard />
        )}
        {activeView === 'workflows' && (
          <WorkflowBoard
            workflows={workflows}
@@ -210,9 +242,6 @@ function AppInner() {
            onWorkflowClick={(wfId) => setLogsProject(wfId)}
          />
        )}
        {activeView === 'builder' && (
          <WorkflowBuilder />
        )}
        {activeView === 'secrets' && (
          <TierGate feature="secrets" hasFeature={hasFeature}>
            <SecretsZone sections={MOCK_SECTIONS} onSecretSave={handleSecretSave} />
@@ -234,15 +263,6 @@ function AppInner() {
            </Suspense>
          </div>
        )}
        {activeView === 'docs' && (
          <Suspense fallback={
            <div className="flex items-center justify-center h-full" style={{ color: '#4b5563' }}>
              <span className="text-sm font-mono">Chargement Docs...</span>
            </div>
          }>
            <DocsView />
          </Suspense>
        )}
        {activeView === 'workspace' && (
          <Suspense fallback={
            <div className="flex items-center justify-center h-full" style={{ color: '#4b5563' }}>
@@ -285,7 +305,7 @@ function AppInner() {
      {paletteOpen && (
        <CommandPalette
          onClose={() => setPaletteOpen(false)}
-          onNavigate={(view) => { setActiveView(view as ActiveView); setPaletteOpen(false) }}
+          onNavigate={(view) => { handleViewChange(view as ActiveView); setPaletteOpen(false) }}
        />
      )}
    </div>
--- a/brain-ui/src/components/AgentDashboard.tsx
+++ b/brain-ui/src/components/AgentDashboard.tsx
@@ -0,0 +1,240 @@
 import { useState, useEffect } from 'react'
 const API_BASE = import.meta.env.VITE_BRAIN_API ?? ''
 interface Agent {
  id: string
  label: string
  tier: string
  export: boolean
  status: string
  triggers: string[]
  scope: string
  description: string
 }
 const TIER_COLORS: Record<string, { emoji: string; color: string; bg: string }> = {
  free:     { emoji: '🟢', color: '#4ade80', bg: 'rgba(34,197,94,0.1)' },
  featured: { emoji: '🔵', color: '#60a5fa', bg: 'rgba(59,130,246,0.1)' },
  pro:      { emoji: '🟠', color: '#fbbf24', bg: 'rgba(245,158,11,0.1)' },
  full:     { emoji: '🟣', color: '#c084fc', bg: 'rgba(168,85,247,0.1)' },
  owner:    { emoji: '🟣', color: '#c084fc', bg: 'rgba(168,85,247,0.1)' },
 }
 // Groupes métier pour organiser les agents
 const AGENT_GROUPS: Record<string, { label: string; agents: string[] }> = {
  'code': {
    label: 'Code & Qualite',
    agents: ['code-review', 'security', 'testing', 'refacto', 'optimizer-backend', 'optimizer-db', 'optimizer-frontend', 'frontend-stack'],
  },
  'infra': {
    label: 'Infra & Deploy',
    agents: ['vps', 'ci-cd', 'monitoring', 'pm2', 'mail', 'migration'],
  },
  'brain': {
    label: 'Brain & Systeme',
    agents: ['scribe', 'todo-scribe', 'metabolism-scribe', 'wiki-scribe', 'coach', 'coach-boot', 'coach-scribe', 'capital-scribe', 'toolkit-scribe', 'helloWorld', 'session-orchestrator', 'secrets-guardian', 'brain-guardian', 'key-guardian', 'pre-flight', 'feature-gate', 'brain-hypervisor', 'kernel-orchestrator'],
  },
  'explore': {
    label: 'Exploration',
    agents: ['debug', 'brainstorm', 'mentor', 'orchestrator', 'interprete', 'aside', 'recruiter', 'agent-review', 'time-anchor', 'pattern-scribe'],
  },
 }
 function getAgentGroup(agentId: string): string {
  for (const [group, data] of Object.entries(AGENT_GROUPS)) {
    if (data.agents.includes(agentId)) return group
  }
  return 'other'
 }
 export function AgentCatalog() {
  const [agents, setAgents] = useState<Agent[]>([])
  const [error, setError] = useState<string | null>(null)
  const [filter, setFilter] = useState<string>('all')
  useEffect(() => {
    fetch(`${API_BASE}/agents`)
      .then(r => r.json())
      .then(data => setAgents(Array.isArray(data) ? data : []))
      .catch(e => setError(e.message))
  }, [])
  if (error) return <div style={{ color: '#ef4444' }}>Erreur: {error}</div>
  if (!agents.length) return <div style={{ color: '#4b5563' }}>Chargement...</div>
  // Grouper les agents
  const grouped: Record<string, Agent[]> = {}
  for (const agent of agents) {
    const group = getAgentGroup(agent.id)
    if (!grouped[group]) grouped[group] = []
    grouped[group].push(agent)
  }
  // Stats
  const tierCounts = agents.reduce<Record<string, number>>((acc, a) => {
    acc[a.tier] = (acc[a.tier] || 0) + 1
    return acc
  }, {})
  const filteredAgents = filter === 'all' ? agents : agents.filter(a => {
    if (filter === 'code' || filter === 'infra' || filter === 'brain' || filter === 'explore') {
      return getAgentGroup(a.id) === filter
    }
    return a.tier === filter
  })
  const filteredGrouped: Record<string, Agent[]> = {}
  for (const agent of filteredAgents) {
    const group = getAgentGroup(agent.id)
    if (!filteredGrouped[group]) filteredGrouped[group] = []
    filteredGrouped[group].push(agent)
  }
  return (
    <div>
      <h1>Catalogue des agents</h1>
      <p style={{ color: '#9ca3af' }}>
        {agents.length} agents disponibles — donnees live depuis brain-engine
      </p>
      {/* Stats bar */}
      <div style={{ display: 'flex', gap: '0.75rem', flexWrap: 'wrap', margin: '1rem 0' }}>
        <StatBadge
          label="Tous"
          count={agents.length}
          active={filter === 'all'}
          color="#818cf8"
          onClick={() => setFilter('all')}
        />
        {Object.entries(TIER_COLORS).filter(([t]) => tierCounts[t]).map(([tier, colors]) => (
          <StatBadge
            key={tier}
            label={`${colors.emoji} ${tier}`}
            count={tierCounts[tier] || 0}
            active={filter === tier}
            color={colors.color}
            onClick={() => setFilter(filter === tier ? 'all' : tier)}
          />
        ))}
      </div>
      {/* Group filters */}
      <div style={{ display: 'flex', gap: '0.5rem', flexWrap: 'wrap', margin: '0.5rem 0 1.5rem' }}>
        {Object.entries(AGENT_GROUPS).map(([key, data]) => (
          <button
            key={key}
            onClick={() => setFilter(filter === key ? 'all' : key)}
            style={{
              background: filter === key ? 'rgba(99,102,241,0.15)' : 'transparent',
              color: filter === key ? '#818cf8' : '#6b7280',
              border: '1px solid #2a2a2a',
              borderRadius: '4px',
              padding: '0.25rem 0.75rem',
              fontSize: '0.8rem',
              cursor: 'pointer',
            }}
          >
            {data.label}
          </button>
        ))}
      </div>
      {/* Agent cards by group */}
      {Object.entries(AGENT_GROUPS)
        .filter(([key]) => filteredGrouped[key]?.length)
        .map(([key, data]) => (
          <div key={key} style={{ marginBottom: '2rem' }}>
            <h2>{data.label}</h2>
            <div style={{ display: 'flex', flexDirection: 'column', gap: '0.5rem' }}>
              {filteredGrouped[key].map(agent => (
                <AgentCard key={agent.id} agent={agent} />
              ))}
            </div>
          </div>
        ))
      }
      {/* Uncategorized */}
      {filteredGrouped['other']?.length > 0 && (
        <div style={{ marginBottom: '2rem' }}>
          <h2>Autres</h2>
          <div style={{ display: 'flex', flexDirection: 'column', gap: '0.5rem' }}>
            {filteredGrouped['other'].map(agent => (
              <AgentCard key={agent.id} agent={agent} />
            ))}
          </div>
        </div>
      )}
    </div>
  )
 }
 function AgentCard({ agent }: { agent: Agent }) {
  const tier = TIER_COLORS[agent.tier] || TIER_COLORS['free']
  return (
    <div
      style={{
        background: '#141414',
        border: '1px solid #2a2a2a',
        borderLeft: `3px solid ${tier.color}`,
        borderRadius: '4px',
        padding: '0.75rem 1rem',
        display: 'flex',
        alignItems: 'flex-start',
        gap: '0.75rem',
      }}
    >
      <div style={{ flex: 1 }}>
        <div style={{ display: 'flex', alignItems: 'center', gap: '0.5rem' }}>
          <code style={{ color: '#a78bfa', fontSize: '0.875rem' }}>{agent.id}</code>
          <span
            style={{
              fontSize: '0.65rem',
              padding: '0.1em 0.4em',
              borderRadius: '3px',
              background: tier.bg,
              color: tier.color,
              fontWeight: 600,
            }}
          >
            {tier.emoji} {agent.tier}
          </span>
        </div>
        {agent.description && (
          <p style={{ color: '#9ca3af', fontSize: '0.8rem', margin: '0.25rem 0 0' }}>
            {agent.description}
          </p>
        )}
      </div>
      {agent.triggers.length > 0 && (
        <div style={{ fontSize: '0.7rem', color: '#4b5563', whiteSpace: 'nowrap' }}>
          {agent.triggers.slice(0, 3).join(', ')}
        </div>
      )}
    </div>
  )
 }
 function StatBadge({ label, count, active, color, onClick }: {
  label: string; count: number; active: boolean; color: string; onClick: () => void
 }) {
  return (
    <button
      onClick={onClick}
      style={{
        background: active ? `${color}22` : 'transparent',
        border: `1px solid ${active ? color : '#2a2a2a'}`,
        borderRadius: '6px',
        padding: '0.4rem 0.75rem',
        cursor: 'pointer',
        display: 'flex',
        alignItems: 'center',
        gap: '0.4rem',
      }}
    >
      <span style={{ color, fontWeight: 700, fontSize: '1rem' }}>{count}</span>
      <span style={{ color: active ? '#d1d5db' : '#6b7280', fontSize: '0.8rem' }}>{label}</span>
    </button>
  )
 }
--- a/brain-ui/src/components/Dashboard.tsx
+++ b/brain-ui/src/components/Dashboard.tsx
@@ -0,0 +1,404 @@
 import { useState, useEffect, useCallback } from 'react'
 const API = import.meta.env.VITE_BRAIN_API ?? ''
 interface SearchResult {
  score: number
  title: string
  filepath: string
  excerpt: string
 }
 interface HealthData {
  status: string
  indexed: number
  uptime: number
 }
 interface ClaimData {
  sess_id: string
  type: string
  scope: string
  status: string
  opened_at: string
  closed_at: string | null
 }
 interface AgentData {
  id: string
  label: string
  tier: string
  status: string
  scope: string
 }
 interface DocData {
  name: string
  label: string
  group: string
 }
 function formatUptime(seconds: number): string {
  if (seconds < 60) return `${seconds}s`
  if (seconds < 3600) return `${Math.floor(seconds / 60)}min`
  if (seconds < 86400) return `${Math.floor(seconds / 3600)}h ${Math.floor((seconds % 3600) / 60)}min`
  return `${Math.floor(seconds / 86400)}j ${Math.floor((seconds % 86400) / 3600)}h`
 }
 function formatTimeAgo(dateStr: string): string {
  const diff = Date.now() - new Date(dateStr).getTime()
  const mins = Math.floor(diff / 60000)
  if (mins < 1) return "à l'instant"
  if (mins < 60) return `il y a ${mins}min`
  const hours = Math.floor(mins / 60)
  if (hours < 24) return `il y a ${hours}h`
  const days = Math.floor(hours / 24)
  return `il y a ${days}j`
 }
 function StatCard({ label, value, sub, color }: { label: string; value: string | number; sub?: string; color?: string }) {
  return (
    <div style={{
      background: '#141414', border: '1px solid #2a2a2a', borderRadius: 8,
      padding: '16px 20px', flex: '1 1 0', minWidth: 140,
    }}>
      <div style={{ fontSize: 11, color: '#6b7280', fontFamily: 'monospace', textTransform: 'uppercase', letterSpacing: '0.05em' }}>
        {label}
      </div>
      <div style={{ fontSize: 28, fontWeight: 700, color: color ?? '#e5e7eb', marginTop: 4 }}>
        {value}
      </div>
      {sub && (
        <div style={{ fontSize: 11, color: '#4b5563', marginTop: 2, fontFamily: 'monospace' }}>
          {sub}
        </div>
      )}
    </div>
  )
 }
 function SessionRow({ claim }: { claim: ClaimData }) {
  const isOpen = claim.status === 'open'
  return (
    <div style={{
      display: 'flex', alignItems: 'center', gap: 12,
      padding: '10px 16px', borderBottom: '1px solid #1e1e1e',
    }}>
      <span style={{
        width: 8, height: 8, borderRadius: '50%', flexShrink: 0,
        background: isOpen ? '#22c55e' : '#4b5563',
      }} />
      <div style={{ flex: 1, minWidth: 0 }}>
        <div style={{ fontSize: 13, color: '#e5e7eb', fontFamily: 'monospace' }}>
          {claim.sess_id}
        </div>
        <div style={{ fontSize: 11, color: '#6b7280', marginTop: 2 }}>
          {claim.type} — {claim.scope}
        </div>
      </div>
      <div style={{ fontSize: 11, color: '#4b5563', fontFamily: 'monospace', flexShrink: 0 }}>
        {formatTimeAgo(claim.opened_at)}
      </div>
    </div>
  )
 }
 function FileViewer({ path, onClose }: { path: string; onClose: () => void }) {
  const [content, setContent] = useState<string | null>(null)
  const [error, setError] = useState<string | null>(null)
  useEffect(() => {
    fetch(`${API}/brain/${path}`)
      .then(r => { if (!r.ok) throw new Error(`${r.status}`); return r.json() })
      .then(d => setContent(d.content))
      .catch(e => setError(`Impossible de charger ${path}: ${e.message}`))
  }, [path])
  return (
    <div style={{
      position: 'fixed', inset: 0, zIndex: 50,
      background: 'rgba(0,0,0,0.7)', display: 'flex', alignItems: 'center', justifyContent: 'center',
    }} onClick={onClose}>
      <div
        style={{
          background: '#141414', border: '1px solid #2a2a2a', borderRadius: 12,
          width: '70%', maxWidth: 800, maxHeight: '80vh',
          display: 'flex', flexDirection: 'column', overflow: 'hidden',
        }}
        onClick={e => e.stopPropagation()}
      >
        <div style={{
          padding: '12px 20px', borderBottom: '1px solid #2a2a2a',
          display: 'flex', alignItems: 'center', justifyContent: 'space-between',
        }}>
          <span style={{ fontSize: 13, fontFamily: 'monospace', color: '#818cf8' }}>{path}</span>
          <button
            onClick={onClose}
            style={{ background: 'none', border: 'none', color: '#6b7280', cursor: 'pointer', fontSize: 18 }}
          >
            ×
          </button>
        </div>
        <div style={{ padding: '16px 20px', overflowY: 'auto', flex: 1 }}>
          {error && <div style={{ color: '#ef4444', fontSize: 13 }}>{error}</div>}
          {!content && !error && <div style={{ color: '#4b5563', fontSize: 13, fontFamily: 'monospace' }}>Chargement...</div>}
          {content && (
            <pre style={{
              fontSize: 13, lineHeight: 1.6, color: '#d1d5db',
              fontFamily: "'JetBrains Mono', 'Fira Code', monospace",
              whiteSpace: 'pre-wrap', wordBreak: 'break-word', margin: 0,
            }}>
              {content}
            </pre>
          )}
        </div>
      </div>
    </div>
  )
 }
 function SearchBar() {
  const [query, setQuery] = useState('')
  const [results, setResults] = useState<SearchResult[]>([])
  const [searching, setSearching] = useState(false)
  const [searched, setSearched] = useState(false)
  const [viewingFile, setViewingFile] = useState<string | null>(null)
  const search = useCallback(async (q: string) => {
    if (q.trim().length < 2) { setResults([]); setSearched(false); return }
    setSearching(true)
    try {
      const res = await fetch(`${API}/search?q=${encodeURIComponent(q)}&top=6`)
      if (!res.ok) throw new Error()
      const data = await res.json()
      setResults(data.results ?? [])
      setSearched(true)
    } catch {
      setResults([])
    } finally {
      setSearching(false)
    }
  }, [])
  useEffect(() => {
    const timer = setTimeout(() => { if (query.trim().length >= 2) search(query) }, 400)
    return () => clearTimeout(timer)
  }, [query, search])
  return (
    <div style={{ marginBottom: 24 }}>
      <div style={{
        display: 'flex', alignItems: 'center', gap: 8,
        background: '#141414', border: '1px solid #2a2a2a', borderRadius: 8,
        padding: '8px 16px',
      }}>
        <span style={{ color: '#4b5563', fontSize: 16 }}>🔍</span>
        <input
          type="text"
          placeholder="Rechercher dans le brain..."
          value={query}
          onChange={(e) => setQuery(e.target.value)}
          onKeyDown={(e) => { if (e.key === 'Enter') search(query) }}
          style={{
            flex: 1, background: 'transparent', border: 'none', outline: 'none',
            color: '#e5e7eb', fontSize: 14, fontFamily: 'inherit',
          }}
        />
        {searching && <span style={{ color: '#4b5563', fontSize: 12, fontFamily: 'monospace' }}>...</span>}
      </div>
      {searched && results.length > 0 && (
        <div style={{
          marginTop: 8, background: '#141414', border: '1px solid #2a2a2a',
          borderRadius: 8, overflow: 'hidden',
        }}>
          {results.map((r, i) => (
            <div key={i} style={{
              padding: '12px 16px', borderBottom: i < results.length - 1 ? '1px solid #1e1e1e' : 'none',
              cursor: 'pointer', transition: 'background 0.15s',
            }}
            onClick={() => setViewingFile(r.filepath)}
            onMouseEnter={e => (e.currentTarget.style.background = '#1a1a1a')}
            onMouseLeave={e => (e.currentTarget.style.background = 'transparent')}
            >
              <div style={{ display: 'flex', alignItems: 'center', gap: 8, marginBottom: 4 }}>
                <span style={{ fontSize: 12, fontFamily: 'monospace', color: '#818cf8' }}>
                  {r.filepath}
                </span>
                <span style={{
                  fontSize: 10, fontFamily: 'monospace', color: '#4b5563',
                  marginLeft: 'auto',
                }}>
                  {(r.score * 100).toFixed(0)}%
                </span>
              </div>
              <div style={{ fontSize: 13, color: '#9ca3af', lineHeight: 1.5 }}>
                {r.excerpt.slice(0, 200)}{r.excerpt.length > 200 ? '...' : ''}
              </div>
            </div>
          ))}
        </div>
      )}
      {searched && results.length === 0 && !searching && (
        <div style={{ marginTop: 8, fontSize: 13, color: '#4b5563', fontFamily: 'monospace', padding: '8px 16px' }}>
          Aucun résultat pour "{query}"
        </div>
      )}
      {viewingFile && <FileViewer path={viewingFile} onClose={() => setViewingFile(null)} />}
    </div>
  )
 }
 export default function Dashboard() {
  const [health, setHealth] = useState<HealthData | null>(null)
  const [claims, setClaims] = useState<ClaimData[]>([])
  const [agents, setAgents] = useState<AgentData[]>([])
  const [docs, setDocs] = useState<DocData[]>([])
  const [error, setError] = useState<string | null>(null)
  useEffect(() => {
    Promise.allSettled([
      fetch(`${API}/health`).then(r => r.json()),
      fetch(`${API}/bsi/claims`).then(r => r.ok ? r.json() : []),
      fetch(`${API}/agents`).then(r => r.ok ? r.json() : []),
      fetch(`${API}/docs`).then(r => r.ok ? r.json() : { docs: [] }),
    ]).then(([h, c, a, d]) => {
      if (h.status === 'fulfilled') setHealth(h.value)
      if (c.status === 'fulfilled') setClaims(Array.isArray(c.value) ? c.value : [])
      if (a.status === 'fulfilled') setAgents(Array.isArray(a.value) ? a.value : [])
      if (d.status === 'fulfilled') setDocs(d.value?.docs ?? [])
    }).catch(() => setError('Impossible de charger les données'))
  }, [])
  const openClaims = claims.filter(c => c.status === 'open')
  const recentClaims = claims.slice(0, 8)
  const agentsByTier = agents.reduce<Record<string, number>>((acc, a) => {
    acc[a.tier] = (acc[a.tier] || 0) + 1
    return acc
  }, {})
  return (
    <div style={{ padding: '2rem 3rem', overflowY: 'auto', height: '100%' }}>
      {/* Header */}
      <div style={{ marginBottom: 24 }}>
        <h1 style={{ fontSize: 20, fontWeight: 700, color: '#fff', margin: 0 }}>
          Dashboard
        </h1>
        <p style={{ fontSize: 12, color: '#4b5563', fontFamily: 'monospace', marginTop: 4 }}>
          {health ? `brain-engine up — ${formatUptime(health.uptime)}` : 'connexion...'}
        </p>
      </div>
      {error && (
        <div style={{ color: '#ef4444', fontSize: 13, marginBottom: 16 }}>{error}</div>
      )}
      {/* Search */}
      <SearchBar />
      {/* Stats row */}
      <div style={{ display: 'flex', gap: 12, marginBottom: 24, flexWrap: 'wrap' }}>
        <StatCard
          label="Embeddings"
          value={health?.indexed?.toLocaleString() ?? '—'}
          sub="chunks indexés"
          color="#818cf8"
        />
        <StatCard
          label="Agents"
          value={agents.length || '—'}
          sub={Object.entries(agentsByTier).map(([t, n]) => `${n} ${t}`).join(' · ') || undefined}
          color="#22c55e"
        />
        <StatCard
          label="Docs"
          value={docs.length || '—'}
          sub="pages live"
          color="#f59e0b"
        />
        <StatCard
          label="Sessions"
          value={openClaims.length}
          sub={openClaims.length > 0 ? 'actives' : 'aucune active'}
          color={openClaims.length > 0 ? '#22c55e' : '#6b7280'}
        />
      </div>
      {/* Two columns */}
      <div style={{ display: 'grid', gridTemplateColumns: '1fr 1fr', gap: 16 }}>
        {/* Recent sessions */}
        <div style={{ background: '#141414', border: '1px solid #2a2a2a', borderRadius: 8, overflow: 'hidden' }}>
          <div style={{
            padding: '12px 16px', borderBottom: '1px solid #2a2a2a',
            fontSize: 12, fontFamily: 'monospace', color: '#6b7280',
            textTransform: 'uppercase', letterSpacing: '0.05em',
          }}>
            Sessions récentes
          </div>
          {recentClaims.length === 0 ? (
            <div style={{ padding: 16, fontSize: 13, color: '#4b5563' }}>
              Aucune session enregistrée
            </div>
          ) : (
            recentClaims.map(c => <SessionRow key={c.sess_id} claim={c} />)
          )}
        </div>
        {/* Quick links */}
        <div style={{ display: 'flex', flexDirection: 'column', gap: 12 }}>
          {/* Agents by scope */}
          <div style={{ background: '#141414', border: '1px solid #2a2a2a', borderRadius: 8, overflow: 'hidden' }}>
            <div style={{
              padding: '12px 16px', borderBottom: '1px solid #2a2a2a',
              fontSize: 12, fontFamily: 'monospace', color: '#6b7280',
              textTransform: 'uppercase', letterSpacing: '0.05em',
            }}>
              Agents par scope
            </div>
            <div style={{ padding: 16, display: 'flex', gap: 16, flexWrap: 'wrap' }}>
              {Object.entries(
                agents.reduce<Record<string, number>>((acc, a) => {
                  acc[a.scope || 'unknown'] = (acc[a.scope || 'unknown'] || 0) + 1
                  return acc
                }, {})
              ).map(([scope, count]) => (
                <div key={scope} style={{ textAlign: 'center' }}>
                  <div style={{ fontSize: 20, fontWeight: 700, color: '#e5e7eb' }}>{count}</div>
                  <div style={{ fontSize: 10, color: '#6b7280', fontFamily: 'monospace' }}>{scope}</div>
                </div>
              ))}
            </div>
          </div>
          {/* Docs groups */}
          <div style={{ background: '#141414', border: '1px solid #2a2a2a', borderRadius: 8, overflow: 'hidden' }}>
            <div style={{
              padding: '12px 16px', borderBottom: '1px solid #2a2a2a',
              display: 'flex', alignItems: 'center', justifyContent: 'space-between',
            }}>
              <span style={{ fontSize: 12, fontFamily: 'monospace', color: '#6b7280', textTransform: 'uppercase', letterSpacing: '0.05em' }}>
                Documentation
              </span>
              <a href="/docs" target="_blank" rel="noopener noreferrer"
                style={{ fontSize: 11, color: '#818cf8', textDecoration: 'none', fontFamily: 'monospace' }}>
                Ouvrir ↗
              </a>
            </div>
            <div style={{ padding: 16, display: 'flex', gap: 16, flexWrap: 'wrap' }}>
              {Object.entries(
                docs.reduce<Record<string, number>>((acc, d) => {
                  acc[d.group || 'Autres'] = (acc[d.group || 'Autres'] || 0) + 1
                  return acc
                }, {})
              ).map(([group, count]) => (
                <div key={group} style={{ textAlign: 'center' }}>
                  <div style={{ fontSize: 20, fontWeight: 700, color: '#e5e7eb' }}>{count}</div>
                  <div style={{ fontSize: 10, color: '#6b7280', fontFamily: 'monospace' }}>{group}</div>
                </div>
              ))}
            </div>
          </div>
        </div>
      </div>
    </div>
  )
 }
--- a/brain-ui/src/components/DocsView.tsx
+++ b/brain-ui/src/components/DocsView.tsx
@@ -1,6 +1,7 @@
 import { useState, useEffect, ReactNode } from 'react'
 import ReactMarkdown, { Components } from 'react-markdown'
 import { TierComparatif, TierSingle } from './TierDashboard'
 import { AgentCatalog } from './AgentDashboard'
 interface DocFile {
  name: string
@@ -210,6 +211,16 @@ export default function DocsView() {
            const tierName = activeDoc.replace('vue-', '')
            return <article className="docs-markdown"><TierSingle tierName={tierName} /></article>
          }
          if (liveMode && activeDoc === 'agents') {
            return (
              <article className="docs-markdown">
                {!loading && content && (
                  <ReactMarkdown components={mdComponents}>{content}</ReactMarkdown>
                )}
                <AgentCatalog />
              </article>
            )
          }
          // Mode standard — markdown
          return (
--- a/brain-ui/src/components/cosmos/CosmosInfoPanel.tsx
+++ b/brain-ui/src/components/cosmos/CosmosInfoPanel.tsx
@@ -2,10 +2,12 @@ import { useState } from 'react'
 import type { CosmosPoint, ZoneKey } from '../../types'
 const ZONE_BADGE_COLORS: Record<ZoneKey, { bg: string; text: string }> = {
-  public:  { bg: 'rgba(229,231,235,0.1)', text: '#e5e7eb' },
+  public:    { bg: 'rgba(229,231,235,0.1)', text: '#e5e7eb' },
-  work:    { bg: 'rgba(99,102,241,0.15)', text: '#6366f1' },
+  work:      { bg: 'rgba(99,102,241,0.15)', text: '#6366f1' },
-  kernel:  { bg: 'rgba(239,68,68,0.15)',  text: '#ef4444' },
+  kernel:    { bg: 'rgba(239,68,68,0.15)',  text: '#ef4444' },
-  unknown: { bg: 'rgba(75,85,99,0.2)',    text: '#6b7280' },
+  instance:  { bg: 'rgba(168,85,247,0.15)', text: '#a855f7' },
  satellite: { bg: 'rgba(34,197,94,0.15)',  text: '#22c55e' },
  unknown:   { bg: 'rgba(75,85,99,0.2)',    text: '#6b7280' },
 }
 function getNearestNeighbors(target: CosmosPoint, all: CosmosPoint[], n = 10): CosmosPoint[] {
--- a/brain-ui/src/components/workspace/CosmosBackground.tsx
+++ b/brain-ui/src/components/workspace/CosmosBackground.tsx
@@ -3,10 +3,12 @@ import * as THREE from 'three'
 import type { CosmosPoint, ZoneKey } from '../../types'
 const ZONE_COLORS: Record<ZoneKey, string> = {
-  public:  '#6366f1',
+  public:    '#6366f1',
-  work:    '#22c55e',
+  work:      '#22c55e',
-  kernel:  '#f59e0b',
+  kernel:    '#f59e0b',
-  unknown: '#6b7280',
+  instance:  '#a855f7',
  satellite: '#3b82f6',
  unknown:   '#6b7280',
 }
 interface Props {
--- a/contexts/session-capital.yml
+++ b/contexts/session-capital.yml
@@ -0,0 +1,45 @@
 # session-capital.yml — Contexte BHP pour sessions capital professionnel
 # Trigger : "brain boot mode capital"
 # Focus : bilan, objectifs, CV, capital professionnel, progression long terme
 # Cible : ~23% contexte max au boot
 session_type: capital
 description: "Session capital — bilan, objectifs, CV, capital professionnel"
 tier_required: featured    # coach.md complet + capital-scribe = tier featured (RAG + progression)
 # L0 — Invariant (~5%)
 L0:
  - PATHS.md
  - brain-compose.local.yml
  - KERNEL.md
 # L1 — Session type (~18%)
 L1:
  - now.md                          # bridge session précédente
  - agents/coach.md                 # coach complet — bilan et cap stratégique (pas boot-summary)
  - profil/objectifs.md             # objectifs actifs + prochaines étapes
  - profil/capital.md               # preuves CV, milestones, capital accumulé
  - progression/README.md           # état métabolique + ratio sessions + tendances
 # L2 — non applicable (capital = session introspective, pas de scope projet)
 L2:
  template: null
  extras: []
  fallback: null
 # L3 — On demand
 # progression/ détaillée, sessions passées, capital-scribe pour mise à jour capital.md
 L3:
  hint: "Charger à la demande : progression/ détaillée, sessions passées, capital-scribe"
 # --- Note capital ---
 # capital-scribe actif automatiquement si modification capital.md détectée en session.
 # Pas de projets/ en L2 — le coaching capital est orthogonal aux projets actifs.
 # session-coach = réflexion stratégique ; session-capital = capital pro + CV + milestones.
 # --- Métriques cibles ---
 context_target:
  L0: "~5%"
  L1: "~18%"
  L2: "0%"
  total_boot: "~23%"
--- a/contexts/session-coach.yml
+++ b/contexts/session-coach.yml
@@ -4,7 +4,7 @@
 session_type: coach
 description: "Session coaching — progression, réflexion, cap stratégique, clarté"
-tier_required: pro    # coaching complet (coach.md 365 lignes) = feature pro
+tier_required: featured    # coaching complet (coach.md) = tier featured (RAG + progression)
 # L0 — Invariant (~5%)
 L0:
--- a/contexts/session-deploy.yml
+++ b/contexts/session-deploy.yml
@@ -0,0 +1,46 @@
 # session-deploy.yml — Contexte BHP pour sessions de déploiement
 # Trigger : "brain boot mode deploy[/<project>]"
 # Cible : ~25% contexte max au boot
 session_type: deploy
 description: "Session de déploiement — VPS, Docker, SSL, CI/CD, infra"
 tier_required: pro    # deploy = agents vps/ci-cd/monitoring (tous pro)
 # L0 — Invariant (~5%)
 L0:
  - PATHS.md
  - brain-compose.local.yml
  - KERNEL.md
 # L1 — Session type (~15%)
 L1:
  - now.md                          # état dernière session — ce qui a changé, ce qui est en attente
  - focus.md                        # projets actifs — savoir quoi déployer
  - agents/vps.md                   # VPS, Apache, Docker, SSL, vhost, certbot  # tier: pro
  - agents/ci-cd.md                 # pipelines, GitHub Actions, Gitea CI         # tier: pro
  - agents/monitoring.md            # Kuma, alertes, logs post-déploiement        # tier: pro
 # L2 — Project scope (~8%) — optionnel sur projet déclaré
 L2:
  template: "projets/{project}.md"
  extras:
    - "todo/{project}.md"
  fallback: null
 # L3 — On demand
 # Exemples : agents/security.md (audit pré-deploy), agents/mail.md (DNS/DKIM),
 #            agents/pm2.md, agents/migration.md, config spécifique
 L3:
  hint: "Charger à la demande : security pre-deploy, mail/DNS, pm2, migration schema"
 # --- Règle deploy ---
 # agents/security.md NOT en L1 par défaut — deploy ≠ audit sécurité.
 # Charger si audit pré-déploiement explicitement demandé (→ session-audit).
 # agents/monitoring.md en L1 : toujours vérifier les alertes après deploy.
 # --- Métriques cibles ---
 context_target:
  L0: "~5%"
  L1: "~12%"
  L2: "~8%"
  total_boot: "~25%"
--- a/contexts/session-handoff.yml
+++ b/contexts/session-handoff.yml
@@ -0,0 +1,52 @@
 # session-handoff.yml — Contexte BHP pour sessions HANDOFF
 # Trigger : "brain boot mode HANDOFF[/<handoff-id>]"
 # Cible : ~15% contexte max au boot — minimum viable pour reprendre
 session_type: HANDOFF
 description: "Reprise d'une session via handoff — contexte minimal + fichier handoff cible"
 tier_required: free   # handoff = protocole BSI de base — disponible pour tous
 # L0 — Invariant (~5%)
 L0:
  - PATHS.md
  - brain-compose.local.yml
  - KERNEL.md
 # L1 — Session type (~8%) — chirurgical : seulement ce qu'il faut pour reprendre
 L1:
  - BRAIN-INDEX.md                  # trouver le handoff actif
 # L2 — Handoff scope (~5%) — fichier handoff si déclaré dans le signal
 # Signal : "HANDOFF/<handoff-id>" → charger le fichier handoff directement
 L2:
  template: "handoffs/{handoff_id}.md"
  extras: []
  fallback:
    - handoffs/LATEST.md            # si pas d'ID déclaré → dernier handoff
 # L3 — On demand
 # Exemples : context complet projet, agents métier, focus.md
 # Principe : le fichier handoff CONTIENT les pointeurs vers L3.
 # La nouvelle session lit le handoff → décide elle-même quoi charger.
 L3:
  hint: "Lire le handoff d'abord. Il indique quoi charger en L3."
 # --- Règle HANDOFF ---
 # Le handoff est la source de vérité pour la reprise.
 # Ne pas charger focus.md, metabolism, agents au boot — le handoff décide.
 # Après lecture du handoff → promouvoir le contexte nécessaire en L2 implicite.
 # Le claim ouvert doit référencer le handoff : parent_satellite ou story_angle.
 # --- Format handoff attendu ---
 # handoffs/<id>.md doit contenir :
 #   - Contexte de la session précédente (état, décisions, bloquants)
 #   - Fichiers à charger (L3 → L2 pour cette session)
 #   - Todos ouverts prioritaires
 #   - Signal de session recommandé pour la suite
 # --- Métriques cibles ---
 context_target:
  L0: "~5%"
  L1: "~5%"
  L2: "~5%"
  total_boot: "~15%"
--- a/contexts/session-infra.yml
+++ b/contexts/session-infra.yml
@@ -0,0 +1,45 @@
 # session-infra.yml — Contexte BHP pour sessions infrastructure
 # Trigger : "brain boot mode infra"
 # Focus : ops quotidien — monitoring, maintenance VPS, config, santé système
 # Distinct de session-deploy (deploy = ship code ; infra = ops/health/maintenance)
 # Cible : ~22% contexte max au boot
 session_type: infra
 description: "Session infrastructure — ops quotidien, maintenance VPS, santé système"
 tier_required: pro    # vps, pm2, monitoring = agents pro
 # L0 — Invariant (~5%)
 L0:
  - PATHS.md
  - brain-compose.local.yml
  - KERNEL.md
 # L1 — Session type (~14%)
 L1:
  - now.md                          # bridge session précédente
  - agents/coach-boot.md            # présence légère — pas de bilan complet en infra
  - agents/vps.md                   # VPS, Apache, Docker, SSL, vhost, certbot  # tier: pro
  - agents/pm2.md                   # process manager, restart, logs              # tier: pro
  - focus.md                        # projets actifs — contexte des services en cours
 # L2 — Project scope — optionnel si scope projet déclaré
 L2:
  template: "projets/{project}.md"
  extras: []
  fallback: null
 # L3 — On demand
 # agents/monitoring.md, agents/mail.md (DNS/DKIM), agents/ci-cd.md, agents/migration.md
 L3:
  hint: "Charger à la demande : monitoring, mail/DNS, ci-cd, migration schema, security pre-audit"
 # --- Distinction infra / deploy ---
 # infra  = état du système, maintenance, vérifications, config — pas de CI/CD au boot
 # deploy = livraison code, CI/CD, releases, pipeline — agents/ci-cd.md en L1
 # --- Métriques cibles ---
 context_target:
  L0: "~5%"
  L1: "~14%"
  L2: "~3%"
  total_boot: "~22%"
--- a/contexts/session-navigate.yml
+++ b/contexts/session-navigate.yml
@@ -22,6 +22,9 @@ L1:
  - focus.md                        # projets actifs + prochaine frontière
  - BRAIN-INDEX.md                  # claims actifs + signaux
  - todo/README.md                  # index intentions (warm — fichiers projet sur demande)
  - agents/guide.md                  # presentation systeme — accueil fresh fork + on demand
  - agents/catalogist.md             # exploration registres (agents, tiers, features)
  - agents/pathfinder.md             # routage intentionnel — oriente vers la bonne session
 # L2 — Project scope (~2%) — déclenché si project déclaré dans le signal
 L2:
--- a/contexts/session-urgence.yml
+++ b/contexts/session-urgence.yml
@@ -0,0 +1,45 @@
 # session-urgence.yml — Contexte BHP pour sessions incident/urgence
 # Trigger : "brain boot mode urgence"
 # Focus : incident prod, production down, hotfix critique
 # Mode conserve : automatique — cible context < 40%
 # Cible : ~15% contexte max au boot (mode conserve)
 session_type: urgence
 description: "Session urgence — incident prod, production down, hotfix critique"
 tier_required: pro    # vps, pm2, debug = agents pro
 # L0 — Invariant (~5%)
 L0:
  - PATHS.md
  - brain-compose.local.yml
  - KERNEL.md
 # L1 — Session type (~10%) — minimal, on va vite
 # Coach absent : urgence avant bilan pédagogique — invocation explicite si besoin
 L1:
  - agents/vps.md                   # VPS, Apache — infra down              # tier: pro
  - agents/pm2.md                   # process manager, restart, logs         # tier: pro
  - agents/debug.md                 # diagnostic, crash, comportement inattendu
 # L2 — non applicable (urgence = focus immédiat, pas de scope projet)
 L2:
  template: null
  extras: []
  fallback: null
 # L3 — On demand — déclenché après résolution
 L3:
  hint: "Après résolution : scribe (post-mortem), security (si faille), monitoring (état alertes)"
 # --- Règles urgence ---
 conserve: auto          # mode conserve activé automatiquement — cible context < 40%
 coach: silent           # coach silencieux sauf invocation explicite après résolution
 # post-mortem : scribe déclenché sur signal "résolution confirmée" ou "c'est résolu"
 # secrets-guardian : actif en passif — rotation clés si compromis suspects
 # --- Métriques cibles ---
 context_target:
  L0: "~5%"
  L1: "~10%"
  L2: "0%"
  total_boot: "~15%"
--- a/contexts/session-work.yml
+++ b/contexts/session-work.yml
@@ -16,10 +16,14 @@ L0:
 L1:
  - now.md                          # bridge session précédente
  - focus.md                        # focus actuel, todos prioritaires
-  - agents/coach.md                 # coach complet byTask — observe le projet en cours
+  - agents/coach-boot.md            # coach boot-summary — observe le projet en cours (free)
  - agents/debug.md                 # bug, crash, comportement inattendu
  - metabolism/README.md            # état métabolique, énergie session
 # L1_featured — chargé si tier: featured+ — coach complet remplace coach-boot
 L1_featured:
  - agents/coach.md                 # coach complet byTask — observe le projet en cours
 # L1_pro — Session type (~5%) — chargé uniquement si tier: pro déclaré
 # Pas de code-review ni security pour tier free — chargement explicite sur demande sinon
 L1_pro:
--- a/docs/README.md
+++ b/docs/README.md
@@ -1,6 +1,7 @@
 # docs/ — Documentation humaine
 > Guides lisibles sans contexte brain. Pour forks, onboarding, ou quand tu veux comprendre comment ca marche.
 > L'histoire du projet → [story.tetardtek.com](https://story.tetardtek.com)
 ---
--- a/docs/agents.md
+++ b/docs/agents.md
@@ -1,8 +1,12 @@
 # Le brain en 30 secondes
-Un brain, c'est un systeme de **specialistes IA** qui travaillent ensemble. Chaque specialiste (agent) fait une chose bien : debugger, reviewer du code, deployer, ecrire des tests. Tu n'en charges jamais plus de 5 a la fois — le brain sait lesquels activer selon ce que tu fais.
+## Pourquoi un brain plutot que Claude seul ?
-Tu forkes le brain, tu codes. Les agents se chargent automatiquement.
+Claude est puissant. Mais a chaque session, il repart de zero. Tu re-expliques ton projet, ta stack, tes conventions. Tu repetes les memes consignes. Tu perds du contexte a chaque compaction.
 Le brain resout ca : **un systeme de specialistes IA qui persistent entre sessions.** Chaque specialiste (agent) fait une chose bien — debugger, reviewer du code, deployer, ecrire des tests. Ils connaissent tes regles, ta stack, tes decisions passees. Tu n'en charges jamais plus de 5 a la fois — le brain sait lesquels activer selon ce que tu fais.
 Tu forkes le brain, tu codes. Les agents se chargent automatiquement. Ton contexte survit aux sessions.
 ---
@@ -10,25 +14,25 @@ Tu forkes le brain, tu codes. Les agents se chargent automatiquement.
 > 🟢 **free — Tu forkes, ca marche**
 >
-> **14 agents + 8 systeme. 6 sessions.** Pas de cle API, pas de config.
+> **17 agents + 9 systeme. 6 sessions.** Pas de cle API, pas de config.
 >
-> Debug, brainstorm, scribes automatiques, protection secrets, creation d'agents custom. Le coach observe en arriere-plan.
+> Debug, brainstorm, scribes automatiques, protection secrets, creation d'agents custom. 3 agents d'onboarding (guide, catalogist, pathfinder) pour t'orienter. Le coach observe en arriere-plan.
 > 🔵 **featured — Le brain te connait**
 >
-> **18 agents + systeme. 8 sessions.** Le coach se reveille.
+> **21 agents + systeme. 8 sessions.** Le coach se reveille.
 >
 > Bilans de session, objectifs concrets, progression tracee. Le brain se souvient de tes acquis entre sessions grace a la distillation RAG.
 > 🟠 **pro — L'atelier complet**
 >
-> **40 agents + systeme. 12 sessions.** Tu ship en prod.
+> **42 agents + systeme. 14 sessions.** Tu ship en prod.
 >
 > Code review (7 priorites), audit securite (8 priorites OWASP), tests automatises, 3 optimiseurs perf, deploy VPS + CI/CD + SSL, sessions urgence et infra.
 > 🟣 **full — Ton brain, tes regles**
 >
-> **75 agents (tous). 15 sessions.** Tu es owner.
+> **81 agents (tous). 15 sessions.** Tu es owner.
 >
 > Modification du kernel, copilotage long (mode pilote), supervision multi-phase (hypervisor), coach proactif qui anticipe.
@@ -66,6 +70,11 @@ Charge les agents security et code-review
 **Ils ne chargent que l'essentiel.** Un agent de 200 lignes → ~25 lignes au boot. Le reste se charge quand tu en as besoin.
 **Premier fork ? 3 agents t'orientent.**
 - `guide` — presente le systeme, repond a "c'est quoi ce truc ?"
 - `catalogist` — explore ce qui est disponible (agents, tiers, features)
 - `pathfinder` — t'oriente vers la bonne session selon ce que tu veux faire
 ---
 ## Explore les agents par famille
@@ -80,10 +89,19 @@ Charge les agents security et code-review
 ---
 ## Pour aller plus loin
 **L'histoire du projet** — [story.tetardtek.com](https://story.tetardtek.com) raconte le pourquoi, le parcours, les decisions. Si tu veux comprendre la vision avant de fork.
 ---
 ## Nouveautes
 | Date | Quoi de neuf |
 |------|-------------|
 | 2026-03-21 | 3 agents onboarding (guide, catalogist, pathfinder) — le brain accueille les nouveaux |
 | 2026-03-21 | Docs live — git pull = docs a jour, zero rebuild |
 | 2026-03-21 | VPS scission — vitrine template publique separee du brain prod |
 | 2026-03-20 | Agents 87% plus legers au boot |
 | 2026-03-20 | Coach adaptatif — 5 comportements selon la session |
 | 2026-03-20 | Fermeture fiable — sequence deterministe |
--- a/docs/architecture.md
+++ b/docs/architecture.md
@@ -10,7 +10,7 @@ Le brain c'est 3 couches :
 **1. Le kernel** — l'identite
 - Les regles qui ne changent pas (KERNEL.md, constitution, PATHS.md)
- Les agents specialises (~75 fichiers .md)
+- Les agents specialises (~81 fichiers .md)
 - Le profil de collaboration
 - Le brain-compose.yml (config, tiers, modes)
--- a/docs/getting-started.md
+++ b/docs/getting-started.md
@@ -1,6 +1,7 @@
 # Demarrer avec le brain — le vrai tuto
 > Du fork au premier `brain boot`. 10 minutes.
 > Envie de comprendre le projet avant de fork ? → [story.tetardtek.com](https://story.tetardtek.com)
 ---
@@ -147,7 +148,6 @@ kill $(cat /tmp/brain-engine.pid)
 Ouvre un **nouveau terminal** (brain-engine tourne dans l'autre) :
 ```bash
 cd ~/Dev/Brain
 claude
 ```
@@ -157,6 +157,8 @@ Claude Code s'ouvre. Tape :
 brain boot
 ```
 > Tu n'as pas besoin d'etre dans le dossier brain. `brain boot` fonctionne depuis n'importe quel repertoire — les chemins dans `~/.claude/CLAUDE.md` sont absolus.
 ### Ce que tu dois voir
 ```
@@ -211,8 +213,8 @@ cp profil/CLAUDE.md.example ~/.claude/CLAUDE.md
 # 3. Lancer le dashboard (optionnel, a chaque session)
 bash brain-engine/start.sh
-# 4. Lancer Claude Code (a chaque session)
+# 4. Lancer Claude Code (a chaque session, depuis n'importe ou)
-cd ~/Dev/Brain && claude
+claude
 # Puis : brain boot
 ```
@@ -242,6 +244,20 @@ git fetch upstream
 git merge upstream/main
 ```
 ### J'utilise Gitea self-hosted et git clone echoue ?
 Gitea en Docker ecoute souvent sur un port SSH non standard (2222 au lieu de 22). Ajoute dans `~/.ssh/config` :
 ```
 Host git.example.com
    HostName git.example.com
    Port 2222
    User git
    IdentityFile ~/.ssh/id_ed25519
 ```
 Puis ajoute la host key : `ssh-keyscan -p 2222 git.example.com >> ~/.ssh/known_hosts`
 ### Ou est la documentation complete ?
 - Dashboard : `http://localhost:7700/ui/` → onglet Docs
--- a/docs/vue-free.md
+++ b/docs/vue-free.md
@@ -1,6 +1,6 @@
 # 🟢 free — Ce que tu as
-> 🟢 **14 agents invocables + 8 systeme. 6 sessions. Pas de cle, pas de config.**
+> 🟢 **17 agents invocables + 9 systeme. 6 sessions. Pas de cle, pas de config.**
 ---
@@ -36,6 +36,12 @@
 - `pattern-scribe` — detection patterns recurrents
 - `time-anchor` — conscience temporelle, recontextualisation
 **S'orienter**
 - `guide` — presentation du systeme, accueil fresh fork
 - `catalogist` — exploration des registres (agents, tiers, features)
 - `pathfinder` — routage intentionnel, oriente vers la bonne session
 ---
 ## Agents systeme
--- a/docs/vue-tiers.md
+++ b/docs/vue-tiers.md
@@ -7,7 +7,7 @@
 ## 🟢 free — Ce que tu as
-> 🟢 **14 agents invocables + 8 systeme. 6 sessions.**
+> 🟢 **17 agents invocables + 9 systeme. 6 sessions.**
 ### Sessions
@@ -37,6 +37,11 @@
 - `pattern-scribe` — detection patterns recurrents
 - `time-anchor` — conscience temporelle, recontextualisation
 **S'orienter**
 - `guide` — presentation du systeme, accueil fresh fork
 - `catalogist` — exploration des registres (agents, tiers, features)
 - `pathfinder` — routage intentionnel, oriente vers la bonne session
 ### Agents systeme (tournent a chaque boot)
 - `helloWorld` — briefing, claim BSI
--- a/profil/CLAUDE.md.example
+++ b/profil/CLAUDE.md.example
@@ -1,27 +1,46 @@
 ---
 name: CLAUDE-example
 type: config
 context_tier: cold
 ---
 # CLAUDE.md — Bootstrap
-# Copier vers ~/.claude/CLAUDE.md puis remplacer <BRAIN_ROOT> par le chemin réel
+
 > **Fichier global** — `~/.claude/CLAUDE.md` — charge par Claude Code peu importe le cwd.
 > `brain boot` fonctionne depuis n'importe quel repertoire : les chemins ci-dessous sont absolus.
 > Ne jamais creer de CLAUDE.md projet qui override ce fichier sans raison explicite.
 ## Configuration machine (seul endroit a modifier sur une nouvelle machine)
 brain_root: <BRAIN_ROOT>
-brain_name: <BRAIN_NAME>     ← prod / dev-laptop / template-test / etc.
+brain_name: <BRAIN_NAME>
 ---
 ## Bootstrap (obligatoire, dans l'ordre)
-0. `<BRAIN_ROOT>/PATHS.md`               — chemins machine
+0. `<BRAIN_ROOT>/PATHS.md`                    — chemins machine
-1. `<BRAIN_ROOT>/profil/collaboration.md` — regles de travail
+1. `<BRAIN_ROOT>/profil/collaboration.md`      — regles de travail
-2. `<BRAIN_ROOT>/agents/coach-boot.md`    — presence permanente (boot-summary L0)
+2. `<BRAIN_ROOT>/agents/coach-boot.md`         — presence permanente (boot-summary L0)
-3. `<BRAIN_ROOT>/agents/secrets-guardian.md` — gardien secrets, permanent
+3. `<BRAIN_ROOT>/agents/secrets-guardian.md`   — gardien secrets, permanent, lit MYSECRETS silencieusement
-4. `<BRAIN_ROOT>/agents/helloWorld.md`    — briefing, focus, todos, CHECKPOINT, feature flags
+4. `<BRAIN_ROOT>/agents/helloWorld.md`         — briefing, focus, todos, CHECKPOINT, feature flags
 helloWorld prend le relais : etat projets, todos prioritaires, detection de session, feature_set, CHECKPOINT.
 Ne pas demander a l'utilisateur de se redecrire — tout est dans le brain.
-> **Satellites manquants :** si todo/, toolkit/, progression/, reviews/ n'existent pas,
+> **BSI boot claim — non negociable** : apres le briefing, ouvrir un claim via `bash scripts/bsi-claim.sh open` (ADR-042).
-> le brain continue sans eux. helloWorld signale ce qui manque et propose de les creer.
+> brain.db = source unique. Pas de commit git, pas de push. Voir protocole complet dans helloWorld.md ## Boot claim automatique.
-> Ce n'est PAS une erreur — c'est un fresh fork.
+
 > **brain boot navigate** (ou `brain boot mode navigate`) → charger `contexts/session-navigate.yml`
 > via le BHP helloWorld — fenetre legere (~18%), time-anchor actif, coach en boot-summary uniquement.
 > **brain boot sudo** (ou `brain boot mode edit-brain`) → charger `contexts/session-edit-brain.yml`
 > Writes autorises partout dans le brain. Kernel (PATHS.md, KERNEL.md, CLAUDE.md) → confirmation explicite.
 > **brain boot mode kernel** → charger `contexts/session-kernel.yml`
 > Lecture seule sur le kernel. Toute tentative write kernel → refus + redirection session-edit-brain.
 > **brain boot mode projet** → alias de `brain boot mode work` — meme session, meme contexte.
 > Source unique de verite : brain `<BRAIN_NAME>` a `<BRAIN_ROOT>`.
 > Si d'autres repertoires brain sont visibles sur le systeme — les ignorer.
@@ -29,14 +48,39 @@ Ne pas demander a l'utilisateur de se redecrire — tout est dans le brain.
 ---
-## Agents 🔴 chauds — detection automatique sur domaine
+## MCP brain — interface cognitive live
 Le brain expose 7 outils MCP sur `<BRAIN_API_URL>/mcp/`.
 A utiliser EN PLUS du bootstrap fichiers — pas a la place (CLAUDE.md reste Layer 0).
 **Reflexes de session :**
 - `brain_boot()`        → enrichit le contexte avec les chunks RAG les plus pertinents
 - `brain_focus()`       → direction active + projets + blockers (live, pas le fichier stale)
 - `brain_workflows()`   → sprints en cours + etats des steps
 - `brain_agents('X')`   → charge le contenu d'un agent en contexte
 - `brain_decisions(5)`  → ADRs recentes
 - `brain_search('q')`   → RAG semantique sur n'importe quel sujet
 - `brain_write('p', c)` → ecriture fichier brain [owner only]
 **Quand utiliser :**
 - Debut de session longue → `brain_boot()` + `brain_focus()` + `brain_workflows()`
 - Avant de charger un agent → `brain_agents('nom-agent')` si contexte insuffisant
 - Recherche de contexte precis → `brain_search('sujet')`
 - Mise a jour brain en session → `brain_write('fichier.md', contenu)`
 > MCP enrichit le contexte — ne remplace pas Layer 0. Les fichiers restent la source de verite.
 ---
 ## Agents chauds — detection automatique sur domaine
 | Domaine detecte | Agent |
 |-----------------|-------|
 | VPS, Apache, Docker, SSL, vhost, certbot, deploy | `agents/vps.md` |
 | Mail, SMTP, IMAP, Stalwart, DNS, SPF, DKIM | `agents/mail.md` |
 | Review code, qualite, PR, validation avant prod | `agents/code-review.md` |
-| Securite, faille, JWT, OAuth, OWASP, secrets | `agents/security.md` |
+| Securite, faille, JWT, OAuth, OWASP | `agents/security.md` |
 | .env, secrets, credentials, token manquant, API key, MYSECRETS | `agents/secrets-guardian.md` |
 | Tests, Jest, Vitest, coverage, TDD | `agents/testing.md` |
 | Bug, erreur, crash, comportement inattendu | `agents/debug.md` |
 | Refacto, dette technique, DDD | `agents/refacto.md` |
@@ -50,8 +94,9 @@ Ne pas demander a l'utilisateur de se redecrire — tout est dans le brain.
 | Stack frontend, shadcn, Tailwind, UI libs | `agents/frontend-stack.md` |
 | i18n, traductions, cles manquantes | `agents/i18n.md` |
 | README, doc API, Swagger | `agents/doc.md` |
 | Game design, GDD, mecanique, equilibrage, progression jeu | `agents/game-designer.md` |
-Agents 🔵 stables → invocation manuelle uniquement. Index complet : `agents/AGENTS.md`
+Agents stables → invocation manuelle uniquement. Index complet : `agents/AGENTS.md`
 Invocation explicite : "charge l'agent X" → lire `agents/X.md` immediatement.
 Convention /btw : message prefixe `/btw` → agent `aside` — reponse 2-3 lignes, capture todo si actionnable, retour session explicite (`→ on reprend.`)
@@ -65,3 +110,6 @@ Convention /btw : message prefixe `/btw` → agent `aside` — reponse 2-3 ligne
 - Ne jamais exposer secrets, tokens, cles privees
 - Fait non verifie → `Information manquante`
 - Incertitude → `Niveau de confiance: faible/moyen/eleve`
 - Secret detecte (code, chat, shell, output outil) ACCIDENTELLEMENT → SESSION SUSPENDUE — afficher l'interruption, ne jamais continuer avant confirmation explicite
 - Exception : "session securite active" declaree explicitement → suspension levee pour la session. Les valeurs ne s'affichent JAMAIS dans le chat meme en mode securite. Read tool sur MYSECRETS interdit meme en mode securite — utiliser Bash silencieux uniquement.
 - identityShow: on (defaut owner) — agents utilisent leurs marqueurs visuels complets (prefixes, emojis). Consequence de kerneluser: true dans brain-compose.yml.
--- a/Show More
+++ b/Show More
Author	SHA1	Message	Date
Tetardtek	b53e134ecf	fix: docs.html auto-detect API path — fonctionne local ET derriere proxy	2026-03-21 21:14:32 +01:00
Tetardtek	9a35ddf45f	fix: docs.html API path vide — fonctionne en local sans proxy Apache	2026-03-21 21:13:37 +01:00
Tetardtek	15eab804e2	fix: VITE_BRAIN_API vide par defaut — requetes relatives au meme serveur localhost:7700 ne marche que si le navigateur est sur la meme machine. Avec un VITE_BRAIN_API vide, les requetes sont relatives — fonctionne que brain-engine soit sur localhost, LAN, ou derriere un proxy.	2026-03-21 20:55:46 +01:00
Tetardtek	45b7e0455c	fix: setup.sh cree .env.local automatiquement — brain-ui pointe vers localhost:7700 Sans ce fichier, VITE_BRAIN_API est vide et les docs ne chargent pas en local (requetes relatives = 404 sans proxy Apache).	2026-03-21 20:50:19 +01:00
Tetardtek	73ebc50069	fix: setup.sh — build brain-ui avec npm directement (plus de build.sh)	2026-03-21 20:27:30 +01:00
Tetardtek	e0087794c8	fix: supprimer symlinks public/docs/ — cassent le build sur tout fork Les docs sont servies live par brain-engine depuis docs/. Les symlinks dans public/docs/ pointaient vers des chemins absolus de la machine de dev — crash garanti au build sur un autre poste.	2026-03-21 20:20:24 +01:00
Tetardtek	7e4986e8c6	sync: kernel v0.8.0 → template	2026-03-21 20:03:39 +01:00
Tetardtek	e40e22c949	sync: kernel v0.8.0 → template	2026-03-21 19:57:40 +01:00
Tetardtek	667e84aa30	feat: template UI — onglets owner disabled avec label 'soon' + tooltip	2026-03-21 17:56:16 +01:00
Tetardtek	a043fd0285	fix: template UI — retirer onglets owner (workflows, secrets, infra, builder)	2026-03-21 17:54:33 +01:00
Tetardtek	1eada64913	fix: docs lien externe vers docs.html — aligné avec prod (pas de DocsView SPA)	2026-03-21 17:38:07 +01:00
Tetardtek	0b066f729a	fix: restaurer docs.html + symlinks public/docs/ (page docs séparée) - docs.html: page HTML autonome (marked.js, sidebar, live/static mode) - public/docs/: symlinks relatifs vers docs/*.md (portables entre machines) - Revient sur la suppression de la PR Cortex — la page séparée est nécessaire	2026-03-21 17:31:14 +01:00
Tetardtek	71b2be5ea9	fix: sync Cosmos zones (instance+satellite colors) depuis brain prod	2026-03-21 17:29:36 +01:00
Tetardtek-Cortex	5c060dcc1c	fix: start.sh auto-build brain-ui + /health tolerant sans Ollama + docs source unique brain-engine - start.sh: detecte brain-ui/dist absent → build auto si Node dispo, warning sinon - start.sh: lien docs pointe vers /ui/docs (page rendue) au lieu de /docs (JSON) - server.py /health: tolere absence table embeddings (pas d'Ollama = indexed:0, pas crash) - server.py /docs/view: redirect 302 → /ui/docs pour navigateurs - public/docs/ supprime: source unique = docs/ servi par brain-engine API	2026-03-21 17:16:19 +01:00
Tetardtek	02e19fcd7c	feat: brain-engine start/stop/status — lifecycle visible pour les forks - start.sh: background par défaut, PID tracké, --foreground pour debug - stop.sh: arrêt propre avec grace period 5s + force kill - status.sh: running/stopped, vérification port, exit code scriptable - getting-started: docs mis à jour (plus de nohup/kill manuels) - .gitignore: .brain-engine.pid	2026-03-21 16:49:18 +01:00
Tetardtek	2c7e2393b4	feat: guide + catalogist + pathfinder — onboarding generique free tier 3 agents generiques forges pour le premier contact : - guide: presente le systeme depuis ses docs (read-only, factuel) - catalogist: explore registres (agents, tiers, features), compare - pathfinder: route vers le bon workflow/session, propose l'escalade Pattern reutilisable : les agents ne sont pas brain-specifiques. Le contexte injecte (docs, registre, workflows) determine le systeme. Cables en session-navigate L1 + brain-compose.yml free tier. Decision : session-man = brain boot navigate enrichi, pas un type separe.	2026-03-21 16:30:53 +01:00
Tetardtek	3320d5693f	fix: setup.sh explique les satellites + lien docs dans getting-started	2026-03-21 16:17:50 +01:00
Tetardtek	2e1f424fef	fix: setup.sh dérive brain_name du dossier + kernel_version aligné 0.8.0 - brain_name: placeholder <BRAIN_NAME> dérivé de basename du dossier - kernel_version: 0.9.0 → 0.8.0 (aligné avec brain-compose.yml)	2026-03-21 16:16:30 +01:00
Tetardtek	30448feb41	fix: CLAUDE.md template sync + brain boot depuis n'importe quel cwd	2026-03-21 15:46:42 +01:00
Tetardtek	2fd53cce8e	sync: scission owner/template + brain-template-export + BRAIN_MODE guard + /visualize scope filter + port orphelins fix	2026-03-21 02:34:47 +01:00
Tetardtek	78323a0094	fix: coach depersonnalise (Tetardtek → l'owner)	2026-03-20 22:10:19 +01:00
Tetardtek	b51ea60579	feat: AgentCatalog dynamique + route /ui/docs directe + URL sync	2026-03-20 22:06:08 +01:00