chore(main): release 0.8.42

[github-actions]

🤖 I have created a release beep boop

0.8.42 (2026-06-13)

Bug Fixes

• agent: исправить прерываемый retry backoff (fc48558)
• autonomous: проверять реальные параметры TON-расходов (6e73eb5)
• backup: запретить path traversal при восстановлении (97e4ee1)
• backup: запретить path traversal при восстановлении backup (3ab689f)
• bot: изолировать rate limit плагинов по пользователям (54be19c)
• ci: устранить падения release-PR — esbuild advisory и рассинхрон версии README (3b11a13)
• memory: повторять удаление удалённых векторов (24a31bf)
• memory: повторять удаление удалённых векторов (b9d8e92)
• security: запретить redirect в pinned MCP fetch (914f74f)
• security: защитить MCP URL от DNS rebinding (4afabc7)
• security: защитить regex политики от ReDoS (ffdc274)
• security: форсировать esbuild>=0.28.1 (GHSA-gv7w-rqvm-qjhr) (25a6785)
• запретить fallback-ключ для credentials интеграций (083981c)

Documentation

• readme: синхронизировать версию форка 0.8.41 (9cbaa6d)
• обновить версию fork в README (34a4f2c)

Build System

• release-please: автосинхронизация версии форка в README (f0b36c4)

---

This PR was generated with Release Please. See documentation.

[konard]

🤖 AI Work Session Started

Starting automated work session at 2026-06-12T11:29:47.048Z

The PR has been converted to draft mode while work is in progress.

This comment marks the beginning of an AI work session. Please wait for the session to finish, and provide your feedback.

[konard]

Проверил release PR локально на актуальном upstream head ec5b9b1.

Нашел падение npm run test:coverage: src/docs/__tests__/readme.test.ts ожидает строку Current fork version: 0.8.42, но README.md остался на 0.8.41.

Исправление сделал и сохранил в одноименной ветке fork: konard@bca3d54

Локально после исправления прошли:

• npx vitest run src/docs/__tests__/readme.test.ts
• npm run test:coverage
• npm run typecheck
• npm run lint
• npm run format:check
• cd web && npm run check:i18n
• npm run build
• npm run generate:openapi без diff в docs/api-reference
• npm run lint:openapi
• npm run audit:ci
• docker compose -f compose.yaml config --quiet

Не смог обновить сам PR #596: его head-ветка находится в xlabtg/teleton-agent, и push в upstream вернул 403 Permission to xlabtg/teleton-agent.git denied to konard. Текущие GitHub Actions для PR на ec5b9b1 имеют статус action_required и не содержат job-логов. Нужен maintainer action: запушить/cherry-pick коммит bca3d54 в upstream ветку release-please--branches--main--components--teleton и approve/re-run workflows.

[konard]

🤖 Solution Draft Log

This log file contains the complete execution trace of the AI solution draft process.

💰 Cost estimation:

• Model: GPT-5.5
• Provider: OpenAI
• Public pricing estimate: $5.450773

📊 Context and tokens usage:

• 147.7K / 1.1M (14%) input tokens, 24.5K / 128K (19%) output tokens

Total: (147.7K + 2.9M cached) input tokens, 24.5K output tokens, $5.450773 cost

🤖 Models used:

• Tool: OpenAI Codex
• Requested: gpt-5.5
• Model: GPT-5.5 (gpt-5.5)

📎 Log file uploaded as Repository (28111KB)

• View complete solution draft log

---

Now working session is ended, feel free to review and add any feedback on the solution draft.

[konard]

✅ Ready to merge

This pull request is now ready to be merged:

• CI workflows completed without executing (action_required)
• No merge conflicts
• No pending changes

---

Monitored by hive-mind with --auto-restart-until-mergeable flag

[konard]

🤖 AI Work Session Started

Starting automated work session at 2026-06-13T16:32:39.987Z

The PR has been converted to draft mode while work is in progress.

This comment marks the beginning of an AI work session. Please wait for the session to finish, and provide your feedback.

[konard]

🤖 Разбор падающих проверок CI release-PR #596

Проверил два падающих чека на upstream head ec5b9b1.

1. CI / Test — тест версии README

src/docs/__tests__/readme.test.ts ожидает Current fork version: \0.8.42`, но README.mdостался на0.8.41.. Уже исправлено ранее коммитом [bca3d54`](konard@bca3d54) в одноимённой ветке fork.

2. Security audit — новая high-уязвимость esbuild

npm run audit:ci падает на новой advisory GHSA-gv7w-rqvm-qjhr (esbuild RCE через NPM_CONFIG_REGISTRY, диапазон >=0.17.0 <0.28.1). Уязвимый esbuild тянется транзитивно через vite, vitest, tsup, tsx (только dev-зависимости).

Исправление — добавил override на исправленную версию esbuild в package.json (3e9523f):

"overrides": {
  ...
  "esbuild": ">=0.28.1",
  ...
}

Это форсирует esbuild@0.28.1 по всем путям (npm ls esbuild подтверждает dedupe) и согласуется с уже принятым в репозитории способом борьбы с уязвимостями через overrides.

Локальная верификация (после обоих исправлений)

• ✅ npm run audit:ci — Passed npm security audit (high: 0; ранее было 7 high)
• ✅ npx vitest run src/docs/__tests__/readme.test.ts — 3 passed
• ✅ npm run typecheck
• ✅ npm run lint
• ✅ npm run build (sdk + backend через tsup/esbuild 0.28.1)
• ✅ npm test — 3727 passed (единственное падение service.test.ts воспроизводится только при параллельном прогоне и проходит в изоляции — flaky, не связано с правкой)

⚠️ Нужно действие maintainer

Head-ветка PR #596 находится в xlabtg/teleton-agent, push туда возвращает 403 для konard. Оба коммита лежат в одноимённой ветке моего fork:

• bca3d54 — синхронизация версии README
• 3e9523f — override esbuild>=0.28.1

Пожалуйста, cherry-pick/запушьте эти коммиты в upstream-ветку release-please--branches--main--components--teleton (или примените правки в main, чтобы release-please перегенерировал PR), затем перезапустите workflows.

[konard]

🤖 Solution Draft Log

This log file contains the complete execution trace of the AI solution draft process.

💰 Cost estimation:

• Public pricing estimate: $1.492534
• Calculated by Anthropic: $1.670906
• Difference: $0.178373 (+11.95%)

📊 Context and tokens usage:

• 60.6K / 1M (6%) input tokens, 16.7K / 128K (13%) output tokens

Total: (3.2K new + 47.6K cache writes + 1.5M cache reads) input tokens, 16.7K output tokens, $1.492534 cost

🤖 Models used:

• Tool: Anthropic Claude Code
• Requested: opus
• Model: Claude Opus 4.8 (claude-opus-4-8)

📎 Log file uploaded as Gist (1043KB)

• View complete solution draft log

---

Now working session is ended, feel free to review and add any feedback on the solution draft.

[konard]

🔄 Auto-restart triggered (iteration 1)

Reason: CI failures detected

Starting new session to address the issues.

---

Auto-restart-until-mergeable mode is active. This run will stop after 5 restart iterations.

[konard]

Исправление падающих CI-проверок (Security audit + CI / Test)

Обе проверки чинятся двумя коммитами, которые уже подготовлены и верифицированы в ветке release-please--branches--main--components--teleton:

• 3e9523f fix(security): форсировать esbuild>=0.28.1 — добавляет override esbuild >=0.28.1 в package.json и поднимает esbuild до 0.28.1 в package-lock.json, устраняя GHSA-gv7w-rqvm-qjhr (esbuild: Missing binary integrity verification …). Это новое advisory, из-за которого npm run audit:ci начал падать.
• bca3d54 docs(readme): синхронизировать версию форка 0.8.42 — обновляет строку Current fork version: 0.8.42 в README.md под версию релиза, из-за чего падал src/docs/__tests__/readme.test.ts.

Проверка

• Security audit — зелёный в реальном прогоне CI (workflow_dispatch на форке): npm run audit:ci → Passed npm security audit.
• CI / Test — локально весь набор npm run test:coverage проходит: Test Files 234 passed, Tests 3728 passed (включая ранее падавший readme.test.ts).
• Сборки Build (Runtime) 20/22 и SDK with DTS зелёные — esbuild 0.28.1 совместим.

Что нужно

Эти коммиты находятся в форке konard/xlabtg-teleton-agent (HEAD 3e9523f), но ветка PR release-please--branches--main--components--teleton принадлежит самому репозиторию xlabtg/teleton-agent, к которому у меня доступ только на чтение. Чтобы CI пересчитался зелёным, мейнтейнеру с write-доступом нужно перенести (fast-forward) эти два коммита в ветку релиза — содержимое релиза при этом не меняется.

[konard]

🔄 Auto-restart-until-mergeable Log (iteration 1)

This log file contains the complete execution trace of the AI solution draft process.

💰 Cost estimation:

• Public pricing estimate: $2.664733
• Calculated by Anthropic: $4.610772
• Difference: $1.946040 (+73.03%)

📊 Context and tokens usage:

• 86.3K / 1M (9%) input tokens, 33.2K / 128K (26%) output tokens

Total: (3.1K new + 73.4K cache writes + 2.7M cache reads) input tokens, 33.2K output tokens, $2.664733 cost

🤖 Models used:

• Tool: Anthropic Claude Code
• Requested: opus
• Model: Claude Opus 4.8 (claude-opus-4-8)

📎 Log file uploaded as Gist (2395KB)

• View complete solution draft log

---

Now working session is ended, feel free to review and add any feedback on the solution draft.

[konard]

🔄 Auto-restart triggered (iteration 2)

Reason: CI failures detected

Starting new session to address the issues.

---

Auto-restart-until-mergeable mode is active. This run will stop after 5 restart iterations.

[konard]

🤖 Корневая причина устранена в отдельном PR в main

Падают два чека (CI / Test и Security audit). Принципиальная проблема: head-ветка этого release-PR (release-please--branches--main--components--teleton) живёт в xlabtg/teleton-agent и перезаписывается ботом release-please при каждом прогоне, поэтому любые ручные коммиты прямо в неё нестабильны (плюс push в upstream возвращает 403 для konard). Значит, чинить нужно main — после мержа release-please перегенерирует этот PR уже с исправлениями.

Подготовил корневую правку: #603.

Что в #603:

1. fix(security) — override "esbuild": ">=0.28.1" против GHSA-gv7w-rqvm-qjhr (esbuild тянется транзитивно через vite/vitest/tsup/tsx). Это чинит Security audit и здесь, и на самом main (там сейчас esbuild@0.27.2).
2. build(release-please) — extra-files: ["README.md"] + аннотация <!-- x-release-please-version -->, чтобы release-please поднимал «Current fork version» в README синхронно с package.json. Это убирает повторяющееся падение readme.test.ts на каждом release-PR (а не только в этом релизе).

Локальная верификация (на ветке от main): npm run audit:ci → Passed (high: 0), vitest run readme.test.ts → 3 passed.

👉 Действие для maintainer: смержить #603 в main. После этого release-please перегенерирует #596 с обоими исправлениями, и оба чека станут зелёными.

[konard]

🔄 Auto-restart-until-mergeable Log (iteration 2)

This log file contains the complete execution trace of the AI solution draft process.

💰 Cost estimation:

• Public pricing estimate: $4.005300
• Calculated by Anthropic: $8.958954
• Difference: $4.953654 (+123.68%)

📊 Context and tokens usage:

• 111.3K / 1M (11%) input tokens, 40.1K / 128K (31%) output tokens

Total: (3.2K new + 91.4K cache writes + 4.8M cache reads) input tokens, 40.1K output tokens, $4.005300 cost

🤖 Models used:

• Tool: Anthropic Claude Code
• Requested: opus
• Model: Claude Opus 4.8 (claude-opus-4-8)

📎 Log file uploaded as Gist (4243KB)

• View complete solution draft log

---

Now working session is ended, feel free to review and add any feedback on the solution draft.

[konard]

✅ Ready to merge

This pull request is now ready to be merged:

• CI workflows completed without executing (action_required)
• No merge conflicts
• No pending changes

---

Monitored by hive-mind with --auto-restart-until-mergeable flag