ticket: add plugin tool followups

2026-06-16 00:00:14 +09:00 · 2026-06-16 00:00:14 +09:00 · f223bf44ce
commit f223bf44ce
parent 425a6c66a8
12 changed files with 357 additions and 0 deletions
--- a/.yoi/tickets/00001KV5W3PHA/artifacts/.gitkeep
+++ b/.yoi/tickets/00001KV5W3PHA/artifacts/.gitkeep
--- a/.yoi/tickets/00001KV5W3PHA/artifacts/relations.json
+++ b/.yoi/tickets/00001KV5W3PHA/artifacts/relations.json
@ -0,0 +1,21 @@
+{
+  "version": 1,
+  "relations": [
+    {
+      "ticket_id": "00001KV5W3PHA",
+      "kind": "depends_on",
+      "target": "00001KV5R5V2S",
+      "note": "Tool surface registration consumes resolved Plugin package metadata.",
+      "author": "yoi ticket",
+      "at": "2026-06-15T14:50:28Z"
+    },
+    {
+      "ticket_id": "00001KV5W3PHA",
+      "kind": "related",
+      "target": "00001KSXRQ4G8",
+      "note": "Plugin runtime/surface/host API design record.",
+      "author": "yoi ticket",
+      "at": "2026-06-15T14:50:28Z"
+    }
+  ]
+}
--- a/.yoi/tickets/00001KV5W3PHA/item.md
+++ b/.yoi/tickets/00001KV5W3PHA/item.md
@ -0,0 +1,85 @@
+---
+title: 'Plugin: register enabled Tool surface from packages'
+state: 'ready'
+created_at: '2026-06-15T14:48:59Z'
+updated_at: '2026-06-15T14:50:28Z'
+assignee: null
+readiness: 'implementation_ready'
+risk_flags: ['plugin', 'tool-registry', 'model-visible-schema', 'capability-boundary', 'profile-config']
+---
+
+## Background
+
+Plugin package discovery / explicit enablement resolver の次に、enabled Plugin package から Tool surface を読み取り、通常の `ToolRegistry` に登録できるようにする。
+
+この Ticket の目的は、Plugin package 由来の Tool 定義が Yoi の既存 Tool 経路に安全に乗る境界を作ること。Plugin code execution / WASM runtime はまだ行わない。Tool が model-visible schema として見えるか、enablement なしでは出ないか、invalid / duplicate な Tool 定義が fail closed になるかを先に固める。
+
+## Requirements
+
+- `00001KV5R5V2S` の resolved Plugin metadata を入力として扱う。
+- Enabled Plugin package の manifest から Tool surface 定義を読み取る。
+  - tool name
+  - description
+  - input schema
+  - effect / side-effect metadata
+  - plugin origin metadata
+- Plugin Tool definition を既存 `ToolRegistry` 登録経路に載せる。
+  - model-visible schema は通常 Tool と同じ原則に従う。
+  - feature/profile config で disabled なら schema surface から消える。
+- Tool metadata に Plugin origin を保持する。
+  - plugin id / ref
+  - package source: user / project / builtin
+  - package digest
+  - package version / api version
+  - surface: tool
+- Duplicate Tool name は fail closed にする。
+  - builtin Tool / other Plugin Tool との衝突を検出する。
+  - どちらが勝つかを曖昧にしない。
+- Invalid input schema / unsupported schema shape は fail closed にする。
+- Package が discovered されただけでは Tool を登録しない。
+  - explicit enablement が必要。
+- Tool call / result は後続 runtime Ticket で実装する。
+  - この Ticket では未実行 Tool として registration boundary を作る。
+  - 実行できない状態を user-visible diagnostic として安全に扱う。
+- Diagnostics は bounded にする。
+  - registered
+  - skipped: not enabled
+  - rejected: duplicate name
+  - rejected: invalid schema
+  - rejected: unsupported surface/api
+  - rejected: missing runtime executor
+
+## Acceptance criteria
+
+- Enabled Plugin package の Tool definition が `ToolRegistry` に登録され、model-visible tools に現れる。
+- Enablement がない Plugin package の Tool は model-visible tools に現れない。
+- Duplicate Tool name は登録されず、diagnostic で理由が分かる。
+- Invalid input schema は登録されず、diagnostic で理由が分かる。
+- Registered Plugin Tool の metadata から plugin origin / digest / source が追跡できる。
+- Feature/profile flag により Plugin Tool surface を非表示にできる。
+- Tool call がまだ実行できない場合も panic せず、安全な unavailable/runtime-missing error になる。
+- Tests cover:
+  - enabled package Tool registration
+  - package without enablement does not register
+  - duplicate Plugin Tool name rejected
+  - builtin Tool name collision rejected
+  - invalid schema rejected
+  - plugin origin metadata retained
+  - disabled feature/profile removes schema surface
+- Validation: focused plugin/tool-registry tests, `cargo fmt --check`, relevant `cargo check` / `cargo test`, `git diff --check`.
+
+## Non-goals
+
+- Plugin code execution.
+- WASM runtime.
+- `https` / `fs` host API.
+- Service / Ingress surface.
+- External side effects.
+- Permission grant enforcement beyond registration-time shape checks.
+
+## Related work
+
+- `00001KV5R5V2S` — Plugin package discovery and explicit enablement resolver.
+- `00001KV5W3PHW` — Plugin Tool execution with minimal WASM runtime.
+- `00001KV5W3PJ3` — Plugin permission grant enforcement.
+- `00001KSXRQ4G8` — Plugin runtime / surface / host API model design.
--- a/.yoi/tickets/00001KV5W3PHA/thread.md
+++ b/.yoi/tickets/00001KV5W3PHA/thread.md
@ -0,0 +1,7 @@
+<!-- event: create author: "yoi ticket" at: 2026-06-15T14:48:59Z -->
+
+## 作成
+
+LocalTicketBackend によって作成されました。
+
+---
--- a/.yoi/tickets/00001KV5W3PHW/artifacts/.gitkeep
+++ b/.yoi/tickets/00001KV5W3PHW/artifacts/.gitkeep
--- a/.yoi/tickets/00001KV5W3PHW/artifacts/relations.json
+++ b/.yoi/tickets/00001KV5W3PHW/artifacts/relations.json
@ -0,0 +1,21 @@
+{
+  "version": 1,
+  "relations": [
+    {
+      "ticket_id": "00001KV5W3PHW",
+      "kind": "depends_on",
+      "target": "00001KV5W3PHA",
+      "note": "WASM Tool runtime requires Plugin Tool surface registration.",
+      "author": "yoi ticket",
+      "at": "2026-06-15T14:50:28Z"
+    },
+    {
+      "ticket_id": "00001KV5W3PHW",
+      "kind": "related",
+      "target": "00001KSXRQ4G8",
+      "note": "Plugin runtime/surface/host API design record.",
+      "author": "yoi ticket",
+      "at": "2026-06-15T14:50:28Z"
+    }
+  ]
+}
--- a/.yoi/tickets/00001KV5W3PHW/item.md
+++ b/.yoi/tickets/00001KV5W3PHW/item.md
@ -0,0 +1,90 @@
+---
+title: 'Plugin: execute Plugin Tool with minimal WASM runtime'
+state: 'ready'
+created_at: '2026-06-15T14:48:59Z'
+updated_at: '2026-06-15T14:50:28Z'
+assignee: null
+readiness: 'implementation_ready'
+risk_flags: ['plugin', 'wasm', 'tool-runtime', 'sandbox', 'capability-boundary', 'cancellation']
+---
+
+## Background
+
+Plugin Tool surface registration の後続として、enabled Plugin Tool を最小 WASM runtime で実行できるようにする。
+
+この Ticket のゴールは、Plugin package を enable し、manifest 由来の Tool を model-visible に登録し、その Tool call を sandboxed WASM module に渡して bounded な Tool result として返す最小体験を作ること。`https` / `fs` host API、Service / Ingress、長時間 background process は扱わない。
+
+## Requirements
+
+- Registered Plugin Tool の invocation を Plugin runtime に route する。
+- Minimal WASM runtime を追加する。
+  - module load
+  - tool input JSON の受け渡し
+  - tool output JSON の受け取り
+  - structured error handling
+- Runtime は ambient authority を持たない。
+  - ambient filesystem なし
+  - ambient network なし
+  - ambient environment variables なし
+  - host API imports は明示的に許可されたものだけ
+- この Ticket では host API import は最小にする。
+  - tool input / output のための必要最小限のみ。
+  - `https` / `fs` は実装しない。
+- Bounded execution を実装する。
+  - timeout
+  - cancellation
+  - input size bound
+  - output size bound
+  - error/diagnostic size bound
+- Invalid Plugin output は fail closed にする。
+  - malformed JSON
+  - schema mismatch
+  - oversize output
+  - non-terminating execution
+- Tool call / result は通常 Tool history 経路に乗る。
+  - hidden context injection をしない。
+  - Plugin stdout/stderr 相当を無制限に history に入れない。
+- Runtime error は safe structured Tool error として返す。
+  - panic しない。
+  - secret-like host path / env / raw memory dump を出さない。
+- Runtime lifecycle は Pod startup / restore と整合させる。
+  - package digest / runtime config に基づいて deterministic に module を選ぶ。
+  - runtime-only mutable state に依存して Tool availability を決めない。
+
+## Acceptance criteria
+
+- Sample Plugin package の Tool を WASM runtime 経由で実行できる。
+- Tool input JSON が WASM module に渡り、Tool output JSON が通常 Tool result として返る。
+- Tool result は通常の history / permission / trace 経路に残る。
+- Plugin Tool が ambient filesystem / network / env にアクセスできない。
+- Timeout する Plugin execution は中断され、安全な Tool error になる。
+- Oversize output / malformed output / schema mismatch は fail closed する。
+- Cancellation が Worker / Tool execution の cancellation と整合する。
+- Runtime diagnostics は bounded で、selected secret/path/env を漏らさない。
+- Tests cover:
+  - successful WASM Plugin Tool execution
+  - malformed output rejected
+  - oversize output rejected
+  - timeout / cancellation
+  - missing runtime module diagnostic
+  - no ambient fs/network/env by default
+  - tool result history path remains ordinary tool result
+- Validation: focused plugin runtime tests, `cargo fmt --check`, relevant `cargo check` / `cargo test`, `git diff --check`, and `nix build .#yoi` if dependencies / packaging change.
+
+## Non-goals
+
+- `https` host API.
+- `fs` host API.
+- Service surface.
+- Ingress surface.
+- Long-running Plugin daemon/process lifecycle.
+- Plugin package manager / registry.
+- Signature/trust-chain verification.
+- Broad WASI surface beyond the explicitly needed imports.
+
+## Related work
+
+- `00001KV5R5V2S` — Plugin package discovery and explicit enablement resolver.
+- `00001KV5W3PHA` — Plugin Tool surface registration.
+- `00001KV5W3PJ3` — Plugin permission grant enforcement.
+- `00001KSXRQ4G8` — Plugin runtime / surface / host API model design.
--- a/.yoi/tickets/00001KV5W3PHW/thread.md
+++ b/.yoi/tickets/00001KV5W3PHW/thread.md
@ -0,0 +1,7 @@
+<!-- event: create author: "yoi ticket" at: 2026-06-15T14:48:59Z -->
+
+## 作成
+
+LocalTicketBackend によって作成されました。
+
+---
--- a/.yoi/tickets/00001KV5W3PJ3/artifacts/.gitkeep
+++ b/.yoi/tickets/00001KV5W3PJ3/artifacts/.gitkeep
--- a/.yoi/tickets/00001KV5W3PJ3/artifacts/relations.json
+++ b/.yoi/tickets/00001KV5W3PJ3/artifacts/relations.json
@ -0,0 +1,21 @@
+{
+  "version": 1,
+  "relations": [
+    {
+      "ticket_id": "00001KV5W3PJ3",
+      "kind": "depends_on",
+      "target": "00001KV5W3PHW",
+      "note": "Grant enforcement must cover runtime execution path.",
+      "author": "yoi ticket",
+      "at": "2026-06-15T14:50:28Z"
+    },
+    {
+      "ticket_id": "00001KV5W3PJ3",
+      "kind": "related",
+      "target": "00001KSXRQ4G8",
+      "note": "Plugin runtime/surface/host API design record.",
+      "author": "yoi ticket",
+      "at": "2026-06-15T14:50:28Z"
+    }
+  ]
+}
--- a/.yoi/tickets/00001KV5W3PJ3/item.md
+++ b/.yoi/tickets/00001KV5W3PJ3/item.md
@ -0,0 +1,98 @@
+---
+title: 'Plugin: enforce Plugin permission grants'
+state: 'ready'
+created_at: '2026-06-15T14:48:59Z'
+updated_at: '2026-06-15T14:50:28Z'
+assignee: null
+readiness: 'implementation_ready'
+risk_flags: ['plugin', 'permission', 'grant-enforcement', 'capability-boundary', 'tool-execution']
+---
+
+## Background
+
+Plugin package discovery / Tool registration / Tool runtime が揃った後、Plugin manifest の requested permissions と Profile/config 側の granted permissions を照合し、登録・実行・host API 利用の境界で fail closed にする。
+
+この Ticket では `https` / `fs` host API の実装自体は行わない。ただし後続の host API 実装が同じ grant model を使えるよう、grant の型と enforcement point を明確にする。
+
+## Requirements
+
+- Plugin manifest の requested permissions を typed data として読む。
+  - enabled surfaces
+  - tool names / namespaces
+  - Tool effect / external_write metadata
+  - future host APIs: `https`, `fs`
+- Profile/config 側の granted permissions を typed data として読む。
+  - package ref / digest / version と結びつける。
+  - source-qualified identity に対応する。
+- Requested permissions と granted permissions を照合する。
+  - requested but not granted は fail closed。
+  - unsupported grant / unknown permission kind は fail closed。
+  - overly broad ambiguous grant は fail closed または明示 diagnostic。
+- Enforcement points を実装する。
+  - Plugin package enablement resolution
+  - Tool surface registration
+  - Plugin Tool execution
+  - future host API call dispatch
+- Tool metadata の effect を existing permission / PreToolCall path と整合させる。
+  - external side effect がある Tool は metadata と permission gate に反映する。
+  - external write は `Outbound` surface ではなく Tool metadata として扱う。
+- Denied reason を diagnostic / trace で確認できるようにする。
+  - grant missing
+  - grant digest mismatch
+  - requested surface not granted
+  - requested tool not granted
+  - host API not granted
+  - external_write not granted
+- Grant enforcement は model-visible context に隠し情報を差し込まない。
+- Package が存在するだけ、または Tool registration だけで execution authority を得ない。
+
+## Initial grant model guidance
+
+最初の grant model は狭く始める。
+
+```text
+surfaces.tool
+tool names / namespaces
+external_write flag
+host_api.https
+host_api.fs
+```
+
+この Ticket では `https` / `fs` の API 実行は non-goal。ただし requested/granted の型と denied diagnostic は先に扱えるようにする。
+
+## Acceptance criteria
+
+- Grant なしの Plugin Tool は実行されず、safe diagnostic になる。
+- Granted Tool だけが登録または実行可能になる。
+- Requested surface が grant に含まれない場合は fail closed する。
+- Requested external_write が grant に含まれない場合は fail closed する。
+- Digest/version/source mismatch の grant は使われない。
+- Unknown permission kind / unsupported grant は fail closed する。
+- Denied reason が diagnostic / trace で確認できる。
+- Existing PreToolCall / Tool permission path と矛盾しない。
+- Tests cover:
+  - no grant denies Plugin Tool execution
+  - grant allows specific Plugin Tool
+  - unrelated package grant does not apply
+  - digest mismatch denies
+  - requested surface missing denies
+  - external_write missing denies
+  - unknown permission kind fails closed
+  - denial reason is bounded and safe
+- Validation: focused plugin permission tests, `cargo fmt --check`, relevant `cargo check` / `cargo test`, `git diff --check`.
+
+## Non-goals
+
+- Implementing `https` host API.
+- Implementing `fs` host API.
+- Service / Ingress surface.
+- Plugin package manager / install/update.
+- Signature/trust-chain enforcement.
+- Broad policy UI.
+
+## Related work
+
+- `00001KV5R5V2S` — Plugin package discovery and explicit enablement resolver.
+- `00001KV5W3PHA` — Plugin Tool surface registration.
+- `00001KV5W3PHW` — Plugin Tool execution with minimal WASM runtime.
+- `00001KSXRQ4G8` — Plugin runtime / surface / host API model design.
--- a/.yoi/tickets/00001KV5W3PJ3/thread.md
+++ b/.yoi/tickets/00001KV5W3PJ3/thread.md
@ -0,0 +1,7 @@
+<!-- event: create author: "yoi ticket" at: 2026-06-15T14:48:59Z -->
+
+## 作成
+
+LocalTicketBackend によって作成されました。
+
+---