feat: add OpenAPI 3.0 spec via swaggo annotations (ADR-0002)

[thebtf]

Summary

• Added swaggo dependencies and infrastructure (http-swagger, swag)
• Registered /api/docs route serving Swagger UI (public, no auth)
• Added swag init to Makefile worker target
• Annotated all 85 HTTP handler functions with swaggo annotations across 13 files
• Generated docs/ package (swagger.json, swagger.yaml, docs.go)

ADR

ADR-0002: OpenAPI Spec Generation via swaggo Annotations

Files changed

• cmd/worker/main.go — API info annotation + docs import
• internal/worker/service.go — /api/docs route + httpSwagger import
• Makefile — swag init before go build
• go.mod, go.sum — swaggo dependencies
• docs/ — generated OpenAPI spec (swagger.json, swagger.yaml)
• All handlers_*.go files — swaggo annotations

Test plan

• curl /api/docs/swagger.json | jq .openapi returns "3.0.x"
• Swagger UI accessible at /api/docs/index.html
• All 85 handlers appear in the spec
• go build ./cmd/worker/ compiles cleanly
• swag init regenerates docs without errors

Summary by CodeRabbit

• Новые функции

  • Публичная страница API (/api/docs) с интерактивной OpenAPI-документацией.
  • Массовый импорт наблюдений с пакетной валидацией, дедупликацией, асинхронной синхронизацией векторной БД и подробной сводкой результатов.

• Изменения в API

  • Расширенные поисковые и контекстные эндпоинты: дополнительные параметры, POST-оверрайды, расширение запросов, ранжирование и компактные/многоразделные ответы.
  • Новые статусные и метрики эндпоинты для здоровья, синхронизации и векторного поиска; улучшенные ответы для операций обновления/рестарта.

• Исправления

  • Жёсткая валидация входных данных; возвращаются предсказуемые пустые массивы вместо null; более ясные ошибки и ранние выходы при отсутствии сервисов.

• Документация

  • Массовое добавление OpenAPI/Swagger-аннотаций для многих эндпоинтов.

[coderabbitai]

Caution

Review failed

The pull request is closed.

ℹ️ Recent review info

⚙️ Run configuration

Configuration used: Organization UI

Review profile: CHILL

Plan: Pro

Run ID: 6c7928e8-8af9-4f0c-b5ef-45c7c5c3cd4a

📥 Commits

Reviewing files that changed from the base of the PR and between 1cc5376 and 38a188e.

⛔ Files ignored due to path filters (1)

• go.sum is excluded by !**/*.sum

📒 Files selected for processing (3)

• go.mod
• internal/worker/handlers_context.go
• internal/worker/service.go

---

Walkthrough

Добавлена интеграция Swagger/OpenAPI в worker: генерация документации в Makefile, side-effect импорт сгенерированных docs в cmd/worker/main.go, обновлён go.mod, экспонирование /api/docs, массовые godoc-аннотации и локальные поведенческие улучшения в ряде HTTP-хендлеров (валидация, дедупликация, готовность, рестарт).

Changes

Cohort / File(s)	Summary
Build & bootstrap Makefile, cmd/worker/main.go	В target worker добавлена попытка генерации Swagger (`swag init ...
Модули и зависимости go.mod	Добавлены прямые зависимости github.com/jackc/pgx/v5, github.com/swaggo/http-swagger, github.com/swaggo/swag и множество транзитивных обновлений/добавлений, включая обновлённые golang.org/x/* и пакеты, требуемые swag/swaggo.
Docs endpoint & packaging internal/worker/service.go, .dockerignore	Добавлены роуты для /api/docs (редирект и статическая подача через httpSwagger); .dockerignore перестал игнорировать docs/ целиком и теперь игнорирует только указанные подпути.
Общие обработчики — документация & мелкие правки internal/worker/handlers.go, internal/worker/handlers_data.go, internal/worker/handlers_scoring.go, internal/worker/handlers_sessions.go, internal/worker/handlers_ingest.go, internal/worker/handlers_logs.go	Массовое добавление Swagger godoc-аннотаций; добавлены ранние проверки/ранние возвраты (например, nil-буфер логов), валидация project, и гарантирование ненулевых срезов в ответах.
Контекст и поиск internal/worker/handlers_context.go	Документация и расширение логики: поддержка POST тела с переопределениями, query expansion (HYDE), последовательность vector→FTS, фильтрация по staleness, опциональная reranking, кластеризация, token budgeting и компактный формат ответа.
Backfill / Ingest internal/worker/handlers_backfill.go, internal/worker/handlers_ingest.go	Добавлены доки и усилена валидация (требование run_id, JSON/JSONL парсинг), дедупликация через vector client, запись секретов в vault (при наличии), LLM-extraction и возврат метрик (stored/skipped/errors).
Импорт/архив/экспорт internal/worker/handlers_import_export.go	handleBulkImport: валидация проекта и размера батча, in-batch дедупликация, синтетическая сессия, асинхронный vector sync, инвалидация кеша и подробный BulkImportResponse; другие экспорт/архив-эндапойнты получили доки и унификацию параметров.
Паттерны и отношения internal/worker/handlers_patterns.go, internal/worker/handlers_relations.go	Swagger-аннотации, проверки инициализации хранилища (503 при nil), строгая валидация параметров (depth, min_confidence, limits) и согласованные ошибки/ответы.
Instincts import internal/worker/handlers_instincts.go	Добавлен тип InstinctsImportRequest, валидация пути относительно базовой директории, проверка существования директории и store, вызов instincts.Import и возврат JSON-результата.
Update / Restart flows internal/worker/handlers_update.go	Swagger-аннотации и поведенческие правки: структурированные ответы для check/status, проверка статуса перед restart, отправка ответа клиенту и последующий фоновой рестарт с flush/краткой задержкой.
Rebuild / concurrency guards internal/worker/handlers.go, various internal/worker/*.go	Добавлены проверки состояния (rate-limit, in-progress rebuild, vector sync readiness), исправлен mutex/unlock для rebuild status; в нескольких местах добавлена явная обработка nil и унифицированные структуры ответов.

Sequence Diagram(s)

(пропущено — изменения преимущественно документальные с локальными потоками; нет нового централизованного многокомпонентного контроля, требующего диаграммы)

Estimated code review effort

🎯 4 (Complex) | ⏱️ ~45 minutes

Possibly related PRs

• feat: add OpenAPI 3.0 spec via swaggo annotations (ADR-0002) #15 — расширение поддержки swag/swaggo, генерации и импорта docs; очень близко по содержанию к текущим изменениям.
• security: auth consolidation, vault singleton, cwd hardening, LLM prompt sanitization #10 — пересечения в backfill/session обработках и vault-интеграции; кодовая связь по backfill/secret flow.
• feat: collection MCP tools and instinct import #2 — пересечение по instincts import и изменениям в handlers_instincts.go.

Poem

🐰 Я — кролик в коде, swag взял морковку с полки,
Документы шуршат, роуты вспыхнули в ряд,
Хендлеры поют, валидация стережёт нолики,
API блеснул — теперь путь к нему виден назад,
Хоп — и docs готовы, вперёд на релиз-марафет! ✨🐇

🚥 Pre-merge checks | ✅ 3

✅ Passed checks (3 passed)

Check name	Status	Explanation
Description Check	✅ Passed	Check skipped - CodeRabbit’s high-level summary is enabled.
Title check	✅ Passed	The title accurately describes the main change: adding OpenAPI 3.0 specification via swaggo annotations, which is the primary focus of the PR across all modified files.
Docstring Coverage	✅ Passed	Docstring coverage is 100.00% which is sufficient. The required threshold is 80.00%.

_{✏️ Tip: You can configure your own custom pre-merge checks in the settings.}

✨ Finishing Touches

📝 Generate docstrings

• Create stacked PR
• Commit on current branch

🧪 Generate unit tests (beta)

• Create PR with unit tests
• Commit unit tests in branch feat/openapi

📝 Coding Plan

• Generate coding plan for human review comments

Warning

There were issues while running some tools. Please review the errors and either fix the tool's configuration or disable the tool if it's a critical failure.

🔧 golangci-lint (2.11.3)

Error: can't load config: unsupported version of the configuration: "" See https://golangci-lint.run/docs/product/migration-guide for migration instructions
The command is terminated due to an error: can't load config: unsupported version of the configuration: "" See https://golangci-lint.run/docs/product/migration-guide for migration instructions

---

_{Comment @coderabbitai help to get the list of available commands and usage tips.}

[gemini-code-assist]

Summary of Changes

Hello, I'm Gemini Code Assist¹! I'm currently reviewing this pull request and will post my feedback shortly. In the meantime, here's a summary to help you and other reviewers quickly get up to speed!

This pull request introduces an OpenAPI 3.0 specification for the Engram API, making it easier for developers to understand and integrate with the API. It leverages Swaggo annotations to generate the specification, and includes updates to the build process and handler functions to support the new documentation.

Highlights

• OpenAPI 3.0 Specification: This PR introduces an OpenAPI 3.0 specification for the Engram API using Swaggo annotations, enhancing API discoverability and usability.
• Swaggo Integration: The PR adds Swaggo dependencies and infrastructure, including the registration of a /api/docs route serving the Swagger UI.
• Handler Annotations: All HTTP handler functions (85 in total across 13 files) are annotated with Swaggo annotations to generate the OpenAPI specification.
• Makefile Update: The Makefile is updated to include swag init as part of the worker target, ensuring the OpenAPI spec is generated during the build process.

Activity

• Added swaggo dependencies and infrastructure.
• Registered /api/docs route serving Swagger UI.
• Added swag init to Makefile worker target.
• Annotated all HTTP handler functions with swaggo annotations.
• Generated docs/ package (swagger.json, swagger.yaml, docs.go).

Using Gemini Code Assist

The full guide for Gemini Code Assist can be found on our documentation page, here are some quick tips.

Invoking Gemini

You can request assistance from Gemini at any point by creating a comment using either /gemini <command> or @gemini-code-assist <command>. Below is a summary of the supported commands on the current page.

Feature	Command	Description
Code Review	/gemini review	Performs a code review for the current pull request in its current state.
Pull Request Summary	/gemini summary	Provides a summary of the current pull request in its current state.
Comment	@gemini-code-assist	Responds in comments when explicitly tagged, both in pull request comments and review comments.
Help	/gemini help	Displays a list of available commands.

Customization

To customize Gemini Code Assist for GitHub experience, repository maintainers can create a configuration file and/or provide a custom code review style guide (such as PEP-8 for Python) by creating and adding files to a .gemini/ folder in the base of the repository. Detailed instructions can be found here.

Limitations & Feedback

Gemini Code Assist may make mistakes. Please leave feedback on any instances where its feedback is incorrect or counter productive. You can react with 👍 and 👎 on @gemini-code-assist comments. If you're interested in giving your feedback about your experience with Gemini Code Assist for GitHub and other Google products, sign up here.

You can also get AI-powered code generation, chat, as well as code reviews directly in the IDE at no cost with the Gemini Code Assist IDE Extension.

Footnotes

1. Review the Privacy Notices, Generative AI Prohibited Use Policy, Terms of Service, and learn how to configure Gemini Code Assist in GitHub here. Gemini can make mistakes, so double check it and use code with caution. ↩

[gemini-code-assist]

Code Review

This pull request introduces OpenAPI 3.0 specification generation using swaggo, which is a significant improvement for API documentation and discoverability. The changes are extensive, adding annotations to all HTTP handlers across multiple files. My review focuses on the correctness of these annotations and the integration into the build process. I've identified a couple of areas for improvement: one in the Makefile to ensure build failures on documentation generation errors, and a couple of missing route definitions in the OpenAPI specification for handlers that support multiple HTTP methods.

[coderabbitai]

Actionable comments posted: 4

Caution

Some comments are outside the diff and can’t be posted inline due to platform limitations.

⚠️ Outside diff range comments (6)

internal/worker/handlers_backfill.go (3)

141-142: ⚠️ Potential issue | 🔴 Critical

Счётчики RunInfo сейчас обновляются с data race.

getOrCreate() возвращает общий *RunInfo, а дальше его поля мутируются без backfillTracker.mu. Параллельные backfill-запросы на один run_id будут терять инкременты, и snapshot() одновременно читает те же поля под RLock, что даёт реальную гонку чтение/запись. Инкременты лучше перенести в отдельный метод backfillTracker, который обновляет всё под одним lock.

Also applies to: 196-200, 343-345, 381-385

🤖 Prompt for AI Agents

Verify each finding against the current code and only fix it if needed.

In `@internal/worker/handlers_backfill.go` around lines 141 - 142, RunInfo
instances returned by backfillTracker.getOrCreate are being mutated directly
causing data races; instead add methods on backfillTracker (e.g.,
backfillTracker.incrementCountersForRun(runID, delta...)) that acquire
backfillTracker.mu and update the RunInfo fields under that lock, replace direct
field mutations after getOrCreate (locations around runInfo :=
s.backfillTracker.getOrCreate(req.RunID) and the other occurrences mentioned)
with calls to these new synchronized methods, and ensure snapshot() reads fields
under the same lock or returns a copy while holding mu to avoid concurrent
read/write races.

---

121-124: ⚠️ Potential issue | 🟠 Major

Не формируйте synthetic session ID с пустым session suffix.

В ingest-path session_id вообще не валидируется, а в session-path вы уже получили sess.SessionID из распарсенного JSONL, но при сохранении всё равно используете только req.SessionID. Если override не передан, разные session-файлы одного run_id схлопываются в один и тот же synthetic session key.

Also applies to: 185-186, 292-294, 370-371

🤖 Prompt for AI Agents

Verify each finding against the current code and only fix it if needed.

In `@internal/worker/handlers_backfill.go` around lines 121 - 124, The code
currently constructs a synthetic session key using req.SessionID even when it's
empty, causing different session files for the same run_id to collapse; update
each place that builds the session key (the branches referenced around
req.SessionID at lines handling the ingest and session save flows) to use the
parsed sess.SessionID from the JSONL when req.SessionID is empty, and ensure you
only append a session suffix when it is non-empty (i.e., if req.SessionID == ""
then use sess.SessionID, and when building the synthetic key check that the
suffix != "" before concatenating). Target the spots that reference
req.SessionID and sess.SessionID and make the conditional fallback and
non-empty-suffix guard consistent across all occurrences.

---

317-324: ⚠️ Potential issue | 🟠 Major

Не глотайте ошибку ProcessSession().

Если LLM/extraction pipeline падает, handler всё равно отвечает 200 и маскирует сбой как "0 observations". Для клиента это неотличимо от честного пустого результата и ломает ретраи/диагностику.

Предлагаемая правка

- result, _ := runner.ProcessSession(r.Context(), sess)
+ result, err := runner.ProcessSession(r.Context(), sess)
+ if err != nil {
+     http.Error(w, "failed to process session: "+err.Error(), http.StatusInternalServerError)
+     return
+ }
 
  resp := BackfillSessionResponse{
      ObservationsExtracted: len(result.Observations),
      MetricsReport:         result.Metrics.Report(),
  }

🤖 Prompt for AI Agents

Verify each finding against the current code and only fix it if needed.

In `@internal/worker/handlers_backfill.go` around lines 317 - 324, Вместо
игнорирования ошибки из runner.ProcessSession захватывайте её (не используй
"_"), проверяйте if err != nil и в этом случае логируйте ошибку (с контекстом,
например session id) и возвращайте корректный HTTP-статус ошибки (например 500)
с описанием вместо успешного 200 с пустыми наблюдениями; обновите участок с
backfill.NewRunner / runner.ProcessSession и место, где формируется
BackfillSessionResponse, чтобы не маскировать сбои как "0 observations".

internal/worker/handlers_context.go (2)

46-72: ⚠️ Potential issue | 🟠 Major

Битый POST body здесь молча игнорируется.

Если клиент присылает некорректный JSON, handler просто пропускает overrides из body и продолжает работу с query params. Это делает POST-поведение непредсказуемым; для invalid body нужен явный 400.

Предлагаемая правка

  if r.Method == http.MethodPost && r.Body != nil {
      var body struct {
          Project string `json:"project"`
          Query   string `json:"query"`
          Cwd     string `json:"cwd"`
          AgentID string `json:"agent_id"`
      }
-     if err := json.NewDecoder(r.Body).Decode(&body); err == nil {
-         if body.Project != "" {
-             project = body.Project
-         }
-         if body.Query != "" {
-             query = body.Query
-         }
-         if body.Cwd != "" {
-             cwd = body.Cwd
-         }
-         if body.AgentID != "" {
-             agentID = body.AgentID
-         }
-         // agent_id acts as project scope for OpenClaw agents without filesystem context
-         if project == "" && agentID != "" {
-             project = agentID
-         }
+     if err := json.NewDecoder(r.Body).Decode(&body); err != nil {
+         http.Error(w, "invalid request body: "+err.Error(), http.StatusBadRequest)
+         return
+     }
+     if body.Project != "" {
+         project = body.Project
+     }
+     if body.Query != "" {
+         query = body.Query
+     }
+     if body.Cwd != "" {
+         cwd = body.Cwd
+     }
+     if body.AgentID != "" {
+         agentID = body.AgentID
+     }
+     // agent_id acts as project scope for OpenClaw agents without filesystem context
+     if project == "" && agentID != "" {
+         project = agentID
      }
  }

🤖 Prompt for AI Agents

Verify each finding against the current code and only fix it if needed.

In `@internal/worker/handlers_context.go` around lines 46 - 72, The POST handler
currently ignores JSON decode errors and silently falls back to query params;
change the json decoding branch (the r.Method == http.MethodPost block that
creates the anonymous body struct and calls
json.NewDecoder(r.Body).Decode(&body)) to treat a non-nil err as a client error:
return an explicit 400 Bad Request (use http.Error or write a 400 response with
a clear message) instead of continuing, so invalid JSON is rejected and the
handler stops processing.

---

810-813: ⚠️ Potential issue | 🔴 Critical

cwd = "" не отключает os.Stat при относительных путях.

Проблема подтверждена. Когда cwd обнуляется, функция safeResolvePath возвращает относительные пути (например, "user_service.go") в неизменённом виде (строка 830–831 в processor.go). Затем os.Stat(absPath) вызывается с этими относительными путями, которые разрешаются относительно рабочей директории серверного процесса.

Это означает, что mitigation из комментария (S9-003) не работает:

• Относительные пути остаются относительными
• os.Stat() разрешает их к серверной файловой системе
• Filesystem probing продолжает происходить на всех четырёх вызовах (строки 220, 858, 946, 977 в handlers_context.go)

Необходимо добавить явную проверку в safeResolvePath или captureFileMtimes для short-circuit'а, когда cwd == "". Например:

if cwd == "" {
    return nil // или empty map
}

🤖 Prompt for AI Agents

Verify each finding against the current code and only fix it if needed.

In `@internal/worker/handlers_context.go` around lines 810 - 813, The server-side
mitigation fails because setting cwd = "" still allows safeResolvePath to return
relative paths which then get passed to os.Stat, enabling filesystem probing;
update either safeResolvePath or captureFileMtimes to short-circuit when cwd ==
"" (e.g., if cwd == "" { return nil /* or empty map */ } or have safeResolvePath
return an explicit error/empty result) so that no os.Stat calls are made for
relative paths on the server; reference the cwd variable, safeResolvePath,
captureFileMtimes and the os.Stat calls to locate the change and ensure the four
probing sites no longer execute when cwd is empty.

internal/worker/handlers_update.go (1)

245-261: ⚠️ Potential issue | 🟠 Major

Добавьте ту же паузу перед Restart(), что и в handleRestart.

После Flush() процесс перезапускается сразу, поэтому /api/update/restart может оборвать соединение до того, как клиент получит JSON-ответ. В этом же файле более безопасный вариант уже есть ниже; здесь нужен тот же барьер.

Предлагаемая правка

  // Restart in background after response is sent
  go func() {
+     // Small delay to ensure response is delivered before process replacement.
+     time.Sleep(100 * time.Millisecond)
      if err := s.updater.Restart(); err != nil {
          log.Error().Err(err).Msg("Failed to restart worker")
      }
  }()

🤖 Prompt for AI Agents

Verify each finding against the current code and only fix it if needed.

In `@internal/worker/handlers_update.go` around lines 245 - 261, The response is
being flushed then Restart() is invoked immediately in the goroutine, which can
drop the connection before the client fully receives the JSON; mirror the same
pause/synchronization used in handleRestart by inserting the same barrier before
calling s.updater.Restart() inside the goroutine that follows the Flush().
Locate the goroutine that calls s.updater.Restart() (and the preceding
writeJSON/Flush) and add the identical pause/wait logic (the same mechanism used
in handleRestart) so the restart happens only after the brief delay used
elsewhere.

🧹 Nitpick comments (5)

cmd/worker/main.go (1)

24-24: Жёстко заданный хост может не соответствовать реальным конфигурациям развёртывания.

Значение @host localhost:37777 подходит для локальной разработки, но будет некорректным в продакшене или при использовании другого порта. Рассмотрите возможность документирования этого ограничения или использования переменной окружения для динамической генерации.

🤖 Prompt for AI Agents

Verify each finding against the current code and only fix it if needed.

In `@cmd/worker/main.go` at line 24, Строка с жёстко заданным значением "@host
localhost:37777" не подходит для разных окружений; замените фиксированный хост
на конфигурируемое значение (например, читать из переменной окружения или флага)
или удалите/обновите комментарий с указанием обязательного шага конфигурирования
для продакшена; найдите и обновите упоминание "@host localhost:37777" в файле
(или документации запуска) и добавьте краткую инструкцию по использованию
переменной окружения/флага для задания хоста и порта.

internal/worker/handlers_instincts.go (2)

27-31: Избыточная проверка HTTP-метода.

Проверка r.Method != http.MethodPost на строке 28 избыточна, так как маршрутизатор chi уже направляет только POST-запросы на этот обработчик через r.Post("/api/instincts/import", ...).

🤖 Prompt for AI Agents

Verify each finding against the current code and only fix it if needed.

In `@internal/worker/handlers_instincts.go` around lines 27 - 31, Удалить
избыточную проверку HTTP-метода в обработчике handleInstinctsImport: текущая
ветка if r.Method != http.MethodPost { http.Error(...); return } не нужна,
потому что роутер chi уже направляет только POST-запросы на этот обработчик;
откройте функцию handleInstinctsImport и удалите условие, вызов http.Error и
return, оставив остальную логику обработки без изменений.

---

20-20: Уточните тип тела запроса в аннотации.

Использование object в @Param body body object false не информативно. Определите структуру запроса для более точной документации.

♻️ Предлагаемое улучшение

Определите типизированную структуру и используйте её в аннотации:

// InstinctsImportRequest is the request body for instincts import.
type InstinctsImportRequest struct {
    Path string `json:"path"`
}

Затем обновите аннотацию:

-// `@Param` body body object false "Optional: {path: '/path/to/instincts'}"
+// `@Param` body body InstinctsImportRequest false "Optional instincts directory path"

🤖 Prompt for AI Agents

Verify each finding against the current code and only fix it if needed.

In `@internal/worker/handlers_instincts.go` at line 20, Создайте типизированную
структуру запроса InstinctsImportRequest с полем Path string (json:"path") и
замените в аннотации параметра тела запросa строку '@Param body body object
false' на использование этого типа (например '@Param body body
InstinctsImportRequest false ...') в том же файле
(internal/worker/handlers_instincts.go); убедитесь, что структура именована
точно как InstinctsImportRequest и что аннотация соответствует используемому
полю, чтобы документация отражала реальную структуру тела запроса.

Makefile (1)

42-42: Тихое подавление ошибок swag может скрыть проблемы с документацией.

Команда 2>/dev/null || true полностью скрывает ошибки swag. Если аннотации содержат синтаксические ошибки, разработчик не узнает об этом до ручной проверки.

Рассмотрите вариант с условным выводом ошибок:

♻️ Предлагаемое улучшение

-	swag init -g cmd/worker/main.go -o docs --parseDependency --parseInternal 2>/dev/null || true
+	`@if` command -v swag >/dev/null 2>&1; then \
+		swag init -g cmd/worker/main.go -o docs --parseDependency --parseInternal || echo "Warning: swag init failed"; \
+	else \
+		echo "Note: swag not installed, skipping docs generation"; \
+	fi

🤖 Prompt for AI Agents

Verify each finding against the current code and only fix it if needed.

In `@Makefile` at line 42, The Makefile currently suppresses all errors from the
swagger generation command by appending "2>/dev/null || true" to the "swag init
-g cmd/worker/main.go -o docs --parseDependency --parseInternal" invocation,
which hides syntax/annotation issues; remove the "2>/dev/null || true"
suppression so the target fails on errors, or make the suppression conditional
(e.g., gate it behind an environment variable like QUIET_SWAG or only use it in
a local dev target) so that CI and developers see real swag errors and the
command "swag init" surfaces failures.

internal/worker/handlers_sessions.go (1)

227-240: Несогласованность префиксов маршрутов между эндпоинтами сессий.

Маршрут /sessions/{id}/init не имеет префикса /api/, в то время как связанные эндпоинты используют /api/sessions/*. Аннотация корректно отражает фактический маршрут в service.go, но это создаёт непоследовательный API.

Это существующая проблема архитектуры, а не ошибка в документации.

🤖 Prompt for AI Agents

Verify each finding against the current code and only fix it if needed.

In `@internal/worker/handlers_sessions.go` around lines 227 - 240, The route for
session initialization is inconsistent: the handler named handleSessionStart and
its SessionStartRequest currently document/serve /sessions/{id}/init while other
session endpoints use the /api/ prefix; update the route registration that wires
handleSessionStart in the router to use /api/sessions/{id}/init and update the
godoc `@Router` line in the handleSessionStart comment to `@Router`
/api/sessions/{id}/init [post] so the documented path and actual route match the
rest of the API.

🤖 Prompt for all review comments with AI agents

Verify each finding against the current code and only fix it if needed.

Inline comments:
In `@internal/worker/handlers_context.go`:
- Around line 24-39: Update the Swagger comment blocks for the handlers to
reflect the actual mounted routes and request bodies: for handleSearchByPrompt
add a second `@Router` entry `@Router /api/context/search [post]` and include a
`@requestBody` description that documents the JSON fields parsed by the POST
(e.g., query, project, agent_id, cwd, limit); for handleContextInject add
`@Router /api/context/inject [get]` (to document the deprecated GET) and add a
`@requestBody` block for the POST variant documenting its JSON payload fields;
ensure the requestBody names and types match the structs/parsing used in those
handlers so the generated docs include both methods and the POST body schema.

In `@internal/worker/handlers_data.go`:
- Around line 865-873: The handler currently returns HTTP 200 with an error
payload when the graph backend is unset; update the branches that check
s.graphStore == nil (in handleGraphSync and the nearby related handler around
the same block) to return HTTP 503 (Service Unavailable) instead of 200—use the
framework's service-unavailable response helper (e.g., return
c.JSON(http.StatusServiceUnavailable, ...) or
c.String(http.StatusServiceUnavailable, ...)) and keep the existing error
message payload so clients relying on status codes see a real failure.

In `@internal/worker/handlers_import_export.go`:
- Around line 421-435: The Swagger annotation for handleExportObservations only
declares JSON but the handler can return CSV; update the comment above
handleExportObservations by replacing the `@Produce json` line with `@Produce
json text/csv` so swaggo emits both `application/json` and `text/csv` in the
OpenAPI `produces` array, then regenerate the Swagger docs to pick up the
change.

In `@internal/worker/service.go`:
- Around line 1569-1571: The comment above the OpenAPI docs routes (the
s.router.Get("/api/docs", ...) and s.router.Get("/api/docs/*", ...) lines) is
incorrect about authentication; update the comment to state that the docs
endpoint inherits the router's global tokenAuth middleware configured in
setupMiddleware() (so it will require ENGRAM_API_TOKEN when set) or note it is
protected when tokenAuth is enabled, rather than saying "public, no auth".

---

Outside diff comments:
In `@internal/worker/handlers_backfill.go`:
- Around line 141-142: RunInfo instances returned by backfillTracker.getOrCreate
are being mutated directly causing data races; instead add methods on
backfillTracker (e.g., backfillTracker.incrementCountersForRun(runID, delta...))
that acquire backfillTracker.mu and update the RunInfo fields under that lock,
replace direct field mutations after getOrCreate (locations around runInfo :=
s.backfillTracker.getOrCreate(req.RunID) and the other occurrences mentioned)
with calls to these new synchronized methods, and ensure snapshot() reads fields
under the same lock or returns a copy while holding mu to avoid concurrent
read/write races.
- Around line 121-124: The code currently constructs a synthetic session key
using req.SessionID even when it's empty, causing different session files for
the same run_id to collapse; update each place that builds the session key (the
branches referenced around req.SessionID at lines handling the ingest and
session save flows) to use the parsed sess.SessionID from the JSONL when
req.SessionID is empty, and ensure you only append a session suffix when it is
non-empty (i.e., if req.SessionID == "" then use sess.SessionID, and when
building the synthetic key check that the suffix != "" before concatenating).
Target the spots that reference req.SessionID and sess.SessionID and make the
conditional fallback and non-empty-suffix guard consistent across all
occurrences.
- Around line 317-324: Вместо игнорирования ошибки из runner.ProcessSession
захватывайте её (не используй "_"), проверяйте if err != nil и в этом случае
логируйте ошибку (с контекстом, например session id) и возвращайте корректный
HTTP-статус ошибки (например 500) с описанием вместо успешного 200 с пустыми
наблюдениями; обновите участок с backfill.NewRunner / runner.ProcessSession и
место, где формируется BackfillSessionResponse, чтобы не маскировать сбои как "0
observations".

In `@internal/worker/handlers_context.go`:
- Around line 46-72: The POST handler currently ignores JSON decode errors and
silently falls back to query params; change the json decoding branch (the
r.Method == http.MethodPost block that creates the anonymous body struct and
calls json.NewDecoder(r.Body).Decode(&body)) to treat a non-nil err as a client
error: return an explicit 400 Bad Request (use http.Error or write a 400
response with a clear message) instead of continuing, so invalid JSON is
rejected and the handler stops processing.
- Around line 810-813: The server-side mitigation fails because setting cwd = ""
still allows safeResolvePath to return relative paths which then get passed to
os.Stat, enabling filesystem probing; update either safeResolvePath or
captureFileMtimes to short-circuit when cwd == "" (e.g., if cwd == "" { return
nil /* or empty map */ } or have safeResolvePath return an explicit error/empty
result) so that no os.Stat calls are made for relative paths on the server;
reference the cwd variable, safeResolvePath, captureFileMtimes and the os.Stat
calls to locate the change and ensure the four probing sites no longer execute
when cwd is empty.

In `@internal/worker/handlers_update.go`:
- Around line 245-261: The response is being flushed then Restart() is invoked
immediately in the goroutine, which can drop the connection before the client
fully receives the JSON; mirror the same pause/synchronization used in
handleRestart by inserting the same barrier before calling s.updater.Restart()
inside the goroutine that follows the Flush(). Locate the goroutine that calls
s.updater.Restart() (and the preceding writeJSON/Flush) and add the identical
pause/wait logic (the same mechanism used in handleRestart) so the restart
happens only after the brief delay used elsewhere.

---

Nitpick comments:
In `@cmd/worker/main.go`:
- Line 24: Строка с жёстко заданным значением "@host localhost:37777" не
подходит для разных окружений; замените фиксированный хост на конфигурируемое
значение (например, читать из переменной окружения или флага) или
удалите/обновите комментарий с указанием обязательного шага конфигурирования для
продакшена; найдите и обновите упоминание "@host localhost:37777" в файле (или
документации запуска) и добавьте краткую инструкцию по использованию переменной
окружения/флага для задания хоста и порта.

In `@internal/worker/handlers_instincts.go`:
- Around line 27-31: Удалить избыточную проверку HTTP-метода в обработчике
handleInstinctsImport: текущая ветка if r.Method != http.MethodPost {
http.Error(...); return } не нужна, потому что роутер chi уже направляет только
POST-запросы на этот обработчик; откройте функцию handleInstinctsImport и
удалите условие, вызов http.Error и return, оставив остальную логику обработки
без изменений.
- Line 20: Создайте типизированную структуру запроса InstinctsImportRequest с
полем Path string (json:"path") и замените в аннотации параметра тела запросa
строку '@Param body body object false' на использование этого типа (например
'@Param body body InstinctsImportRequest false ...') в том же файле
(internal/worker/handlers_instincts.go); убедитесь, что структура именована
точно как InstinctsImportRequest и что аннотация соответствует используемому
полю, чтобы документация отражала реальную структуру тела запроса.

In `@internal/worker/handlers_sessions.go`:
- Around line 227-240: The route for session initialization is inconsistent: the
handler named handleSessionStart and its SessionStartRequest currently
document/serve /sessions/{id}/init while other session endpoints use the /api/
prefix; update the route registration that wires handleSessionStart in the
router to use /api/sessions/{id}/init and update the godoc `@Router` line in the
handleSessionStart comment to `@Router` /api/sessions/{id}/init [post] so the
documented path and actual route match the rest of the API.

In `@Makefile`:
- Line 42: The Makefile currently suppresses all errors from the swagger
generation command by appending "2>/dev/null || true" to the "swag init -g
cmd/worker/main.go -o docs --parseDependency --parseInternal" invocation, which
hides syntax/annotation issues; remove the "2>/dev/null || true" suppression so
the target fails on errors, or make the suppression conditional (e.g., gate it
behind an environment variable like QUIET_SWAG or only use it in a local dev
target) so that CI and developers see real swag errors and the command "swag
init" surfaces failures.

🪄 Autofix (Beta)

Fix all unresolved CodeRabbit comments on this PR:

• Push a commit to this branch (recommended)
• Create a new PR with the fixes

---

ℹ️ Review info

⚙️ Run configuration

Configuration used: Organization UI

Review profile: CHILL

Plan: Pro

Run ID: 00f6d93c-d230-47a6-a256-51efa773de37

📥 Commits

Reviewing files that changed from the base of the PR and between d78640d and 6a893d8.

⛔ Files ignored due to path filters (1)

• go.sum is excluded by !**/*.sum

📒 Files selected for processing (20)

• Makefile
• cmd/worker/main.go
• docs/docs.go
• docs/swagger.json
• docs/swagger.yaml
• go.mod
• internal/worker/handlers.go
• internal/worker/handlers_backfill.go
• internal/worker/handlers_context.go
• internal/worker/handlers_data.go
• internal/worker/handlers_import_export.go
• internal/worker/handlers_ingest.go
• internal/worker/handlers_instincts.go
• internal/worker/handlers_logs.go
• internal/worker/handlers_patterns.go
• internal/worker/handlers_relations.go
• internal/worker/handlers_scoring.go
• internal/worker/handlers_sessions.go
• internal/worker/handlers_update.go
• internal/worker/service.go

[thebtf]

@codex review

[coderabbitai]

Actionable comments posted: 1

Caution

Some comments are outside the diff and can’t be posted inline due to platform limitations.

⚠️ Outside diff range comments (3)

internal/worker/handlers_data.go (1)

275-287: ⚠️ Potential issue | 🟠 Major

Потенциальная паника при nil embedSvc.

Метод handleGetModels вызывает s.embedSvc.Version() (строка 285) без проверки на nil. Если embedding service не инициализирован (например, если ENGRAM_EMBEDDING_* не настроен), это приведёт к panic.

🐛 Предлагаемое исправление

 func (s *Service) handleGetModels(w http.ResponseWriter, _ *http.Request) {
 	// Cache for 1 hour - model list is static during runtime
 	w.Header().Set("Cache-Control", "public, max-age=3600")
 
 	models := embedding.ListModels()
 	defaultModel := embedding.GetDefaultModel()
 
+	current := ""
+	if s.embedSvc != nil {
+		current = s.embedSvc.Version()
+	}
+
 	writeJSON(w, map[string]any{
 		"models":  models,
 		"default": defaultModel,
-		"current": s.embedSvc.Version(),
+		"current": current,
 	})
 }

🤖 Prompt for AI Agents

Verify each finding against the current code and only fix it if needed.

In `@internal/worker/handlers_data.go` around lines 275 - 287, The handler
handleGetModels calls s.embedSvc.Version() without a nil check causing a panic
if embedSvc is not initialized; update handleGetModels to guard s.embedSvc
(check if s.embedSvc != nil) before calling Version(), and if nil return a safe
fallback (e.g. empty string or "unknown") for the "current" field; ensure you
reference s.embedSvc and the Version() method (replace the direct call
s.embedSvc.Version() with a nil-checked conditional producing the fallback) so
the JSON response always includes a non-panicking "current" value.

internal/worker/handlers_instincts.go (2)

45-46: ⚠️ Potential issue | 🟠 Major

Ответы клиенту раскрывают внутренние детали сервера.

Строки ошибок возвращают err.Error() и абсолютные/резолвленные пути (dir). Это лишняя утечка деталей окружения. Лучше логировать детали на сервере, а клиенту отдавать нейтральные сообщения.

Also applies to: 50-51, 67-68

🤖 Prompt for AI Agents

Verify each finding against the current code and only fix it if needed.

In `@internal/worker/handlers_instincts.go` around lines 45 - 46, Replace direct
exposure of internal error details in the http.Error responses (e.g., the calls
that build messages using err.Error() and include the resolved dir) with neutral
client-facing messages like "Invalid path" or "Bad request"; instead, log the
detailed information (err, dir, request details) on the server side using the
server logger (e.g., log.Printf or the existing logger instance) before calling
http.Error. Update all occurrences that use err.Error() or expose dir (the three
spots around the shown http.Error calls) so clients get a generic message while
full error and path details are recorded only in server logs.

---

49-52: ⚠️ Potential issue | 🟡 Minor

Проверка os.Stat неполная: не обрабатываются другие ошибки и не проверяется, что это директория.

При отсутствии проверки на ошибки доступа и типа пути код идёт дальше на строку 64, где instincts.Import вызывает os.ReadDir, который вернёт ошибку. Это приведёт к ответу 500 вместо более точных кодов состояния. Кроме того, если вместо директории передана обычный файл, ошибка также не будет перехвачена на этом этапе.

Предложение правки

-	if _, err := os.Stat(dir); os.IsNotExist(err) {
-		http.Error(w, "Instincts directory not found: "+dir, http.StatusNotFound)
-		return
-	}
+	info, err := os.Stat(dir)
+	if err != nil {
+		if os.IsNotExist(err) {
+			http.Error(w, "Instincts directory not found", http.StatusNotFound)
+			return
+		}
+		http.Error(w, "Failed to access instincts directory", http.StatusInternalServerError)
+		return
+	}
+	if !info.IsDir() {
+		http.Error(w, "Path must be a directory", http.StatusBadRequest)
+		return
+	}

🤖 Prompt for AI Agents

Verify each finding against the current code and only fix it if needed.

In `@internal/worker/handlers_instincts.go` around lines 49 - 52, The os.Stat
check in the handler must handle all errors and verify the path is a directory:
replace the current if _, err := os.Stat(dir); os.IsNotExist(err) { ... } with a
full stat result (info, err := os.Stat(dir)) and then: if err != nil { if
os.IsNotExist(err) return http.Error(..., http.StatusNotFound); else if
os.IsPermission(err) return http.Error(..., http.StatusForbidden); else return
http.Error(..., http.StatusInternalServerError) } else if !info.IsDir() { return
http.Error(..., http.StatusBadRequest) } so that instincts.Import (which calls
os.ReadDir) gets only a valid, accessible directory and errors map to correct
HTTP status codes.

🤖 Prompt for all review comments with AI agents

Verify each finding against the current code and only fix it if needed.

Inline comments:
In `@internal/worker/handlers_instincts.go`:
- Around line 18-31: The OpenAPI contract for handleInstinctsImport declares
JSON responses but the handler currently uses plain-text http.Error; update the
handler (and the similar error sites in the same file) to return JSON error
bodies with appropriate HTTP status codes and Content-Type: application/json
instead of http.Error, e.g., construct a small JSON object like {"error":"..."}
(or use the project's standard error response type) and encode it with
json.NewEncoder(w).Encode(...) for all failure paths referenced around
handleInstinctsImport and the other error sites in this file so the runtime
responses match the `@Produce` json/@Failure annotations.

---

Outside diff comments:
In `@internal/worker/handlers_data.go`:
- Around line 275-287: The handler handleGetModels calls s.embedSvc.Version()
without a nil check causing a panic if embedSvc is not initialized; update
handleGetModels to guard s.embedSvc (check if s.embedSvc != nil) before calling
Version(), and if nil return a safe fallback (e.g. empty string or "unknown")
for the "current" field; ensure you reference s.embedSvc and the Version()
method (replace the direct call s.embedSvc.Version() with a nil-checked
conditional producing the fallback) so the JSON response always includes a
non-panicking "current" value.

In `@internal/worker/handlers_instincts.go`:
- Around line 45-46: Replace direct exposure of internal error details in the
http.Error responses (e.g., the calls that build messages using err.Error() and
include the resolved dir) with neutral client-facing messages like "Invalid
path" or "Bad request"; instead, log the detailed information (err, dir, request
details) on the server side using the server logger (e.g., log.Printf or the
existing logger instance) before calling http.Error. Update all occurrences that
use err.Error() or expose dir (the three spots around the shown http.Error
calls) so clients get a generic message while full error and path details are
recorded only in server logs.
- Around line 49-52: The os.Stat check in the handler must handle all errors and
verify the path is a directory: replace the current if _, err := os.Stat(dir);
os.IsNotExist(err) { ... } with a full stat result (info, err := os.Stat(dir))
and then: if err != nil { if os.IsNotExist(err) return http.Error(...,
http.StatusNotFound); else if os.IsPermission(err) return http.Error(...,
http.StatusForbidden); else return http.Error(...,
http.StatusInternalServerError) } else if !info.IsDir() { return http.Error(...,
http.StatusBadRequest) } so that instincts.Import (which calls os.ReadDir) gets
only a valid, accessible directory and errors map to correct HTTP status codes.

🪄 Autofix (Beta)

Fix all unresolved CodeRabbit comments on this PR:

• Push a commit to this branch (recommended)
• Create a new PR with the fixes

---

ℹ️ Review info

⚙️ Run configuration

Configuration used: Organization UI

Review profile: CHILL

Plan: Pro

Run ID: 4b98ff05-e8f4-47a9-9c84-084b5c8b04f9

📥 Commits

Reviewing files that changed from the base of the PR and between 5e268d0 and 1cc5376.

📒 Files selected for processing (6)

• cmd/worker/main.go
• internal/worker/handlers_context.go
• internal/worker/handlers_data.go
• internal/worker/handlers_import_export.go
• internal/worker/handlers_instincts.go
• internal/worker/service.go

[coderabbitai]

⚠️ Potential issue | 🟠 Major

Контракт OpenAPI не совпадает с фактическим форматом ошибок.

В аннотациях указан @Produce json, но при ошибках используется http.Error (plain text). Для клиентов, генерируемых из OpenAPI, это поломанный контракт. Нужна синхронизация: либо JSON-ошибки в коде, либо корректные @Produce/@Failure в документации.

Also applies to: 37-38, 45-46, 50-51, 67-68

🤖 Prompt for AI Agents

Verify each finding against the current code and only fix it if needed.

In `@internal/worker/handlers_instincts.go` around lines 18 - 31, The OpenAPI
contract for handleInstinctsImport declares JSON responses but the handler
currently uses plain-text http.Error; update the handler (and the similar error
sites in the same file) to return JSON error bodies with appropriate HTTP status
codes and Content-Type: application/json instead of http.Error, e.g., construct
a small JSON object like {"error":"..."} (or use the project's standard error
response type) and encode it with json.NewEncoder(w).Encode(...) for all failure
paths referenced around handleInstinctsImport and the other error sites in this
file so the runtime responses match the `@Produce` json/@Failure annotations.