docs(logbook): record Work Items SOP rail rollout [skip ci]

docs/LOGBOOK.md

@@ -1,3 +1,33 @@
+## 2026-06-25｜AwoooP Work Items 人工卡點 SOP rail 正式驗證
+
+**背景**：使用者指出 AwoooP 告警批准後仍常落在 `manual_required_no_action`、`repair_candidate_missing`、`learning_recorded` 等人工卡點，且 Work Items 頁仍像大量文字與長表格，無法快速知道「卡在哪、誰接手、缺什麼證據、下一步去哪裡」。本輪先把既有 Work Items / recurrence / asset ledger / report source gap 資料收斂成首屏 operator SOP rail，不新增 runtime 動作。
+
+**完成**：
+- `/zh-TW/awooop/work-items` 新增 `人工卡點與自動化缺口接手面板`。
+- SOP rail 顯示一眼判讀、驗證率、runtime gate、收件 → 證據 → 候選 → 接手 → 驗證流程節點。
+- 四張決策卡集中顯示阻塞與人工閘門、修復候選品質、沉澱資產缺口、負責人接手，並連回工作項、Runs、資產總帳與負責人審查錨點。
+- 手機版把右側指標改為滿寬換行，避免 390px viewport 內部壓出。
+
+**Commit / Deploy**：
+- Code commit：`aa70835c feat(web): add Work Items operator SOP rail`。
+- Deploy marker：`2a9e816a chore(cd): deploy aa70835 [skip ci]`。
+
+**驗證**：
+- 本地：`python3 -m json.tool apps/web/messages/zh-TW.json`、`python3 -m json.tool apps/web/messages/en.json`、i18n key / placeholder mirror、`git diff --check` 通過。
+- 本地：`pnpm --filter @awoooi/web typecheck` 通過。
+- 本地：`python3 scripts/security/source-control-owner-response-guard.py --root .`、`python3 scripts/security/security-mirror-progress-guard.py --root .` 通過。
+- 本地 browser：desktop `1440x1000`、mobile `390x844` 皆可見 SOP rail、流程節點與四張決策卡；`horizontalOverflow=false`，rail overflow `0`。
+- 正式 desktop：`https://awoooi.wooo.work/zh-TW/awooop/work-items?project_id=awoooi&_v=2a9e816a-work-items-sop-prod-desktop`，SOP rail 可見、流程節點與四張決策卡可見，`clientWidth=1434`、`scrollWidth=1434`、`horizontalOverflow=false`、rail overflow `0`、危險操作標籤 `0`、內部工作文字外露 `0`。
+- 正式 mobile：`https://awoooi.wooo.work/zh-TW/awooop/work-items?project_id=awoooi&_v=2a9e816a-work-items-sop-prod-mobile`，SOP rail 可見、流程節點與四張決策卡可見，`clientWidth=384`、`scrollWidth=384`、`horizontalOverflow=false`、rail overflow `0`、危險操作標籤 `0`、內部工作文字外露 `0`。
+- 截圖：`/tmp/awoooi-work-items-sop-prod-desktop-2a9e816a.png`、`/tmp/awoooi-work-items-sop-prod-mobile-2a9e816a.png`。
+
+**完成度同步**：
+- AwoooP Work Items 可判讀性：`84% -> 89%`。
+- AwoooP 核心頁產品化：`59% -> 62%`。
+- 全站 UI/UX 專業化：`51% -> 53%`。
+
+**邊界**：本輪只做 Work Items operator SOP rail 與只讀下鑽；沒有發 Telegram、沒有重啟服務、沒有改 endpoint、沒有套用 PlayBook / Ansible、沒有讀 secret、沒有新增部署 / 掃描 / 修復 / 刪除 / 重啟 / 執行按鈕，也沒有提高 owner response、runtime gate 或 autonomous repair success。
+
 ## 2026-06-25｜Wazuh Dashboard API 啟動檢查退化納入 Gate
 
 **背景**：最新 Wazuh Dashboard 畫面顯示 Dashboard 本身可進入，`alerts`、`monitoring`、`statistics` index pattern 已通過；但 `Check API connection` 仍停在等待 / 旋轉狀態，`Check API version` 尚未驗證。這代表 Wazuh Dashboard 可見與索引可讀，不能被誤報為 Manager API 已通、agent registry 已恢復或 Wazuh 全主機納管完成。

docs/workplans/2026-06-25-awoooi-navigation-ia-consolidation.md

@@ -1,7 +1,7 @@
 # AWOOOI 導航與頁面資訊架構整合決策表
 
 > 日期：2026-06-25（台北時間）
-> 基線：`gitea/main=291b6c0c`（deploy `092bd376`，包含 AwoooP 首屏真相帶）
+> 基線：`gitea/main=2a9e816a`（deploy `aa70835c`，包含 AwoooP Work Items SOP rail）
 > 目標：把左側導航、AwoooP 二層菜單、頁內 tabs 與重複頁面整合成專業 AI 營運產品資訊架構。
 > 邊界：本輪先調整導航曝光與 AwoooP contextual rail；不刪除路由、不改 API、不開 runtime gate。
 
@@ -65,6 +65,7 @@
 | 子頁 deep link 保留 | 完成 |
 | `/awooop/tenants` 新增產品納管作戰圖 | 正式站完成 |
 | `/awooop` 新增 AI 自動化真相帶 | 正式站完成 |
+| `/awooop/work-items` 新增人工卡點 SOP rail | 正式站完成 |
 
 ## 4.1 2026-06-25 Tenants 作戰圖切片
 
@@ -103,11 +104,23 @@
 | Layout | desktop `clientWidth=1274 scrollWidth=1274`；mobile `clientWidth=384 scrollWidth=384`；`horizontalOverflow=false` |
 | 邊界 | 下鑽是 read-only / operator console 導覽；不新增部署、掃描、修復、刪除、重啟、Telegram send 或 runtime execution |
 
+## 4.4 2026-06-25 Work Items operator SOP rail
+
+| 項目 | 結果 |
+|---|---|
+| Code commit | `aa70835c feat(web): add Work Items operator SOP rail` |
+| Deploy marker | `2a9e816a chore(cd): deploy aa70835 [skip ci]` |
+| Production desktop | `/zh-TW/awooop/work-items?project_id=awoooi&_v=2a9e816a-work-items-sop-prod-desktop` |
+| Production mobile | `/zh-TW/awooop/work-items?project_id=awoooi&_v=2a9e816a-work-items-sop-prod-mobile` |
+| 首屏資訊 | 一眼判讀、驗證率、runtime gate、收件 / 證據 / 候選 / 接手 / 驗證流程、四張操作判讀卡 |
+| Layout | desktop `clientWidth=1434 scrollWidth=1434`；mobile `clientWidth=384 scrollWidth=384`；`horizontalOverflow=false`；rail overflow `0` |
+| 邊界 | read-only SOP / operator handoff；不新增部署、掃描、修復、刪除、重啟、Telegram send、PlayBook apply、Ansible apply 或 runtime execution |
+
 ## 5. 下一輪必做
 
 | 優先級 | 工作 | 驗收 |
 |---|---|---|
-| P0 | AwoooP Runs / Work Items / Approvals 共用 Situation Strip / Agent Flow / Action Rail | Overview 第一刀已完成；下一步讓三個下鑽頁也能一眼看懂卡點、owner 與下一步 |
+| P0 | AwoooP Runs / Work Items / Approvals 共用 Situation Strip / Agent Flow / Action Rail | Overview 與 Work Items 第一刀已完成；下一步讓 Runs / Approvals 也能一眼看懂卡點、owner 與下一步 |
 | P0 | Tenants 舊表格 responsive 化 | route / source 已完成卡片化；下一步處理租戶資料表 drawer 與產品 topology drilldown |
 | P0 | Observability topology | 主機 / 服務 / 網站 / 告警 / SLO 關聯可視化 |
 | P0 | Knowledge / Automation trust ledger | KM、PlayBook、腳本、排程、dry-run、verifier 有統一沉澱面板 |

docs/workplans/2026-06-25-awoooi-product-uiux-inventory.md

@@ -1,7 +1,7 @@
 # AWOOOI 全面工作盤點與產品 UI/UX 專業化推進清單
 
 > 日期：2026-06-25（台北時間）
-> 基線：`gitea/main=291b6c0c`（deploy `092bd376`，包含 AwoooP 首屏真相帶）
+> 基線：`gitea/main=2a9e816a`（deploy `aa70835c`，包含 AwoooP Work Items SOP rail）
 > 定位：回應「做了很多但使用者看不到成果」的產品真相盤點、頁面優化計畫與 AI 自動化落地路線。
 > 邊界：本文件只建立盤點與推進清單；不開 runtime gate、不 SSH、不 active scan、不讀 secret、不發 Telegram、不修改主機或 workflow。
 
@@ -16,7 +16,7 @@
 | AI Agent 只讀治理 / API / gate 契約 | `92%` | 已有很多 snapshot、API、治理頁與邊界顯示，但主要仍是「看得到、不能動」。 |
 | 完整 AI 自動化產品閉環 | 約 `58-62%` | Sensor / Evidence / Classification / Gate / UI 有雛形；execution、verifier、KM / PlayBook writeback、Telegram live receipt 仍不足。 |
 | 真正 production autonomous repair | 約 `3-5%` verified success | 多數告警仍落在 manual review、repair candidate missing、general fallback 或 no-action。 |
-| 全站專業 UI/UX 產品化 | 約 `51%` | Google Ads 式 shell、主導航整併、Tenants 作戰圖 / mobile responsive 資產卡、AwoooP 首屏 AI 自動化真相帶已上線；大量文字、重複頁、內部 key、0/0/--、loading / error 語義仍需持續清理。 |
+| 全站專業 UI/UX 產品化 | 約 `53%` | Google Ads 式 shell、主導航整併、Tenants 作戰圖 / mobile responsive 資產卡、AwoooP 首屏 AI 自動化真相帶與 Work Items operator SOP rail 已上線；Runs / Approvals / Observability / Knowledge Base 仍需大幅圖表化與重複頁整併。 |
 | 全產品 / 網站 / 專案納管 | read-only `65%`，runtime `0%` | Tenants API 已列 `16` 個產品面、`31` 條公開路由、`10` 個候選 repo；owner accepted / runtime gate / action buttons 仍全為 `0`。 |
 
 因此下一階段不能再以「新增更多文字卡」為主要進度。必須改成：
@@ -65,7 +65,7 @@
 
 | 工作域 | 目前成果 | 缺口 |
 |---|---|---|
-| Incidents / Runs / Approvals / Work Items | 狀態鏈、MCP evidence、repair candidate draft、approval gate、learning record 等資料已可見；2026-06-25 已補 PostgreSQL 慢查詢的 database owner-review candidate | 使用者仍看到 `manual_required_no_action`、`repair_candidate_missing`、`learning_recorded` 卡很久；下一步要把每個 blocked lane 轉成可操作 SOP rail、owner、verifier 與回寫狀態。 |
+| Incidents / Runs / Approvals / Work Items | 狀態鏈、MCP evidence、repair candidate draft、approval gate、learning record 等資料已可見；Work Items 已新增人工卡點與自動化缺口 SOP rail，能把阻塞、候選、沉澱資產與負責人接手集中判讀 | Runs / Approvals 仍需同樣的 SOP rail；每個 blocked lane 後端仍要補 service-specific PlayBook、safe command route、verifier、rollback 與回寫狀態。 |
 | Telegram 告警 | 已有 no-send / failure-only / AwoooI SRE 戰情室契約與紅線；2026-06-25 已修 `PostgreSQLSlowQueries` 被 backup / escrow token 誤分類的問題 | live send、receipt production write、Bot API、Gateway queue 多數仍 `0`；週報 / 日報出現全 0 代表資料源或報表邏輯未變成有效營運訊號。 |
 | PlayBook / Ansible / Repair | PlayBook trust、repair candidate、Ansible evidence 已在多處顯示；database target 不再預填 K8s restart，改為 read-only DB evidence + owner review | 多數仍只「建議」或「草案」，缺 service-specific playbook、safe command route、verifier 與 rollback receipt；DB 類事件仍需真實 production formatter / Work Items / Runs readback 驗證。 |
 | KM / learning | KM / PlayBook / writeback gate 被多次定義 | 使用者在頁面與 TG 看不到完整沉澱結果；KM 頁資料鏈仍需修。 |
@@ -135,6 +135,22 @@ Tenants 目前已讀到：
 
 完成度同步：AwoooP 首屏操作台可判讀性 `52% -> 59%`；全站 UI/UX 專業化 `49% -> 51%`。
 
+### 2.5.2 AwoooP Work Items 人工卡點 SOP rail
+
+2026-06-25 已完成 `/zh-TW/awooop/work-items` 首屏第一刀，將使用者最常追問的 `manual_required_no_action`、`repair_candidate_missing`、`learning_recorded` 類卡點，收斂成 operator 可判讀的 SOP rail。
+
+| 項目 | 完成 |
+|---|---|
+| Code commit | `aa70835c feat(web): add Work Items operator SOP rail` |
+| Deploy marker | `2a9e816a chore(cd): deploy aa70835 [skip ci]` |
+| 顯示內容 | 一眼判讀、驗證率、runtime gate、收件 / 證據 / 候選 / 接手 / 驗證流程、阻塞與人工閘門、修復候選品質、沉澱資產缺口、負責人接手 |
+| Production desktop | `/zh-TW/awooop/work-items?project_id=awoooi&_v=2a9e816a-work-items-sop-prod-desktop` |
+| Production mobile | `/zh-TW/awooop/work-items?project_id=awoooi&_v=2a9e816a-work-items-sop-prod-mobile` |
+| Layout | desktop `clientWidth=1434 scrollWidth=1434`；mobile `clientWidth=384 scrollWidth=384`；`horizontalOverflow=false`；rail overflow `0` |
+| 邊界 | 只讀 SOP 與下鑽；不發 Telegram、不改服務、不套用腳本、不新增部署 / 掃描 / 修復 / 刪除 / 重啟 / 執行按鈕，不提高 runtime gate |
+
+完成度同步：AwoooP Work Items 可判讀性 `84% -> 89%`；AwoooP 核心頁產品化 `59% -> 62%`；全站 UI/UX 專業化 `51% -> 53%`。
+
 ## 3. 頁面 UI/UX 現況盤點
 
 2026-06-25 對正式站桌機 / mobile 抽查：
@@ -143,7 +159,7 @@ Tenants 目前已讀到：
 |---|---|---|---|
 | `/zh-TW/awooop` | Google Ads 式 shell 已存在，AwoooP 概覽與 AI 自動化真相帶可見 | 仍需把 Runs / Work Items / Approvals 的卡點與 owner SOP rail 串回同一首屏；後續要減少下方長文字卡 | P0 |
 | `/zh-TW/awooop/runs` | Runs 狀態鏈與 provider evidence 可見 | mobile 有長字串、內部 provider URL / key 類資訊外露風險；使用者無法一眼分辨「AI 已做什麼、卡哪裡、下一步誰做」 | P0 |
-| `/zh-TW/awooop/work-items` | 工作項目與 repair candidate 可見 | 表格太寬、文字過長、操作選項不足；「人工要怎麼處理」沒有變成可執行 SOP rail | P0 |
+| `/zh-TW/awooop/work-items` | 工作項目、repair candidate 與 operator SOP rail 可見；已能一眼看到人工卡點、候選品質、沉澱資產與負責人接手 | 底部長表格仍需 responsive data grid / drawer 化；每筆 item 還要補更細的 owner、rollback、verifier receipt 與狀態回寫 | P0 |
 | `/zh-TW/awooop/approvals` | approval 狀態鏈與 AI evidence 可見 | 卡在 `learning_recorded` / `execution_failed` 時沒有清楚的 next action / owner / rollback / verifier decision tree | P0 |
 | `/zh-TW/awooop/tenants` | 16 產品、31 路由、10 repo 資產可讀；作戰圖與 route/source 手機卡片已上線 | 下一步補產品拓樸 drilldown 與租戶資料表 drawer | P0 |
 | `/zh-TW/observability` | 有監控面板雛形 | 出現 error / 0% / -- 類狀態，沒有把主機、服務、工具、告警、SLO 串成拓樸與 blast radius | P0 |
@@ -246,7 +262,7 @@ AWOOOI 缺的是：
 |---|---|---|
 | P0-UX-001 | 凍結目前資訊架構，不再往頁面塞新文字卡 | 新增 UI 變更需指定進 Situation / Flow / Matrix / Topology / Evidence / Action 其中一層 |
 | P0-UX-002 | AwoooP Runs 移除 raw internal provider URL / key 顯示 | 正式 DOM 不出現 LAN IP / raw provider endpoint；改顯 provider alias、owner、route order、fallback reason |
-| P0-UX-003 | Work Items / Approvals 加人工處置 SOP rail | 每筆 manual item 都要有 owner、why blocked、safe next action、evidence missing、rollback / verifier status |
+| P0-UX-003 | Work Items / Approvals 加人工處置 SOP rail | Work Items 首屏 SOP rail 已上線；下一步 Approvals 與 Runs 要同樣顯示 owner、why blocked、safe next action、evidence missing、rollback / verifier status |
 | P0-UX-004 | Tenants 改成全產品 Coverage Heatmap + Topology | 第一刀已上線；下一步移除舊寬表格依賴，改成 responsive cards / drawer |
 | P0-UX-005 | Observability 修 `0% / -- / error` 語義 | 所有 0 要分成 no data、not connected、blocked、healthy zero、stale、error |
 | P0-UX-006 | Knowledge Base 修讀取狀態與沉澱總帳 | 顯示 KM / PlayBook / scripts / schedules / owner / stale / trust score，不再像資料消失 |
@@ -328,9 +344,9 @@ AWOOOI 缺的是：
 
 | 項目 | 基準完成度 |
 |---|---:|
-| 全站 UI/UX 專業化 | `51%` |
+| 全站 UI/UX 專業化 | `53%` |
 | 導航 / IA 整合 | `64%` |
-| AwoooP 操作台產品化 | `59%` |
+| AwoooP 操作台產品化 | `62%` |
 | Tenants 全產品資產中心 | `68%` |
 | Observability 專業拓樸 / 告警中心 | `38%` |
 | Knowledge / PlayBook 沉澱可視化 | `34%` |