CRM API — Référence des endpoints

Arc OS — The Orchestration System for AI Teams

Informations générales

Authentification

Tous les endpoints (sauf /docs/*) nécessitent un token JWT dans l'en-tête Authorization: Bearer <token>.

Pour les connexions SSE et WebSocket, le token est transmis via le query param ?token=<JWT>.

Erreurs d'autorisation

Endpoints par catégorie

Compte et paramètres

Onboarding + Trial Credits (Phase 50.1)

Onboarding Checklist (Phase 54.1, issue #56)

Checklist d'engagement post-wizard en 5 étapes. Chaque étape (workers, cli, skill, bot, issue) accepte le statut completed ou skipped. Les mutations sont idempotentes : un POST identique répété retourne le même état, sans écrire de doublon dans activity_log. Replay ne réinitialise pas l'état, il efface seulement dismissed_at — l'UI réaffiche le panneau avec le même progression.

Le SSOT pour les métriques de funnel (Phase 54.6 / issue #61) correspond aux événements dans activity_log (event_type LIKE 'onboarding_%'). La table onboarding_progress est un cache dérivé : l'UI se rend en une seule requête plutôt qu'en agrégeant les événements.

Beta Feedback (Phase 53.3)

POST /feedback — validation du body : type ∈ {bug,feature,other}, title ≤200 chars, description ≤5000 chars. Succès → {ok: true, type, title}. Le ping Telegram est formaté comme 🐞/💡/📝 New <type> feedback ... From: <user> Title: <title> + les 400 premiers caractères de la description.

Le widget flottant dans FeedbackWidget.jsx (CRM dashboard) transmet automatiquement browser (UA + viewport + locale) et project (technical_name du projet actif).

Beta Invites (Phase 52.1, admin uniquement)

Mise à jour du flux auth : POST /api/auth/register requiert désormais le champ invite_code (bêta fermée Phase 52.1). Sans code → 403 {error: "invite_required"}. Code invalide/utilisé → 403 {error: "invalid_invite"}.

Billing (Phase 51)

Limites du plan (sémantique OR) :

• Free : 1 projet ET 5 workers
• Min ($4.99/mo) : 5 projets OU 25 workers au total
• Max ($11.99/mo) : 20 projets OU 150 workers au total

Réponse 402 sur POST /onboarding/setup ou POST /projects/:name/workers quand la limite est dépassée : { error: "plan_limit_reached", reason: "projects_limit"|"workers_limit", current, limit, plan, message }

Les utilisateurs admin (role=admin) contournent entièrement la vérification des limites de plan — ce sont des opérateurs, pas des tenants payants.

Les bêta-testeurs (subscriptions.plan='beta', Phase 52 F&F) contournent aussi — nombre illimité de projets/workers plus toutes les features Max. Assigné manuellement : UPDATE subscriptions SET plan='beta' WHERE user_id=?.

Bugfix (issue #25) : POST /projects/create (Quick Start, Phase 50.2) plantait avec ownerChatId is not defined à cause d'une typo — corrigé, l'audit-actor est désormais correctement enregistré.

Bugfix (issue #26) : allocatePort() pour les nouveaux projets sonde désormais les vrais bindings TCP (ss -tln), et non plus uniquement le registry. Auparavant, il pouvait retourner un port occupé par un service hors-registry (NotebookLM bridge :19213, internal bridges) → le workspace bot plantait sur EADDRINUSE.

Flux auth (Phase 50.1) : /api/auth/register et /api/auth/login retournent désormais un JWT même pour un email non vérifié + flag needs_verification: true. Les actions sensibles (trial grant, billing, invites) vérifient email_verified séparément. Rate limit sur l'inscription : 3 / IP / 24h.

Projets (9 endpoints)

POST /projects/create — body :

{
  "technical_name": "string",
  "displayName": "string",
  "description": "string",
  "icon": "string",
  "color": "string"
}

GET /projects/:name/logs — query : category, lines

GET /projects/:name/metrics — query : since, until

Workers (11 endpoints)

POST /projects/:name/workers — body :

{
  "label": "string",
  "icon": "string",
  "type": "terminal | telegram",
  "model": "string",
  "max_turns": 20,
  "tools": ["Read", "Write", "Bash"],
  "system_prompt": "string",
  "focus_dirs": ["src/", "docs/"]
}

max_turns vaut 20 par défaut (auparavant 5, ce qui provoquait l'erreur "Reached max turns" dans les dialogues multi-étapes avec tool calls).

POST /projects/:name/restart — query : worker_id

Fichiers et stockage (8 endpoints)

GET /projects/:name/files — query : path

GET /projects/:name/files/read — query : path, raw

Skills (18 endpoints)

Skills du projet

Marketplace global

Évolution et mises à jour

Forks de skills

Chat et messages

Wiki (4 endpoints)

Analytique (4 endpoints)

Marketplace et Sage (8 endpoints)

Mémoire et Knowledge

Documentation (globale, sans auth)

GET /docs/tree — query : lang (optionnel)

• Cherche d'abord docs/public/<lang>/index.md, fallback sur docs/public/index.md
• La response inclut : sections, files, served_lang, is_fallback, requested_lang

GET /docs/file — query : path (obligatoire), lang (optionnel)

• Ordre de résolution : docs/public/<lang>/<path> → docs/public/<path> (fallback EN)
• La response inclut : path, content, size, modified, served_lang, is_fallback, requested_lang
• 403 sur path traversal, 404 sur fichier manquant
• Phase 52.1.3 — paramètre lang ajouté pour la traduction UK

Système

Codes d'erreur

GitHub Integration (Phase 49.3)

Événements supportés : push, pull_request, workflow_run, issues. Notifications routées vers le Telegram du propriétaire du projet.

Account Security (Phase 45.4)

Sécurité

• Multi-tenancy : chaque endpoint :name vérifie la propriété via chatId depuis le JWT
• Validation du nom de projet : ^[a-zA-Z0-9][a-zA-Z0-9_-]*$ (max 64 caractères)
• Protection contre le path traversal : safePath() sur tous les chemins contrôlés par l'utilisateur
• Upload de fichier : max 100 Mo, extensions bloquées (.exe, .bat, .sh)
• CORS : origines en whitelist via CRM_ALLOWED_ORIGINS
• Protection SSRF : allowlist sur handleScoutAnalyze — HTTPS uniquement + hôtes autorisés
• Endpoints internes : rejettent les requêtes avec des en-têtes proxy (X-Forwarded-For, X-Real-IP)
• Chiffrement at-rest (Phase 45) : les clés API et messages de chat sont chiffrés AES-256-GCM
• En-têtes de sécurité : Content-Security-Policy, X-Frame-Options: DENY, X-Content-Type-Options: nosniff
• Sanitisation PII : emails, clés API, JWT sont automatiquement expurgés des logs JSONL

Phase 53.13 — baseline type-safety (2026-05-10)

Aucun changement de comportement des endpoints — uniquement des types internes. tsc --noEmit bloque désormais push/CI :

• L'interface ChildBot est consolidée dans shared/routes/_utils.ts (3× doublons fusionnés). bot_username, heartbeat_file, health_endpoint, status sont rendus optionnels — ils reflètent le runtime-state (les entrées workspace enrichies en DB en sont souvent dépourvues).
• requireAdmin() dans shared/routes/system.ts retourne désormais Response | { userId } au lieu de { ok, ... } — narrowing plus simple via instanceof Response. Comportement externe inchangé (codes 401/403, corps des réponses).
• workers.ts DEFAULT_WORKERS a perdu as const (pour la compatibilité avec les callsites mutables) ; le parsing du body pour tools / focus_dirs passe désormais strictement par Array.isArray au lieu du fallback ||.

Phase 53.15 — Sentinel Sprint 1 (2026-05-10)

Changements de comportement des endpoints auth + admin (corrections P0 de l'audit Sentinel) :

• POST /api/auth/login — quand requires2fa=true, la réponse est désormais {requires2fa: true, challenge_token} au lieu de {requires2fa: true, userId}. Le frontend doit transmettre challenge_token à l'étape suivante.
• POST /api/auth/2fa/login — shape du body : {challenge_token, code} au lieu de {userId, code}. Token à usage unique, TTL 5 min. Sans token valide, l'endpoint retourne 401 "Invalid or expired challenge — restart login". Rate-limit par userId : 5 tentatives / 15 min → 429.
• POST /api/crm/skills + PUT /api/crm/skills/:id + DELETE /api/crm/skills/:id + POST /api/crm/skill-updates/:id/approve + POST /api/crm/skill-updates/:id/reject — admin uniquement. Non-admin → 403 Forbidden — admin only. Sans auth → 401.
• Rate-limit Nginx sur /api/auth/* — 5 req/min/IP (burst=10 nodelay → 429). Même chose sur /api/webhooks/github (30 req/min/IP, burst=20).
• HSTS — l'en-tête Strict-Transport-Security: max-age=31536000; includeSubDomains; preload est désormais envoyé avec chaque réponse HTTPS. Requêtes HTTP → redirect 301 vers HTTPS.
• X-Frame-Options: DENY au lieu de SAMEORIGIN.

Phase 53.21 — Sentinel P2 batch 2 (2026-05-12)

• POST /api/crm/feedback — requiert désormais que l'appelant ait accès au body.project déclaré (vérification canAccessProject). Non-propriétaire du projet → 403 "Project not accessible". project vide/absent est toujours autorisé (feedback global).
• POST /api/internal/trial/consume — shape du body modifié : {project, owner_id, tokens} au lieu de {project, tokens}. owner_id est obligatoire, vérifié contre projects.owner_id en DB. 404 sur projet inconnu, 403 sur owner mismatch. L'appelant (child-bot/claude-runner.ts) propage ARC_TRIAL_OWNER env injecté par worker-spawn.ts.

Phase 53.18 — correction fuite secret tmux (2026-05-11)

Aucun changement de comportement des endpoints — uniquement un refactor des chemins de spawn internes.

• POST /api/crm/onboarding/setup (via shared/routes/onboarding.ts:startWorkspaceBot) — le mode de démarrage du child-bot workspace-mode est passé de bash -c "export X='val'; bun run bot.ts" à tmux -e VAR=val ... bun run bot.ts. Les valeurs des tokens ne se retrouvent plus dans /proc/PID/cmdline. Externellement : 0 changement (corps de réponse, codes de statut, comportement identiques).

Phase 53.16 — Sentinel Sprint 2 (2026-05-10)

Changements de comportement des endpoints après le hardening 13 × P1 :

• OAuth callback — L'URL de redirect utilise le fragment #token= au lieu du query ?token= (Sentinel P1-8). Le frontend lit depuis window.location.hash (avec fallback sur ?token= pour un cycle de déploiement).
• /api/crm/analytics/activity + /api/crm/analytics/sidebar — la query est désormais scopée par owner_id de l'utilisateur connecté. Un non-admin ne voit que ses propres projets. Auparavant, les 80 premiers chars de chaque message assistant + les noms de projets + les IDs de workers de tous les tenants étaient exposés (Sentinel P1-4).
• PUT /api/crm/projects/:name/files/save — ajout d'une vérification isProtectedPath(). .env / CLAUDE.md / .git/* / .claude/* retournent désormais 403 "Protected path" (auparavant, il était possible d'écraser ces fichiers) (Sentinel P1-3).
• POST /api/crm/projects/:name/files/mkdir + /files/create — body.name contenant .., ., /, \ → 400. Re-exécution de safePath() après join() (Sentinel P1-2).
• /ws/local-bridge — le chatId du JWT est conservé lors de l'upgrade. Un message init avec project_name n'appartenant pas à l'utilisateur → close 1008 Forbidden — project not accessible. Auparavant, n'importe quel utilisateur pouvait init un bridge sur le projet d'un autre (Sentinel P1-5).
• CSP — le HTML frontend (via docker/nginx.conf) envoie désormais un CSP strict : default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data: blob: https:; font-src 'self' data:; connect-src 'self' https://arc-os.co wss://arc-os.co; frame-ancestors 'none'; base-uri 'self'; form-action 'self'. Le CSP JSON API a perdu 'unsafe-inline' (Sentinel P1-10).
• Helper interne extractChatId — vérifie désormais la signature avec verifyToken avant de décoder (Sentinel P1-6, defense-in-depth pour les futures routes skipAuth).
• Format chiffré des recovery keys — les nouvelles clés sont stockées sous la forme v2:<base64-salt>:<payload> (salt aléatoire de 16 bytes par clé). Les anciennes (sans préfixe v2:) fonctionnent via un fallback legacy (Sentinel P1-13).
• CEO_CHAT_ID — désormais env-first (avec fallback sur bot_registry avec avertissement). Le 474903718 hardcodé a été supprimé de 6 fichiers (Sentinel P1-14).
• Nginx X-Forwarded-For — overwrite au lieu d'append dans les 17 callsites (Sentinel P1-11). Le helper clientIp lit le DERNIER segment XFF (Sentinel P1-7).

Phase 55 — Cosmic Editorial login (2026-05-13)

Nouveaux endpoints pour la connexion via magic-link :

• POST /api/auth/magic-link/request — body { email }. Génère un token à usage unique de 10 min dans ephemeral_tokens (type magic_link), envoie le lien https://<host>/?magic_token=<token> via le fournisseur email. Anti-énumération : retourne toujours 200 OK avec le corps { ok: true, message: "If the account exists, a magic link has been sent" } (même si l'email n'existe pas). Rate-limit : 3/min par (IP+email) + 5/10min par email — même contrat que forgot-password. Le chemin d'échec passe par un timing pad.
• POST /api/auth/magic-link/verify — body { token }. Consomme le token à usage unique, retourne { ok: true, token: <jwt>, userId } en cas de succès ou 401 "Invalid or expired magic link". Effet de bord : user.email_verified = true + last_login mis à jour (preuve inbox = vérification).

L'union EphemeralTokenType est étendue : elle contient désormais "magic_link" aux côtés des types existants oauth_state / password_reset / email_verification / tfa_challenge.

Le frontend (CosmicCard.jsx) gère l'état magic (countdown de renvoi de 60 s) et le paramètre URL ?magic_token= (auto-consume → login → animation de succès).

Phase 56 — AI Interop / Project Context Export (2026-05-13)

Export réservé au propriétaire d'un snapshot sanitisé du projet en .md pour transmission à un AI externe (Gemini / ChatGPT / Perplexity / Claude.ai).

• GET /api/crm/projects/:name/context-export — params : include=section1,section2,... (sections : identity / workers / architecture / issues / activity / commits / learnings ; défaut = les 7), scanOnly=true|false, activityHours=N (1-720, défaut 168), commitLimit=N (1-200, défaut 20), issueStatus=open|closed|all. Propriétaire uniquement — le rôle admin ne bypasse PAS (par conception). Le bypass CEO fonctionne. Retourne { project, exportedAt, filename: "<project>-context-YYYY-MM-DD.md", scanOnly, sections, markdown, findings, stats, alertFired, preferences }. Expurge automatiquement les findings critiques sauf si preferences.auto_redact_critical = false. Les exports non-scanOnly écrivent dans export_audit_log.
• GET /api/crm/projects/:name/exports — liste d'audit (propriétaire uniquement). Params : limit=N (1-200, défaut 50). Retourne { project, exports: [{ id, owner_id, exported_at, sections[], findings_critical/high/medium/low, bytes }] }.
• GET /api/crm/projects/:name/settings/export — lire les préférences (propriétaire uniquement). Retourne { project_name, always_include_emails, auto_redact_critical, notify_on_export, updated_at }.
• PATCH /api/crm/projects/:name/settings/export — mettre à jour les préférences (propriétaire uniquement). Le body accepte n'importe quel sous-ensemble de { always_include_emails, auto_redact_critical, notify_on_export } (booléens). Retourne les préférences mises à jour.
• GET /api/crm/analytics/exports — stats agrégées (auth requise, pas de gate propriétaire — carte analytique). Param : hours=N (1-720, défaut 168). Retourne { total, byProject: [{ project_name, n, last }], severitySums: { critical, high, medium, low } }.

Alerte : quand le propriétaire dépasse 3 exports en 24h ET prefs.notify_on_export = true (défaut OFF) — logActivity("export_alert", ...) transite par le pipeline de notification TG Phase 53.10 existant (alertFired: true dans le corps de la réponse).

Scanner multi-niveaux (shared/secret-scanner.ts) — Tier 1 regex (PATTERN_REGISTRY depuis le sanitiseur PII), Tier 2 entropie Shannon ≥4,5 bits/char sur des séquences ≥20 chars, Tier 3 heuristiques contextuelles (key=/token:/secret=/password=). Whitelist : UUID / git SHA / SHA-256 / caractères répétés / hex court / base58 basse entropie. Niveaux de sévérité (critical/high/medium/low). Performance : <500 ms / 1 Mo.

Migration DB 024 — tables export_audit_log + export_preferences.

Phase 57 — Platform Settings (suivi Sentinel #103, 2026-05-15)

Gestion des secrets super-admin via l'UI CRM au lieu de ssh/edit-.env/paste-in-chat. MVP backend (Stage 1 sur 4 stages). Tous les endpoints sont gateés par requireAdmin (Phase 53.15) — retournent 403 Forbidden — admin only pour les non-admin, 401 Unauthorized sans JWT.

• GET /api/crm/platform/settings — retourne { items: [{ name, label, description, testable, restartTargets[], set, preview, length, lastRotated, lastRotatedBy }] }. Allowlist de 9 clés (ANTHROPIC_API_KEY, PLATFORM_ANTHROPIC_KEY, GITHUB_CLIENT_ID/SECRET, GOOGLE_CLIENT_ID/SECRET, MASTER_BOT_TOKEN, CITADEL_BOT_TOKEN, RESEND_API_KEY). Aperçu expurgé : prefix(12)…suffix(4) + longueur. La valeur complète ne quitte jamais le serveur.
• PUT /api/crm/platform/settings/:name — body { value: string ≥ 8 chars }. Écrit atomiquement dans le vault via storeSecret(name, value) + ligne d'audit. 400 si name n'est pas dans l'allowlist ; 400 si value < 8 chars ; 500 en cas d'échec d'écriture vault.
• POST /api/crm/platform/settings/:name/test — vérifie auprès de l'API SaaS. Anthropic → GET /v1/models avec x-api-key ; TG → getMe ; Resend → /api-keys. Les secrets client OAuth standalone ne sont pas testables → 501. Retourne { ok: bool, reason?: string, detail?: string }. Timeout 8 secondes via AbortController.
• POST /api/crm/platform/settings/:name/restart — Bun.spawn(["nohup", "bash", "-c", "sleep 1 && tmux kill-session ... && bash start-*.sh"], { detach: true }) sur les sessions tmux liées. Détaché pour que le restart du master ne tue pas la réponse en cours. Retourne { ok: true, restarted: [sessions], note }.
• GET /api/crm/platform/audit?limit=50&key=ANTHROPIC_API_KEY — entrées récentes du log d'audit, du plus récent au plus ancien (limit plafonné à 500). Filtre optionnel par clé.

Liste d'exclusion stricte NEVER_EXPOSE : CRM_SECRET (signature JWT) + SECRET_ENCRYPTION_KEY (méta-clé vault) — même une requête admin avec un token valide retourne 400 "not managed". Le log d'audit est en append-only (pas de handler UPDATE/DELETE), chaque action (y compris les échecs) écrit une ligne avec IP + UA + email.

Migration DB 026 — table platform_audit_log. Stage 2 (frontend PlatformSettings.jsx) — livré 2026-05-15 (cbc8bac) : grille de cartes admin uniquement + modal de rotation (<input type="password"> + confirmation de saisie) + drawer d'audit ; entrée dans la sidebar filtrée par userRole === "admin" récupéré depuis /api/auth/me.

Polish (2026-05-15, commit 56191b0) — Restructuration UI Platform Settings. Les items de la réponse GET /api/crm/platform/settings gagnent 5 nouveaux champs : category (anthropic|oauth|telegram|email), usedIn (string[] — fichiers/flux qui consomment la clé), getFromUrl (où obtenir une nouvelle valeur), effectAfterRotate, riskIfLeaked. Utilisés par le frontend pour afficher 4 groupes de cartes par section + panneau d'aide repliable par carte avec contexte structuré (Used in / Get from / Effect / Risk). Aucun changement de comportement des endpoints mutateurs (PUT/POST/restart/test).

Refactor (2026-05-16) — nettoyage interne de shared/routes/platform.ts. 39 lignes supprimées (16 ajoutées), aucun changement de surface API publique. Les signatures et réponses des endpoints PUT/POST/restart/test/audit sont inchangées. Documenté ici uniquement parce que le hook pre-push de couverture doc se déclenche sur tout diff shared/routes/*.ts.

Activité antidatée (#117, 2026-05-16) — POST /api/mcp/issues/:project/:id/log accepte désormais un champ ts optionnel (chaîne ISO-8601). Utilisé par la reconstruction arc retro pour que les entrées historiques atterrissent à leur timestamp d'origine. Les valeurs à date future sont silencieusement plafonnées à now dans addActivity() (défense contre les erreurs de saisie). ISO invalide → 400.

Stage 3 (2026-05-15) — hot-reload des secrets OAuth + Resend sans restart. shared/auth.ts loadOAuthConfig() lit désormais getSecret("GITHUB_CLIENT_ID/SECRET" | "GOOGLE_CLIENT_ID/SECRET") à chaque appel au lieu de process.env. Les callsites dans master-bot/routes/auth.ts appelaient déjà getOAuthConfig() par requête → 0 changement de callsite. RESEND_API_KEY était déjà hot-reload via shared/email.ts:47. Changement de comportement : PUT /api/crm/platform/settings/{GITHUB_CLIENT_ID|GITHUB_CLIENT_SECRET|GOOGLE_CLIENT_ID|GOOGLE_CLIENT_SECRET|RESEND_API_KEY} prend désormais effet dès la prochaine requête, sans restart requis. restartTargets pour ces 5 clés est vide → le bouton Restart est masqué dans l'UI. Cas limite : un flux OAuth avec un state-token émis avant la rotation peut recevoir un 400 au callback lors du code-exchange — un retry utilisateur résout le problème. ANTHROPIC_API_KEY, PLATFORM_ANTHROPIC_KEY, MASTER_BOT_TOKEN, CITADEL_BOT_TOKEN restent restart-required (lus lors du spawn du child-bot / initialisation du long-poll TG).

Nettoyage Phase 57.3.5 (2026-05-16) — l'allowlist MANAGED_KEYS réduite de 9 à 6. Supprimés : ANTHROPIC_API_KEY (les opérateurs utilisent désormais PLATFORM_ANTHROPIC_KEY pour les trial-credits et l'inférence plateforme ; le fallback .env fonctionne toujours pour les chemins de code legacy jusqu'à la migration de Sage/Karpathy), CITADEL_BOT_TOKEN (le bot par projet appartient aux entrées vault child:<name>:token, géré par le flux d'onboarding worker — pas les Platform Settings). MASTER_BOT_TOKEN remis à jour : label → "Telegram — System Monitor Bot", description → "Server health alerts + on-demand status probes (admin-only, not a chat bot)". La Phase 58 ajoutera la boucle de monitoring (push alerts pour crash worker / disque / RAM / brute-force SSH / bypass CF + commandes /status, /health, /errors, /restart). Set final : PLATFORM_ANTHROPIC_KEY + GITHUB×2 + GOOGLE×2 + MASTER_BOT_TOKEN + RESEND_API_KEY (refs #103).

Phase 63 — Consolidation UI/UX + Suivi de l'utilisation des tokens (2026-05-21, #148)

Nouvel endpoint :

• POST /api/internal/usage/log (loopback uniquement) — écrit une ligne dans token_usage_log. Body : { project_name, owner_id, worker_id?, input_tokens, output_tokens, cache_tokens, total_tokens }. Appelé depuis child-bot/bot.ts en fire-and-forget après chaque appel Claude (callClaudeOnce + callWorker text path). Aucun header auth requis — /api/internal/* n'est accessible que depuis localhost et bloqué par nginx pour les requêtes externes.
• GET /api/crm/account/usage — historique d'utilisation des tokens pour l'utilisateur autorisé (décrit dans le tableau Onboarding ci-dessus).

Modifications dans claude-runner.ts :

• callClaudeOnce + callWorker text path : maintenant toujours --output-format json (avant text pour non-trial). Le parse JSON extrait result comme texte de sortie et usage pour le logging. Le flux trial consume est inchangé.
• Nouveau dep logUsage? dans ClaudeRunnerDeps — callback (workerId, { input, output, cache }) => void.

Modifications UI (pas API) :

• UserDropdown : composant UsageCard avec total tokens + « Details → » à l'ouverture ; point d'avertissement sur l'avatar quand le solde trial < 20 %.
• BillingPage : section Token Usage avec barre de totaux + tableau de 50 lignes. Plan Enterprise (en développement). Toggle details sur chaque carte.
• OnboardingProgressPill : redessiné en dropdown inline dans le header (plus de wizard modal).
• WorkerSelector : variables CSS sémantiques --worker-{role} à la place des tokens Tailwind chart.